Știrile săptămânii din cybersecurity (30.06.2022)
Killnet țintește site-urile guvernamentale din Lituania
Gruparea pro-rusă Killnet și-a îndreptat atenția asupra Lituaniei în încercarea de a determina țara baltică să renunțe la sancțiunile împotriva Rusiei.
Hackerii au lansat atacuri de tip DDoS asupra mai multor site-uri web guvernamentale lituaniene, dar și asupra site-urilor aparținând instituțiilor private. Killnet a publicat un video pe contul de Telegram în care cer Lituaniei să permită tranzitul mărfurilor spre Kaliningrad, amenințând că vor ataca încontinuu dacă cererea le este ignorată.
Killnet a transmis că a atacat peste 1000 site-uri lituaniene, repetând inclusiv cererea de renunțare la sancțiunile UE împotriva Rusiei.
E-mail-uri cu atașamente malițioase în care atacatorii se folosesc de identitatea vizuală ANAF
În ultimele zile, Directoratul Național de Securitate Cibernetică (DNSC) a observat o creștere notabilă a utilizării malware-ului LokiBot în atacuri propagate prin intermediul serviciului de e-mail.
Infractori cibernetici folosesc identitatea vizuală a Agenției Naționale de Administrare Fiscală (ANAF) pentru a transmite prin intermediul unor e-mail-uri cod malițios. Mulți utilizatori au observat că este vorba despre un atac și nu un e-mail legitim din partea autorității și au notificat autoritățile.
LockBit instalat printr-un e-mail de phishing ce reclamă încălcarea dreptului de autor
Cercetătorii de la Ahnlab avertizează asupra unei noi campanii ransomware în cadrul căreia se folosește un e-mail de phishing care acuză încălcarea drepturilor de autor și care distribuie LockBit.
E-mailurile atenționează utilizatorii proprietari de site-uri web că anumite imagini de pe site încalcă proprietatea intelectuală, destinatarii fiind îndrumați să descarce un fișier atașat pentru a vedea conținutul încălcării.
Fișierul atașat este o arhivă ZIP, protejată prin parolă, ce conține un fișier comprimat care la rândul lui are un executabil deghizat în document PDF care, în realitate, este un program de instalare NSIS. Dacă victima deschide presupusul PDF, malware-ul va încărca și cripta dispozitivul cu ransomware-ul LockBit.
Vulnerabilitate de tip zero-day vizată în campanii ransomware
Grupările de ransomware vizează o vulnerabilitate zero-day care afectează un dispozitiv Mitel VoIP bazat pe Linux. CVE-2022-29499 a fost descoperită de către CrowdStrike în timpul unei investigații privind ransomware și corectată în aprilie de către Mitel.
În avizul său de securitate, Mitel a precizat că vulnerabilitatea afectează componenta Mitel Service Appliance a MiVoice Connect, iar după evaluarea bug-ului critic, compania a declarat că vulnerabilitatea ar putea fi exploatată în MiVoice Connect Service Appliances, SA 100, SA 400 și/sau Virtual SA.
Avertisment CISA: Atacatorii continuă să exploateze Log4Shell în serverele VMware Horizon
La 23 iunie 2022, CISA și CGCYBER au lansat un avertisment comun cu privire la încercările continue ale atacatorilor de a exploata vulnerabilitatea de severitate maximă Log4Shell (CVE-2021-44228) a serverelor VMware Horizon.
Avertismentul furnizează tactici, tehnici și proceduri ale atacatorilor, informații despre malware-ul utilizat, indicatori de compromis (IOC) și recomandări ale CISA și CGCYBER.
Vulnerabilitate nouă a Microsoft Azure Service Fabric
Cercetătorii de la Palo Alto au dezvăluit detalii despre o nouă vulnerabilitate de securitate cibernetică ce afectează platforma Service Fabric a Microsoft.
Vulnerabilitatea, denumită ”FabricScape”, este urmarită ca CVE-2022-30137, ar putea fi exploatată în Linux pentru escaladarea privilegiilor și preluarea controlului tuturor nodurilor dintr-un cluster și a fost remediată în data de 14 iunie 2022 în Microsoft Azure Service Fabric 9.0 Cumulative Update 1.0 Release.
Malware-ul ZuoRAT deturnează routerele pentru a spiona
Un nou troian de acces la distanță numit ZuoRAT este parte a unei campanii sofisticate ce vizează rețelele nord americane și europene, deturnând routerele pentru a spiona.
Se crede că această operație a început în primele luni ale anului 2020, a rămas sub radar vreme de doi ani și a vizat routerele ASUS, Cisco, DrayTek și Netgear, până de curând, când a fost descoperit pe un router SOHO.
Malware-ul a fost descris ca o versiune puternic modificată a botnet-ului Mirai care poate enumera o gazdă și o rețea LAN internă, poate captura pachete transmise prin dispozitivul infectat și care poate efectua atacuri de tip man-in-the-middle. În plus, operatorii ZuoRAT pot să monitorizeze traficul DNS și HTTPS cu scopul de a deturna solicitările și de a redirecționa victimele către domenii rău intenționate.
Tencent a fost victima unui atac cibernetic de tip QR phishing
Compania ce deține rețeaua de socializare Tencent a fost compromisă de infractorii cibernetici care au folosit un cod QR infectat pentru a viza utilizatorii platformei.
Tencent a publicat un anunț pe rețeaua de socializare Weibo, prezentându-și scuzele pentru faptul că hackerii au deturnat conturile utilizatorilor, susținând că vulnerabilitatea a fost corectată în urma unei investigații, iar conturile au revenit la normal.
De asemenea, compania a îndemnat utilizatorii să nu scaneze coduri QR din surse necunoscute și să dea dovadă de vigilență sporită când se conectează, din locuri ”neobișnuite”, la conturile lor.
Actorii rău intenționați aplică pentru job-uri remote folosind tehnologia Deepfake
Internet Crime Complaint Center al FBI a emis un avertisment cu privire la infractorii cibernetici care utilizează deepfake și informații personale furate în scopul aplicării pentru posturi de lucru la distanță.
Posturile vizate de atacatori implică tehnologia informației și programarea computerelor, baze de date și funcții legate de software, iar în unele cazuri, chiar acces la informații sensibile ale organizațiilor sau ale clienților.
Managerii au raportat o creștere semnificativă a numărului de candidați ale căror acțiuni, cum ar fi tusea, strănutul și mișcări ale buzelor nu se aliniază cu audio în timpul interviurilor virtuale.
Aplicațiile de control parental conțin breșe mari de securitate cibernetică
Conform unui sondaj din 2021, jumătate dintre părinții din SUA folosesc aplicații de control parental și 40% dintre parinții din Marea Britanie folosesc urmărirea prin GPS pentru copiii lor.
O nouă cercetare Cybernews care a cuprins analiza celor mai populare zece aplicații de control parental arată că aceste aplicații, unele având peste 85 milioane de instalări, folosesc oportunitatea și pentru a spiona părinții, iar patru dintre ele nu respectă întotdeauna cele mai înalte standarde de securitate, conținând chiar link-uri malițioase.
Potrivit cofondatorului Casaba Security, confidențialitatea copiilor este de asemenea încălcată, iar aplicațiile de acest gen sunt, în esență, un backdoor care colectează date și informații din telefoanele celor mici pe care le expun terților.
Antifake, proiectul Amprenta Digitală: Amenințarea Advanced Persistent Manipulator (APM)
Amenințarea Advanced Persistent Manipulator (APM) este generată de un actor sau de o grupare de actori care derulează un atac informațional sofisticat asupra unei ținte specifice prestabilite, folosind resurse variate, multiple platforme și conținut multimedia.
La fel ca în cazul amenințărilor cibernetice de tip Advanced Persistent Threat (APT), APM-urile sunt derulate în spațiul online pe perioade considerabile de timp prin atacatori specializați și bine finanțați.
Dacă în cazul amenințării APT sunt exploatate vulnerabilitățile sistemelor informatice și utilizarea lor neglijentă, acțiunile de tipul APM exploatează vulnerabilitățile platformelor digitale/ ale rețelelor sociale online și erorile cognitive ale utilizatorilor umani pentru a influența opiniile și conversația publică în ansamblul său.
