Știrile săptămânii din cybersecurity (20.07.2023)
Scurgere de date la Virustotal
Ziarul austriac STANDARD a primit un fișier de 313 KB, conținând informații precum angajatorul sau adresa de e-mail pentru 5,600 de clienți ai VirusTotal.com. Printre aceștia sunt incluși angajați guvernamentali din servicii de informați din Germani sau SUA și membrii ai unor companii precum Allianz, Daimler, sau Deutsche Telekom.
Documentul ar fi devenit public in iunie 2023 și, cel mai probabil, datele vor fi utilizate pentru atacuri cibernetice bazate pe inginerie socială.
Situația subliniază importanța evitării încărcării de date în servicii online care împărtășesc acele date cu părți terțe.
Milioane de e-mailuri ale armatei SUA au fost trimise din greșeală în Mali
În iulie 2023, un antreprenor olandez numit Johannes Zuurbier a trimis o scrisoare către oficiali americani, indicând că, încă din 2013, e-mailuri destinate domeniului .mil al Armatei SUA au ajuns la domenii .ml din Mali, un aliat al Rusiei.
Antreprenorul are un contract, ce urmează să expire, cu guvernul din Mali pentru gestionarea domeniului de țară. Deși e-mailurile trimise greșit nu ar conține informații clasificate, acestea conțin alte date sensibile precum parole, dosare medicale, sau itinerariile unor ofițeri, ce ar putea fi exploatate de adversari ai SUA.
Un purtător de cuvânt al Departamentului Apărării din SUA a indicat că instituția este la curent cu această problemă, care este luată în serios.
Cisco a remediat o vulnerabilitate critică în SD-WAN vManage
Cisco a abordat o vulnerabilitate critică de securitate, identificată prin CVE-2023-20214 (CVSS Score 9.1), care afectează SD-WAN vManage și care poate fi exploatată de un atacator neautentificat pentru a obține permisiuni de citire sau de scriere limitate pentru configurația unei instanțe afectate.
Vulnerabilitatea de securitate afectează versiunile v20.6.3.3, v20.6.4, v20.6.5, v20.9, v20.10, v20.11 de Cisco SD-WAN vManage, compania lansând actualizări de software în care problema este remediată.
CISA adaugă vulnerabilități noi la catalogul KEV
CISA cere agențiilor federale ca până la 8 august 2023 să-și asigure sistemele împotriva amenințărilor care vizează vulnerabilități de securitate urmărite colectiv prin CVE-2023-36884.
Vulnerabilitățile de securitate afectează produsele Windows și Office, au fost exploatate de atacatorii RomCom din Rusia în atacurile de phishing împotriva entităților guvernamentale din America de Nord și Europa, organizații participante la Summitul NATO de la Vilnius, și au fost introduse de CISA în Catalogul Vulnerabilităților Cunoscute Exploatate (KEV).
Se recomandă insistent ca și companiile private să acorde prioritate remedierii tuturor vulnerabilităților adăugate la catalogul KEV al CISA.
Atacatorii exploatează o vulnerabilitate critică a WordPress WooCommerce Payments
Grupările de criminalitate cibernetică exploatează activ o vulnerabilitate de securitate în plugin-ul WordPress WooCommerce Payments, identificată prin CVE-2023-28121 (scor CVSS: 9,8), pentru a obține privilegii de utilizator sau de administrator și pentru a prelua controlul asupra unui site WordPress ce are activată versiunea afectată a plugin-ului.
„Atacuri la scară largă împotriva vulnerabilității au început vineri, 14 iulie 2023 și au continuat în weekend, atingând un vârf de 1.3 milioane de atacuri împotriva a 157,000 de site-uri duminică, 16 iulie 2023”, explică Wordfence într-un raport.
Datorită faptului că vulnerabilitatea CVE-2023-28121 poate fi exploatată cu ușurință, se recomandă insistent ca toate site-urile care utilizează plugin-ul WooCommerce Payment să fie asigurate prin aplicarea actualizărilor la zi.
Atacatorii exploatează vulnerabilități Microsoft Word pentru a implementa LokiBot
Cercetătorii Fortinet FortiGuard Labs au identificat o campanie în cadrul căreia sunt exploatate vulnerabilitatea Follina, identificată prin CVE-2022-30190, și o a doua vulnerabilitate, identificată prin CVE-2021-40444, pentru a infecta sistemele cu programul malware LokiBot.
„LokiBot, cunoscut și sub numele de Loki PWS, este un troian ce fură informații, activ din anul 2015. Vizează, în primul rând, sistemele Windows și își propune să colecteze informații sensibile din sistemele compromise.”, a declarat Cara Lin, cercetător la Fortinet FortiGuard Labs.
Utilizatorilor li se recomandă să rămână vigilenți și să evite accesarea de linkuri suspecte sau a documentelor din surse nesigure. În plus, menținerea la zi a software-ului și a sistemelor de operare cu cele mai recente corecții de securitate poate ajuta la atenuarea riscului de exploatare de către malware.
WormGPT, instrumentul AI creat pentru activități ilegale
Un atacator a creat un nou chatbot numit WormGPT, conceput special pentru a ajuta infractorii cibernetici să desfășoare activități ilegale. WormGPT este promovat pe forumuri de hacking ca o modalitate prin care adversarii pot lansa atacuri sofisticate de phishing și compromitere a e-mailurilor business (BEC).
Autorul și-a descris software-ul ca fiind „cel mai mare inamic al ChatGPT” care „vă permite să desfășurați diverse activități ilegale”.
„Infractorii cibernetici pot folosi o astfel de tehnologie pentru a automatiza crearea de e-mailuri false extrem de convingătoare, personalizate destinatarului, crescând astfel șansele de succes pentru atac”, a spus cercetătorul de securitate Daniel Kelley.
Genesis Market a fost vândut unui cumprător anonim
Conform unui utilizator numit GenesisStore, ce susține că reprezintă administratorii Genesis Market, platforma de criminalitate cibernetică a fost vândută unui cumpărător anonim, fără a include conturile curente ale utilizatorilor.
Vânzarea este realizată în urma unei operații internaționale de impunere a legii condusă de FBI, în urma căreia au fost arestate peste 100 de persoane ce au folosit platforma pentru a comite fraude.
Conform UK National Crime Agency, mirror-ul de dark web al Genesis Market a rămas activ deoarece a fost „găzduit într-o jurisdicție inaccesibilă”, însă operația internațională a avut un efect observabil pentru mirror și pentru alternativele sale, Russian Market și 2easy Shop.
