A FOST PUBLICATĂ LISTA TARIFELOR AFERENTE ACTIVITĂȚILOR DE AUDIT DE SECURITATE CIBERNETICĂ. Accesați aici lista

Știrile săptămânii din cybersecurity (31.03.2022)

2022/03/31
Popularitate 992

Foto:

Apple și Meta au fost păcălite de hackeri care pretindeau că sunt funcționari de aplicare a legii să ofere date despre utilizatori

Apple și Meta au predat date ale utilizatorilor către hackeril care au falsificat ordinele de solicitare de date de urgență trimise de obicei de către autoritățile de aplicare a legii, potrivit unui raport al Bloomberg. Gafa a avut loc la mijlocul anului 2021, ambele companii fiind păcălite să furnizeze informații despre adresele IP ale utilizatorilor, numerele de telefon și adresele de domiciliu.

Funcționarii responsabili cu aplicarea legii solicită adesea date de la platformele sociale în legătură cu anchetele penale, permițându-le să obțină informații despre proprietarul unui anumit cont online. În timp ce aceste solicitări necesită o citație sau un mandat de percheziție semnat de un judecător, solicitările de date de urgență nu sunt – și sunt destinate cazurilor care implică situații care pun viața în pericol.

Grupul Anonymous amenință cu o scurgere de date cu impact devastator pentru Rusia

Ca parte a ofensivei grupului Anonymous împotriva Federației Ruse, hacktiviștii au publicat pe DDoSecrets 2.4GB de email-uri furate de la Rosproekt, o companie rusească de construcții, și aproximativ 140.000 de email-uri de la MashOil, un producător de echipamente de foraj, minerit și fractare.

În plus, Anonymus a anunțat că „în următoarele 1-2 săptămâni” vor fi publicate aproximativ 1.22TB de date de la o altă țintă din Rusia.

Site-uri WordPress compromise forțează vizitatorii să lanseze atacuri DDoS

La 28 martie 2022, MalwareHunterTeam a descoperit un site WordPress compromis ce utiliza un script care forța browserele vizitatorilor să lanseze atacuri distributed denial-of-service (DDoS) împotriva a 10 site-uri, aparținând unor ținte precum instituții guvernamentale ucrainene sau alte entități pro-ucrainene. Conform unui developer, există sute de site-uri WordPress compromise care lansează atacuri DDoS.

BleepingComputer a descoperit că un site pro-ucrainean utilizează același script pentru a lansa atacuri împotriva 67 de site-uri rusești. Acest site menționează că utilizează browserele utilizatorilor pentru a lansa atacuri, însă celelalte site-uri compromise realizează aceste acțiuni fără cunoștiința proprietarilor și vizitatorilor.

DNSC: Campanie cibernetică malițioasă cu malware de tip Trojan Stealer via email

Directoratul Național de Securitate Cibernetică (DNSC) atrage atenția asupra faptului că, începând cu data de 25 martie 2022, este în desfășurare o campanie cibernetică malițioasă cu malware de tip Trojan Stealer, via email, care vizează instituții de stat și private din România.

Atacatorii impersonează instituții publice sau companii private din România, folosind liste de adrese de email existente în calculatoarele atacate, pentru a transmite și propaga mesaje ce conțin linkuri infectate. Prin accesarea linkului respectiv este descărcat un fișier Excel Macro (de tip Trojan Stealer) după care, odată cu activarea funcției Macro, este instalat un program malițios cu ajutorul căruia sunt extrase date din sistemul informatic.

Campanie cu link-uri de phishing venite în mesaje de la propriul număr de telefon

Conform VICE, mai multe persoane au anunțat că au primit de la propriul număr de telefon mesaje SMS care menționau că „factura ta a fost plătită” și „un mic cadou pentru tine”, urmat de un link cu un URL suspect. Campania de smishing ar viza în mod special clienți ai Verizon sau ai unor entități asociate cu rețeaua Verizon.

CERT-UA atenționează referitor la răspândirea malware-ului MarsStealer 

Centrul de răspuns la incidente de securitate cibernetică din Ucraina (CERT-UA) atenționează cu privire la distirbuirea în masă a unor email-uri care folosesc imaginea Ministerului Educației și Științei din Ucraina.

Email-ul se adresează în special cetățenilor și instituțiilor din Ucriana și conține un mesaj despre „reviste educaționale electronice” și un link către un program care conduce la descărcarea malware-ului MarsStealer pe dispozitivele potențialelor victime.

O parte din funcțiile MarsStealer includ furtul de informații despre sistem, furtul de date de autentificare din browser sau din aplicațiile de autentificare multifactor, capturi de ecran sau descărcarea și rularea fișierelor executabile.

Cea mai mare companie de telecomunicații din Ucraina a fost victima unui atac cibernetic

Informația a fost anunțată pe Twitter de NetBlock, o organizație care monitorizează securitatea pe internet. Adjunctul șefului Serviciului ucrainean pentru Comunicații Speciale a confirmat incidentul pentru Forbes. 

NetBlock a transmis că datele în timp real au arătat o întrerupere bruscă și continuă a serviciului de internet oferit de Ukrtelecom, cea mai gravă înregistrată de la izbucnirea războiului în Ucraina. Compania de telecomunicații a precizat pe contul de Facebook că ai săi clienți au înregistrat dificultăți temporare de conectivitate.

SSCSPI a indicat actorii responsabili pentru valurile de atacuri cibrnetice împotriva Ucrainei

Conform Serviciului Statal pentru Comunicații Speciale și Protecția Informației din Ucraina (SSCSPI), actorii responsabili pentru valurile de atacuri cibernetice din perioada 15-22 martie 2022, împotriva infrastructurii ucrainene, sunt organizații afiliate cu servicii guvernamentale sau de securitate ale Federației Ruse, Republicii Belarus, sau agenții de securitate ale auto-proclamatei Republici Populare Lugansk.

Directorul adjunct al SSCSPI a menționat că hackerii vizează și organizații ale Uniunii Europene care sprijină refugiații ucraineni.

Pachete NPM rău-intenționate distribuite ca parte a unui atac supply chain

Grupul RED-LILI a fost asociat cu o campanie la scară largă de atacuri supply chain care vizează depozitul de pachete NPM.

Conform Checkmarx, atacatorii au automatizat procesul de creare a conturilor NPM, deschizând conturi dedicate pentru fiecare pachet și publicând aproximativ 800 de module rău-intenționate. Atacatorii utilizează o combinație între cod Python și instrumente pentru web testing precum Selenium, pentru a simula acțiunile pentru procesul de creare a unui utilizator. Pentru a depăși pasul de verificare one-time password, atacatorii utilizează instrumentul open-source Interactsh.

JFrog și Sonatype au raportat recent sute de pachete NPM care utilizează tehnici precum dependency confusion și typosquatting pentru a viza dezvoltatorii Azure, Uber și Airbnb.    

Log4Shell este exploatată pentru a infecta servere VMware Horizon cu backdoors sau crypto miners

Conform Sophos, atacurile împotriva serverelor neactualizate VMware Horizon au fost identificate inițial la mijlocul lunii ianuarie 2022.

Vulnerabilitatea Log4Shell (CVE-2021-44228) este exploatată pentru a lansa backdoors precum Silver, dar și Atera sau Splashtop Streamer, modificate astfel încat să devină instrumente de monitorizare backdoor. Atacurile sunt asociate și cu patru crypto miners - z0Miner, JavaX, Jin și Mimu. În plus, cercetătorii au observat semne de lansare a reverse shell, cu rolul de a colecta informații despre dispozitiv și backup.  

Hackeri sprijiniți de Coreea de Nord au exploatează o vulnerabilitate zero-day împotriva țintelor din SUA

Cercetătorii de la Google Threat Analysis Group (TAG) au publicat informații referitoare la o vulnerabilitate zero-day pentru Chrome, CVE-2022-0609, reparată la 14 februarie 2022 și exploatată de grupurile Operation Dream Job și Operation AppleJeus, susținute de Coreea de Nord. TAG a observat indicii conform cărora exploit-ul ar putea viza și Safari pentru macOS și Firefox pentru toate sistemele de operare.

Primul grup a vizat peste 250 de persoane, în timp ce atacurile celui de al doilea au vizat 85 de persoane, făcând parte din companii de media, IT, cryptomonede sau servicii financiare.

În acest context, Operation Dream Job este responsabilă pentru email-uri trimise de așa-ziși recrutori de la Disney, Google și Oracle, mesajele conținând link-uri către site-uri de recrutare care păreau legitime, utilizând imaginea Indeed sau ZipRecruiter. Site-urile compromise conțineau un iframe care lansa exploit-ul.

Membrii Operation AppleJeus au compromis site-urile a cel puțin 2 companii de servicii financiare, dar și alte site-uri care promovau aplicații rău-intenționate pentru criptomonede. Site-urile conțineau iframes care lansau exploit-ul. 

DNSC recomandă newsletter-ul Antifake

Proiectul Antifake este o inițiativă de educație digitală, conștientizare publică și combatere a dezinformării pe care echipa Directoratului Național de Securitate Cibernetică vă recomandă să îl urmăriți frecvent. În cadrul acestei inițiative, newsletter-ul "Anti-Fake, Săptămâna în 5 minute" este un instrument extrem de util pe care îl puteți folosi pentru a fi pregătiți în a distinge și evita știri sau informații care au ca principal obiectiv crearea confuziei și dezinformarea. 

'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, consilier DNSC


Vizualizat de 1180 ori