Știrile săptămânii din cybersecurity (21.12.2023)
Cercetătorii documentează o serie de aplicații malițioase OilRig
Gruparea de criminalitate cibernetică OilRig, sponsorizată de statul iranian, a implementat, pe tot parcursul anului 2022, trei programe malware diferite pentru a menține accesul persistent în rețelele organizațiilor victimă din Israel, dezvăluie compania slovacă de securitate ESET într-un amplu raport ce cuprinde și analiza tehnică a programelor malițioase.
OilRig, cunoscut și ca APT34, Crambus, Cobalt Gypsy, Hazel Sandstorm și Helix Kitten, este un actor iranian de spionaj cibernetic despre care se știe că este activ cel puțin din 2014, folosind o gamă largă de programe malware pentru a viza entitățile din Orientul Mijlociu.
Cele trei noi aplicații de descărcare au fost denumite ODAgent, OilCheck și OilBooster de către cercetătorii ESET, iar acurile au implicat și utilizarea unei versiuni actualizate a unui program de descărcare OilRig cunoscut, numit SampleCheck5000 sau SC5k.
ODAgent, detectat pentru prima dată în februarie 2022, este un program de descărcare C#/.NET care utilizează Microsoft OneDrive API pentru comunicații de comandă și control (C2), permițând actorului amenințării să descarce și să execute payload-uri și să exfiltreze fișiere în etape.
OilBooster, la fel ca ODAgent, utilizează Microsoft OneDrive API pentru C2, SampleCheck5000 este conceput pentru a interacționa cu un cont de e-mail Microsoft Exchange partajat pentru a descărca și executa instrumente OilRig suplimentare folosind API-ul Office Exchange Web Services (EWS), iar OilCheck adoptă aceeași tehnică precum SampleCheck5000 pentru a extrage comenzile încorporate în mesajele nefinalizate, însă folosește API-ul Microsoft Graph pentru comunicațiile în rețea.
Noul backdoor Pierogi++ vizează entități palestiniene
SentinelOne informează că un atacator pro-Hamas cunoscut sub numele de Gaza CyberGang vizează entități palestiniene folosind o versiune actualizată a unui backdoor numit Pierogi, folosit pentru prima dată în 2022 și văzut pe tot parcursul anului 2023.
”Activitățile recente ale Gaza Cybergang arată o țintire consecventă a entităților palestiniene, fără modificări semnificative observate în dinamică de la începutul războiului Israel-Hamas", se arată în raportul publicat de SentinelLabs.
Gruparea de criminalitate cibernetică Gaza CyberGang este activă cel puțin din anul 2012 și are un istoric în vizarea entităților din Orientul Mijlociu, în special organizațiile din Israel și Palestina, folosind adesea spear-phishing ca metodă de acces inițial.
Cel mai recent set de intruziuni orchestrate de Gaza CyberGand folosește Pierogi++ (versiunea actualizată a backdoor-ului Pierogi) și Micropsia. Pierogi++ este implementat în limbajul de programare C++, iar prima utilizare înregistrată a acestuia datează de la sfârșitul anului 2022.
Atât Pierogi, cât și Pierogi++ sunt echipate pentru a face capturi de ecran, a executa comenzi și a descărca fișiere furnizate de atacator și permit atacatorilor să spioneze victimele vizate.
Descoperirea backdoor-ului Pierogi++ subliniază faptul că această grupare continuă să-și rafineze și să-și refacă programele malware pentru a asigura compromiterea cu succes a țintelor și pentru a menține accesul persistent în rețelele lor.
Două mari campanii din zona tentativelor de fraudă se propagă în ultimele luni pe social media (Facebook, Youtube), precum și pe platforme de mesagerie cum ar fi WhatsApp sau Telegram.
Experții dezvăluie noi detalii despre două vulnerabilități RCE Outlook
Cercetătorii Akamai au împărtășit detalii tehnice despre două vulnerabilități de securitate remediate în Microsoft Windows, erori ce ar putea fi înlănțuite de către atacatori pentru a realiza execuția codului de la distanță pe serviciul de e-mail Outlook, fără a fi necesară interacțiunea utilizatorului.
Cele două vulnerabilități sunt identificate prin CVE-2023-35384 (scor CVSS: 5,4), identificată în HTML Windows, respectiv CVE-2023-36710 (scor CVSS: 7,8), identificată în Windows Media Foundation.
La începutul lunii decembrie 2023, Microsoft, Proofpoint și Palo Alto Networks Unit 42 au dezvăluit că un atacator rus cunoscut sub numele de APT28 (alias Forest Blizzard) a exploatat în mod activ vulnerabilitatea CVE-2023-35384 pentru a obține acces neautorizat la conturile victimelor pe serverele Exchange.
Pentru a atenua riscurile, se recomandă ca organizațiile să folosească microsegmentarea pentru a bloca conexiunile IMM-urilor de ieșire la adrese IP publice și, în plus, se recomandă fie dezactivarea NTLM, fie adăugarea de utilizatori la grupul de securitate Protected Users, ceea ce împiedică utilizarea NTLM ca mecanism de autentificare.
Programul malware QakBot reapare cu noi tactici și vizează industria hotelieră
La mai bine de trei luni după ce un efort coordonat de aplicare a legii a demontat infrastructura programului malware QakBot, Microsoft avertizează asupra reapariției acestuia, descoperind o campanie de phishing de volum redus începută pe 11 decembrie 2023.
QakBot, numit și QBot și Pinkslipbot, a fost întrerupt ca parte a Operațiunii Duck Hunt, după ce autoritățile au reușit să obțină acces la infrastructura sa și au instruit computerele infectate să descarce un fișier de dezinstalare pentru a face malware-ul ineficient.
Distribuit în mod tradițional prin mesaje de e-mail spam care conțin documente sau hyperlinkuri malițioase, QakBot este capabil să colecteze informații sensibile, precum și să furnizeze programe malware suplimentare, inclusiv ransomware.
”Nu este neobișnuit să vedem că programele malware revin după acțiunile de aplicare a legii, cele două cele mai importante fiind TrickBot și Emotet”, a declarat Selena Larson, analist senior de informații despre amenințări la Proofpoint.
”Deși revenirea Qbot la datele amenințărilor prin e-mail este notabilă, nu a fost observată la același volum și amploare ca în campaniile anterioare.
Perturbarea aplicării legii pare să aibă în continuare un impact asupra operațiunilor Qbot”, a declarat Microsoft.
În data de 01 decembrie 2023, Biroul Federal de Investigații (FBI), Agenția pentru Securitate Cibernetică și Securitatea Infrastructurii din SUA (CISA), Agenția Națională de Securitate a SUA (NSA), Agenția pentru Protecția Mediului (EPA) și Direcția Națională Cibernetică din Israel (INCD) au lansat o avertizare comună pentru a evidenția o operațiune cibernetică împotriva unor dispozitive tehnologice operaționale, derulată de către actori cibernetici afiliați Gărzilor Revoluționare Islamice ai Guvernului Iranian (Iranian Government Islamic Revolutionary Guard Corps – IRGC).
Începând cu 22 noiembrie 2023, actorii cibernetici afiliați IRGC au compromis dispozitivele Unitronics menționate a căror administrare era disponibilă online pe baza credențialelor de acces implicite. Ulterior, atacatorii afișau pe echipamentele afectate mesajul: “You have been hacked, down with Israel. Every equipment ‘made in Israel’ is CyberAv3ngers legal target.” („Ați fost compromiși, jos cu Israelul.Fiecare echipament «fabricat în Israel» este țintă pentru CyberAv3ngers.”).
În urma verificărilor efectuate în România, a fost identificat un atac similar împotriva unei entități din sectorul epurării apelor uzate, metoda de atac și echipamentele țintă fiind aceleași. Ca și în cazul atacurilor înregistrate în SUA, vizate au fost sistemele PLC fabricate de Unitronix. Atacul nu a avut impact asupra asigurării serviciului furnizat de compania în cauză, deci nu au fost înregistrate daune în ceea ce privește capacitatea entității vizate de a realiza activitățile specifice.
Ghid de protejare și recuperare conturi social media
Conturile de social media sunt expuse la diverse riscuri cibernetice, iar utilizatorii ar trebui să fie conștienți de amenințările potențiale pentru a-și proteja informațiile personale și prezența online. Spre exemplu, preluarea controlului asupra contului (Account Takeover Attack - ATO). Atacatorii cibernetici pot încerca să obțină acces neautorizat la conturile tale de social media prin utilizarea de parole furate sau exploatare de vulnerabilități. După ce au obținut controlul, ei pot să-ți fure identitatea, să posteze informații false ori conținut malițios sau să acceseze informații sensibile.
Echipa DNSC ți-a pregătit un ghid util pentru protecția și recuperarea accesului la conturile voastre de social media: Facebook, Instagram, WhatsApp, TikTok, Youtube. Accesează link-ul din titlul acestei știri, descarcă ghidul și apoi partejează ghidul cu prieteni, cunoștințe și familie!
Zece noi troieni bancari Android au vizat 985 de aplicații bancare în 2023
Cercetătorii Zimperium au publicat un raport privind furturile bancare mobile, dezvăluind că au descoperit 29 de familii de malware care au vizat 1800 de aplicații bancare din 61 de țări în ultimul an, zece dintre acestea fiind programe malware noi, nedocumentate anterior, care au vizat colectiv 985 de aplicații bancare și fintech/trading, iar 19 fiind programe malware apărute în 2022 și fiind modificate anul acesta pentru a adăuga noi capabilități și a le crește sofisticarea operațională.
Zimperium a analizat toate cele 29 de programe malițioase și a raportat că printre caracteristicile standard disponibile în majoritatea troienilor examinați sunt incluse înregistrarea tastelor, suprapunerea paginilor de phishing și furtul de mesaje SMS.
Cei zece noi troieni bancari, respectiv Nexus, Godfather, Pixpirate, Saderat, Hook, PixBankBot, Xenomorph v3, Vultur, BrasDex și GoatRat au peste 2100 de variante active deghizate în aplicații de productivitate, portaluri de divertisment, instrumente de fotografie, jocuri sau ajutoare educaționale.
Dintre familiile de malware care au existat în 2022 și au fost actualizate pentru 2023, cele care mențin activitate notabilă sunt Teabot, Exobot, Mysterybot, Medusa, Cabossous, Anubis și Coper.
În ceea ce privește cele mai vizate țări, pe primul loc se află Statele Unite (109 de aplicații bancare vizate), urmate de Regatul Unit (48 de aplicații bancare), Italia (44 de aplicații), Australia (34), Turcia (32), Franța (30), Spania (29), Portugalia (27), Germania (23) și Canada (17).
Pentru a se proteja împotriva acestor amenințări, utilizatorii sunt sfătuiți să evite descărcarea APK-urilor din afara Google Play, să citească atent recenziile celorlalți utilizatori și să efectueze o verificare a dezvoltatorului/editorului aplicației.
Comisia Europeană a adoptat programele de lucru modificate aferente anului 2024 pentru Programul Europa Digitală (DEP), subliniind obiectivele și domeniile tematice specifice care vor primi o finanțare totală de 762,7 milioane de euro. Acestea cuprind investiții strategice necesare realizării obiectivului Deceniului Digital al Europei. Programul Europa Digitală își propune să consolideze suveranitatea tehnologică a Europei și să aducă pe piață soluții digitale în beneficiul cetățenilor, administrațiilor publice și întreprinderilor, contribuind în același timp la obiectivele Pactului Ecologic European.
Laboratorul Național Idaho, victima unui atac cibernetic
Laboratorul Național Idaho (INL), unul dintre cele 17 laboratoare naționale ale Departamentului de Energie al SUA, a confirmat o ”încălcare a datelor de securitate cibernetică” petrecută pe 19 noiembrie 2023, incident în cadrul căruia atacatorii au exfiltrat informațiile personale ale peste 45.000 de persoane.
Atacul cibernetic a afectat platforma de management HR a laboratorului, Oracle HCM, iar datele exfiltrate de hackeri sunt informații sensibile de identificare personală (PII), inclusiv nume, numere de securitate socială, informații despre salarii și detalii bancare.
INL a raportat incidentul cibernetic autorităților, o investigație fiind demarată de CISA și FBI, dar nu au fost oferite detalii privind gruparea de criminalitate cibernetică responsabilă pentru atac.
”O grupare de hacking cunoscută și-a asumat responsabilitatea prin intermediul rețelelor sociale, dar trebuie finalizată o investigație completă pentru a confirma aceste informații.", a declarat INL.
Atacul a fost revendicat de către atacatorii SiegedSec care au și publicat datele furate, fără a încerca o negociere și fără a cere o răscumpărare de la INL.
SiegedSec susține că datele scurse online includ o gamă largă de informații sensibile, inclusiv persoanele afectate, nume complete, date de naștere, adrese de e-mail, numere de telefon, numere de securitate socială (SSN), adrese fizice și informații despre angajare.
Au fost identificate 116 pachete malițioase în depozitul PyPI
Cercetătorii în domeniul securității cibernetice au identificat un set de 116 pachete malware în depozitul Python Package Index (PyPI), concepute pentru a infecta sistemele Windows și Linux cu un backdoor personalizat și estimează că acestea ar fi fost descărcate de peste 10.000 de ori din mai 2023.
"În unele cazuri, payload-ul final este o variantă a infamului W4SP Stealer, sau un simplu malware Clipper pentru a fura criptomonede, sau ambele.", au declarat cercetătorii ESET într-un raport publicat pe 12 decembrie 2023.
Scopul campaniei identificată de ESET este de a compromite gazda vizată cu un backdoor capabil să execute comenzi de la distanță, să extragă date și să obțină capturi de ecran, modulul backdoor fiind implementat în Python pentru Windows și în Go pentru Linux.
În mai 2023, ESET a dezvăluit un alt grup de pachete care au fost concepute pentru a propaga Sordeal Stealer, program ce își împrumută caracteristicile de la W4SP Stealer.
În noiembrie 2023, au fost identificate alte pachete malițioase prefațate ca instrumente de ofuscare aparent inofensive pentru a implementa un malware de furt cu numele de cod BlazeStealer.
"Dezvoltatorii Python ar trebui să verifice cu atenție codul pe care îl descarcă înainte de a-l instala pe sistemele lor”, au avertizat cercetătorii.
Noul program malware NKAbuse exploatează tehnologia NKN Blockchain pentru atacuri DDoS
O nouă amenințare multiplatformă numită NKAbuse a fost descoperită folosind, ca și canal de comunicare, un protocol de conectivitate de rețea descentralizat, peer-to-peer, cunoscut sub denumirea NKN (New Kind of Network).
NKN, care are peste 62.000 de noduri, este descris ca o rețea de suprapunere software care le permite utilizatorilor să partajeze lățimea de bandă nefolosită și să câștige recompense.
NKAbuse folosește tehnologia blockchain pentru a efectua atacuri DDoS și funcționează ca un implant malițios în sistemele compromise.
Malware-ul este implementat în limbajul de programare Go, iar dovezile arată că este folosit în primul rând pentru a identifica sistemele Linux, inclusiv dispozitivele IoT, în Columbia, Mexic și Vietnam.
În prezent, nu se știe cât de răspândite sunt atacurile, însă o instanță identificată de cercetătorii în securitate cibernetică implică exploatarea vulnerabilității CVE-2017-5638 (SCOR cvss: 10) ce afectează Apache Struts.
Orașul Defiance a fost victima grupării de ransomware Knight
Gruparea de criminalitate cibernetică Knight susține că a încălcat cibernetic sistemele IT ale municipalității Defiance, Ohio, enumerând oficial orașul drept cea mai recentă victimă a sa.
Atacatorii declară că au obținut acces la peste 390 de gigaocteți de date sensibile, printre fișierele compromise numărându-se evidențele angajaților, videoclipuri ale forțelor de ordine, e-mailuri și diverse documente confidențiale printre care și contracte.
Defiance se află situat la aproximativ 55 mile sud-vest de orașul Toledo și 47 mile nord-est de Fort Wayne, Indiana și are o populație de 17.066 locuitori, conform recensământului din 2020.
În urma incidentului ce s-ar fi desfășurat pe 13 decembrie 2023, oficialii orașului nu au publicat nicio declarație și nu au făcut niciun comentariu public.
Atacatorii Knight au apărut relativ recent în peisajul amenințărilor cibernetice, respectiv în august 2023 și au fost implicați până acum în campanii de phishing ce au vizat organizațiile din Italia.
Datele a peste un milion de utilizatori GokuMarket au fost expuse Echipa de cercetare
Cybernews a descoperit o instanță MongoDB neprotejată care stoca informații despre utilizatorii GokuMarket, eroare ce a expus detaliile tuturor utilizatorilor platformei criptografice deținută de ByteX.
Companiile folosesc MongoDB pentru a stoca și organiza cantități mari de informații sub formă de documente, iar în cazul GokuMarket, MongoDB stoca detaliile a peste un milion de clienți și utilizatori Baza de date expusă a fost descoperită în octombrie 2023, iar informațiile includeau IP-urile utilizatorilor, țările de reședință, adresele de e-mail, parole criptate, adresele portofelelor criptografice, datele de naștere, numele și prenumele și numerele de telefon mobil.
În plus, echipa Cybernews a descoperit că baza de date deținea 35 de conturi cu acces complet de administrator, inclusiv ID-uri private de canal Telegram, simboluri secrete ale platformei de schimb, parole și alte informații extrem de sensibile.
Cercetătorii apreciază că există informații mai mult decât suficiente pentru ca un atacator persistent să dezvolte o campanie de spear-phishing ce ar avea ca scop probabil să epuizeze fondurile criptografice ale utilizatorilor.
Postat în: stiri cybersecurity awareness
Vizualizat de 5250 ori
