A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (11.01.2023)

2024/01/11
Popularitate 1000

Foto: Bastian Riccardi (Unsplash)

Hackerii deturnează conturile guvernamentale și business de pe X pentru escrocherii cu criptomonede

Cercetătorii MalwareHunterTeam au observat o tendință a hackerilor de a compromite conturile verificate pe X aparținând profilurilor guvernamentale și de afaceri pentru a promova escrocherii cu criptomonede și site-uri de phishing, un caz recent și de mare importanță fiind compromiterea contului X al companiei Mandiant, o subsidiară a Google.

Un raport publicat de CloudSEK, o platformă digitală de monitorizare a riscurilor, evidențiază apariția unei noi piețe negre în care hackerii vând conturi X marcate cu bifă aurie sau gri la prețuri cuprinse între 1.200 și 2.000 USD.

Bifa aurie atașată unui cont pe X indică o companie sau organizație oficială, în timp ce insigna gri marchează profiluri care reprezintă o organizație guvernamentală sau un oficial. CloudSEK spune că a observat șase vânzări de astfel de conturi într-o lună.

Unul dintre acestea, inactiv din 2016 și cu 28.000 de urmăritori, a fost promovat pe dark web pentru 2.500 de dolari.

Cercetătorii recomandă companiilor să închidă conturile latente dacă au fost inactive pentru o perioadă mai mare de timp, să revizuiască setările de securitate, să activeze opțiunea de autentificare cu doi factori și, de asemenea, să verifice aplicațiile conectate la cont, precum și jurnalul sesiunilor active pe alte dispozitive.

Cercetătorii au descoperit o modalitate nouă de compromitere a conturilor Google, fără parolă sau 2FA

Atacul asupra contului Google poate avea succes din cauza cookie-urilor pe care Google le salvează pe dispozitivele utilizatorilor săi pentru ca aceştia să nu fie nevoiţi să se logheze frecvent în propriile conturi.

Experţii au descoperit o cale de a intercepta cookie-urile de autentificare şi a le folosi pentru a dobândi acces la conturile pentru care au fost create. Cookie-urile le-ar permite hackerilor să aibă acces în continuare la contul vizat, chiar şi după ce utilizatorul schimbă parola acestuia.

În răspuns, Google spune că a luat măsuri pentru a securiza conturile vulnerabile şi le recomandă utilizatorilor să activeze opţiunea Enhanced Safe Browsing din browser-ul Chrome.

Atacatorii UAC-0050 utilizează noi tactici de phishing pentru a distribui Remcos RAT

Gruparea de criminalitate cibernetică UAC-0050, activă din 2020 și care vizează agențiile guvernamentale din Ucraina, a integrat noi strategii pentru a evita detectarea în timp ce distribuie Remcos RAT în cele mai recente atacuri de phishing.

”Arma aleasă a grupului este Remcos RAT, un malware notoriu pentru supravegherea și controlul de la distanță, care a fost în fruntea arsenalul său de spionaj”, au spus cercetătorii în securitate de la Uptycs Karthickkumar Kathiresan și Shilpesh Trivedi într-un raport publicat pe blogul companiei.

Noua metodă adoptată de atacatori este utilizarea conductelor din sistemul de operare Windows care oferă un canal secret pentru transferul de date și evită detectarea prin Endpoint Detection and Response (EDR) și sistemele antivirus, tehnică ce marchează un salt semnificativ în sofisticarea strategiilor grupării.

Raportul cercetătorilor prezintă analiza tehnică și recomandări de atenuare a amenințării.

Bandook RAT reapare și vizează dispozitivele Windows

O nouă variantă de troian de acces la distanță numită Bandook a fost observată de către Fortinet FortiGuard Labs în atacuri de phishing ce vizează utilizatorii Windows, activitatea fiind identificată în octombrie 2023, iar cercetătorii declarând că malware-ul este distribuit printr-un fișier PDF care încorporează un link către o arhivă .7z protejată prin parolă.

Bandook, un program malware cu o gamă largă de funcții necesare pentru obținerea controlului de la distanță asupra sistemelor infectate, a fost detectat prima dată în anul 2007, iar în iulie 2021 cercetătorii ESET au detaliat o campanie de spionaj cibernetic în care a fost folosită o variantă îmbunătățită a malwareului pentru compromiterea rețelelor corporative din țările vorbitoare de spaniolă.

Fortinet FortiGuard Labs a publicat un raport ce dezvăluie noi detalii despre mecanismul C2 al acestui malware de lungă durată și noile caracteristici din ultima sa variantă.

De asemenea, raportul prezintă și indicatorii de compromitere aferenți ultimei variante de malware.

Un atac cibernetic major indisponibilizează toate serviciile comunitare ale unui oraș din Franța

Orașul Pays Fouesnantais, o localitate de coastă din Bretania, nord-vestul Franței, fost ținta unui atac cibernetic în ultimul weekend din 2023, incident care a distrus și indisponibilizat toate serviciile IT ale autorității și a afectat toate serviciile comunitare.

Natura atacului nu a fost confirmată, însă impactul a fost atat de mare încât singurul sistem care funcționează este serviciul de pașapoarte și cărți naționale de identitate, care este compartimentat din rețeaua informatică proprie a localității și administrat central de guvernul francez.

Atacul vine pe fondul unui val de incidente similare care au afectat organizațiile franceze în ultimele săptămâni, inclusiv cel care afectează un serviciu de coletărie online , un altul care afectează un site de știri online și unul care afectează CACG, o companie de inginerie ecologică.

Franța a fost printre cei 40 de semnatari ai unui angajament recent al Counter Ransomware Initiative ”de a denunța public ransomware-ul și pe cei care comit aceste atacuri devastatoare” și de a refuza să plătească în cazul unui atac.

Angajamentul obligă doar organizațiile controlate de guvern să nu plătească în cazul unui incident, deși semnatarii au spus că ”descurajează ferm pe oricine să plătească o cerere de ransomware”.

O grupare de hacking pro-iraniană vizează Albania cu programul malware NoJustice

Compania de securitate cibernetică ClearSky a raportat că recentul val de atacuri cibernetice care vizează organizațiile albaneze a implicat utilizarea unui program malware de tip wiper numit No-Justice, iar intruziunile au fost atribuite unei grupări iraniene de hacking activă din iulie 2022 și numită Homeland Justice.

Pe 24 decembrie 2023, atacatorul a reapărut după o pauză și a declarat că ”s-a întors să-i distrugă pe susținătorii teroriștilor”, descriind ultima sa campanie drept #DestroyDurresMilitaryCamp. Țintele campaniei au inclus ONE Albania, Eagle Mobile Albania, Air Albania și parlamentul albanez.

Wiper-ul No-Justice (NACL.exe) este un binar de 220,34 KB care necesită privilegii de administrator pentru a șterge datele de pe computer, iar acest lucru se realizează prin eliminarea semnăturii de pornire din Master Boot Record (MBR).

Un al doilea instrument implementat în timpul campaniei este un script PowerShell proiectat pentru a se propaga și a propaga wiper-ul pe alte dispozitive din rețeaua țintă după activarea Windows Remote Management (WinRM).

Hackerii vizează serverele Apache RocketMQ vulnerabile la atacurile RCE

Cercetătorii detectează zilnic sute de adrese IP care scanează sau încearcă să exploateze serverele Apache RocketMQ vulnerabile la CVE-2023-33246 și CVE-2023-37582, două vulnerabilități critice de securitate ce se referă la o eroare care a rămas activă după actualizarea inițială de securitate din mai 2023 și care a fost identificată prin CVE-2023-33246 la acel moment.

”Componenta RocketMQ NameServer are încă o vulnerabilitate de execuție a comenzilor de la distanță, deoarece eroarea CVE-2023-33246 nu a fost complet remediată în versiunea 5.1.1”, se arată într-un avertisment de la Rongtong Jin, membru al Comitetului de management al proiectelor Apache RocketMQ.

Hackerii au început să vizeze sistemele vulnerabile Apache RocketMQ încă din august 2023, când a fost observată o nouă versiune a rețelei botnet DreamBus care folosește un exploit CVE-2023-33246 pentru a implementa minerii XMRig Monero pe servere vulnerabile. În septembrie 2023, CISA a îndemnat agențiile federale să remedieze eroarea până la sfârșitul lunii, avertizând despre starea sa de exploatare activă.

Utilizatorii sunt sfătuiți să actualizeze NameServer la versiunea 5.1.2/4.9.7 sau o versiune superioară pentru RocketMQ 5.x/4.x pentru a evita atacurile.

Gruparea NoName revendică atacuri DDoS pe site-urile guvernului ucrainean

Conform unei liste publicată de gruparea de criminalitate cibernetică NoName pe portalul său de scurgeri de informații, atacatorul ar fi vizat mai multe site-uri web ale guvernului ucrainean, cele mai recente dintre acestea incluzând Accordbank, Fabrica de titan-magneziu Zaporizhzhya, Serviciul Fiscal de Stat, Administrația Fiscală Interregională Centrală, Administrația Fiscală Interregională de Vest și Direcția Principală a Serviciului Fiscal de Stat din Kiev.

Site-urile web ucrainene au afișat mesaje de eroare și, pe 8 ianuarie 2024, acestea erau încă nefuncționale.

Cyber Express a încercat să verifice afirmațiile făcute de actorul amenințării și a găsit site-ul web al fabricii de titan-magneziu Zaporizhzhya operațional, însă ultimele site-uri web enumerate de gruparea NoName sau confruntat cu întreruperi și probleme de conectivitate și afișau ”403 forbidden” precum și alte mesaje de eroare.

Înainte de atacul asupra Ucrainei, gruparea a lansat și atacuri cibernetice pe mai multe site-uri web ale guvernului finlandez, publicând pe dark web mesajul ”Finlanda primește cadourile noastre de Anul Nou”.

Aeroportul Internațional Beirut a fost victima unui atac cibernetic

Aeroportul Internațional Rafic Hariri, principalul aeroport din Beirut, Liban, a fost victima unui atac cibernetic ce a perturbat activitatea de inspecție a bagajelor și în cadrul căruia hackerii au înlocuit datele de plecare și de sosire ale avioanelor de pe ecranele aeroportului cu o declarație în care acuză gruparea militantă Hezbollah și Iranul că duc țara în război ignorând voința poporului libanez.

Autoritățile aeroportului au declarat presei locale că atacul a perturbat pentru scurt timp sistemul de inspecție a bagajelor pasagerilor, dar nu a afectat programul de zbor. Presa libaneză a raportat că hackerii au trimis și unor pasageri mesaje în numele companiei Middle East Airlines, despre care compania a spus că sunt false.

Se crede că în spatele hack-ului din aeroport se află două grupări de hackeri autohtoni, respectiv o grupare puțin cunoscută care se numește The One Who Spoke și o alta, Soldiers of God, cunoscută pentru campaniile sale împotriva comunității LGBTQ+ din Liban, însă presa locală a raportat că atacul ar fi putut fi efectuat de grupări externe de hacking care au folosit numele unor atacatori libanezi pentru a-și acoperi urmele sau pentru a stârni tensiune.

Ministrul lucrărilor publice și al transporturilor din Liban, Ali Hamieh, a declarat luni, 8 ianuarie 2024, în timpul unei conferințe de presă, că aproximativ 70% dintre ecranele aeroportului și-au reluat activitatea normală.

Aeroportul a fost deconectat de la internet „pentru a limita pagubele”, iar o investigație este în curs de desfășurare.

Postat în: stiri cybersecurity awareness

Vizualizat de 5351 ori

  • English
  • English


    

    Parteneri

logo-agerpres
logo-dekeneas

    Certificatul digital este asigurat de:

Subiecte populare

Copyright © 2011-2024 DNSC
Feed RSS | Contact | Termeni și condiții