A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (17.08.2023)

2023/08/17
Popularitate 1000

Foto: Alexander Shatov (Unsplash)

Conturi de LinkedIn compromise într-o campanie de hijacking

Conform cercetătorilor de la Cyberint, mai mulți utilizatori ai LinkedIn au fost victime într-o campanie de hacking ce conduce la blocarea conturilor din motive de securitate sau la furtul conturilor de către atacatori.

Hackerii par să utilizeze date de logare compromose sau brute-forcing pentru a obține controlul unui număr mare de conturi de LinkedIn. În cazul conturilor cu parole slabe și/sau fără autentificare prin doi pași (2FA), în urma obținerii accesului la cont, hackerii modifică adresa de email asociată cu una de la serviciul „rambler.ru” și schimbă parola contului sau activează autentificarea 2FA pentru a îngreuna recuperarea conturilor.

„Unii [utilizatori] au fost presați să plătescă o răscumpărare pentru a recăpăta controlul sau s-au confruntat cu ștergerea permanentă a conturilor lor,” a menționat un cercetător Cyberint.

În acest context, există indicii conform cărora LinkedIn se confruntă cu număr mare de cereri de sprijin de la utilizatorii care și-au pierdut conturile, unii dintre acești indicând că nu primesc răspuns de la LinkedIn.

O nouă versiune a Chrome repară 26 de vulnerabilități

Pe 15 august 2023, Google a anunțat lansarea Chrome 116, prin care sunt reparate 26 de vulnerabilități. Dintre acestea, 21 au fost raportate de cercetători externi, iar opt dintre vulnerabilitățile raportate extern sunt de severitate ridicată.

Vulnerabilități notabile sunt CVE-2023-2312, de tip use-after-free și specifică componentei Offline; CVE-2023-4349, de tip use-after-free pentru Device Trust Connectors; CVE-2023-4350, vulnerabilitate tip inappropiate implementation pentru Fullscreen; și CVE-2023-4351, use-after-free pentru Network.

Google nu a indicat dacă vulnerabilitățile sunt exploatate activ.

Google a anunțat că, începând cu Chrome 116, va lansa patch-uri săptămânal pentru a se asigura că reparațiile vulnerabilităților noi ajung la utilizatori mai repede.

16 vulnerabilități severe au fost descoperite în setul de dezvoltare software CODESYS V3

Un set de 16 vulnerabilități de mare severitate au fost dezvăluite în kitul de dezvoltare software CODESYS V3, aceste erori conducând la execuția de cod de la distanță și, în anumite condiții, la atacuri de tip denial of service (DoS).

Vulnerabilitățile, cunoscute sub numele de CoDe16 și urmărite de la CVE-2022-47378 la CVE-2022-47393, au un scor CVSS de 8,8 (cu excepția CVE-2022-47391, care are un scor CVSS de 7,5).

„Exploatarea vulnerabilităților descoperite, care afectează toate versiunile de CODESYS V3 anterioare versiunii 3.5.19.0, ar putea pune infrastructura de tehnologie operațională (OT) în pericol de atac, cum ar fi execuția de cod la distanță (RCE) și refuzul serviciului (DoS)” a declarat Vladimir Tokarev de la Microsoft Threat Intelligence Community într-un raport.

Vulnerabilitățile au fost abordate în aprilie 2023 când au fost lansate actualizări de securitate pentru remedierea lor.

Monti Ransomware lansează un nou criptor pentru Linux

Conform unei analize a Trend Micro, după o pauză de două luni, operatorii Monti ransomware și-au reînceput activitățile malițioase, concentrându-se pe instituții din domeniul legal și din sectoare guvernamentale și lansând o nouă versiune a Monti pentru Linux, cu un nou criptor.

Noua variantă de ransomware utilizează o criptare AES-256-CTR prin evp_enc din librăria OpenSSL, în loc de Salsa20, implementat în varianta veche. De asemenea, noua versiune se bazează doar pe mărimea fișierului pentru a determina procentajul din fișierul de criptat.

Dezvoltatorii Monti au modificat textul Message of the Day, afișat atunci când un utilizator se loghează la un sistem de operare Linux, înlocuind mesajul cu o notă de răscumpărare.

Knight ransomware utilizat într-o campanie de spam ce impersonează TripAdvisor

O campanie de spam în desfășurare distribuie Knight ransomware într-un fișier ce impersonează reclamații TripAdvisor, sub forma unui atașament .html numit „TripAdvisor-Complaint-[random].pdf.htm”.

Atașamentul redirecționează potențiala victimă către o fereastră falsă de browser pentru TripAdvisor, unde este prezentată o reclamație pentru un restaurant și se solicită utilizatorului să revizuiască reclamația.

După ce utilizatorul apasă pe un buton „Read Complaint”, un fișier excel numit „TripAdvisor_Complaint-Possible-Suspension.xll” este descărcat în sistem, conducând la executarea ransomware-ului.

Un nou backdoor utilizat în campania Barracuda ESG

CISA a publicat un nou avertisment ce detaliază un al treilea malware de tip backdoor, numit Whirlpool și utilizat în atacurile împotriva dispozitivelor Barracuda Email Security Gateway (ESG).

Conform CISA, „Malware-ul ia două argumente (C2 IP și port number) de la un modul pentru a stabili un reverse shell Transport Layer Security. Modulul ce transmite argumentele nu a fost disponibil pentru analiză.”

În iunie 2023, Barracuda Network a anunțat că toți utilizatorii Barracuda ESG pot primi dispozitive noi, în contextul campaniei sofisticate de spionaj cibernetic.

O campanie de phishing cu coduri QR vizează mai multe organizații din SUA

Cercetătorii de la Cofense au observat o campanie de phising în cadrul căreia sunt utilizate coduri QR pentru a transmite email-uri malițioase către utilizatori și pentru a evita măsurile de securitate.

Campania vizează în special o organizație importantă din sectorul energiei din SUA, dar, pe lângă aceasta, sunt implicate și companii din sectoarele de producție, asigurări, tehnologie și servicii financiare.

Cofense a indicat că atacul începe cu un email de phishing conform căruia utilizatorul trebuie să acționeze pentru a actualiza setările contului de Microsoft 365 în 2-3 zile. Email-ul conține atașamente .png sau .pdf cu un cod QR pe care destinatarul trebuie să îl scaneze pentru a verifica contul de Microsof 365. În urma scanării codului QR, utilizatorul este redirecționat către o pagină de phishing.

Hackerii chinezi au atacat organizații din 17 națiuni într-o campanie cibernetică de 3 ani

În perioada 2021-2023, hackeri afiliați cu Ministerul Securității de Stat din China au vizat o serie de organizații guvernamentale, de telecomunicații și de cercetare din cel puțin 17 țări diferite din Asia, Europa și America de Nord.

Cercetătorii Insikt Group de la Recorded Future au atribuit setul de intruziuni unei grupări de stat național pe care o urmărește sub numele RedHotel, care se suprapune cu o grupare de criminalitate cibernetică monitorizată pe scară largă ca Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca, Red Scylla sau Red Dev 10.

Gruparea a fost observată vizând și alte sectoare, inclusiv sectoarele academic, aerospațial și mass-media. Atacatorii folosesc o rețea sofisticată de tulpini de malware și alte instrumente, iar principalele obiective ale atacatorilor sunt culegerea de informații și spionajul economic.

Într-o campanie de la sfârșitul anului 2022, RedHotel a folosit un certificat de semnare a codului furat aparținând unei companii de jocuri de noroc din Taiwan pentru a semna un fișier DLL responsabil pentru încărcarea BRc4.

Incident la Comisia Electorală Britanică, facilitat de o vulnerabilitate ProxyNotShell

La 8 august 2023, Comisia Electorală a Marii Britanii a anunțat că, începând cu august 2021, atacatorii au obținut acces la serverele ce găzduiesc email-ul organizației și la copiile registrelor electorale, conținând informații precum numele și adresa tuturor persoanelor care au votat în Marea Britanie între 2014 și 2022.

În acest context, Comisia Electorală a rulat un server Microsoft Exchange cu o aplicație Outlook Web expusă la internet, vulnerabilă la un exploit numit ProxyNotShell, ce implică vulnerabilitățile CVE-2022-41082 și CVE-2022-41040. Acestea pot fi exploatate conjugat pentru a rula comenzi PowerShell pe un sistem vulnerabil și a prelua controlul acestuia.

Analiză a activității grupului Lapsus$

Grupul de criminalitate cibernetică Lapsus$ a căpătat notorietate pentru utilizarea unor tehnici simple, în special SIM swapping, pentru a compromite zeci de organizații, precum Microsoft, Cisco sau Okta, de la care atacatorii au furat date confidențiale ce includ cod sursă, tehnologie proprietară sau documente despre clienți.

Activitățile Lapsus$ s-au diminuat din septembrie 2022, în urma unor investigații de impunere a legii care au condus la arestări ale unor membri Lapsus$.

Conform unei analize a US Department of Homeland Security, Cyber Safety Review Board, „Lapsus$ a utilizat tehnici low-cost, bine cunoscute și disponibile altor atacatori, relevând puncte slabe în infrastractura noastră cibernetică ce pot fi vulnerabile la atacuri viitoare.”

În anumite cazuri, Lapsus$ realiza SIM swaps direct de la instrumentele de management al clienților ale furnizorilor de telecomunicații, în urma preluării unor conturi aparținând angajaților și contractorilor.

Pentru a obține informații confidențiale despre victime, atacatorii realizeau cereri frauduloase de dezvăluire de urgență și se bazau pe insiders pentru a obține date de logare, pentru a permite cererile de autentificare multi-factor, sau pentru a obține acces intern.

Postat în: stiri cybersecurity awareness cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity cybersecurity cybersecurity

Vizualizat de 9424 ori

  • English
  • English


    

    Parteneri

logo-agerpres
logo-dekeneas

    Certificatul digital este asigurat de:

Subiecte populare

Copyright © 2011-2024 DNSC
Feed RSS | Contact | Termeni și condiții