Știrile săptămânii din cybersecurity (07.09.2023)
Freecycle confirmă un incident cibernetic ce afectează 7 milioane de utilizatori
Peste șapte milioane de persoane au fost afectate de o breșă de securitate ce a avut loc pe serverele Freecycle, un forum online dedicat schimbului de obiecte folosite.
„Pe 30 august am aflat despre o încălcare a datelor pe Freecycle.org. Drept urmare, sfătuim toți membrii să-și schimbe parolele cât mai curând posibil”, a avertizat fondatorul și directorul executiv Freecycle, Deron Beal, într-o notificare adăugată pe pagina de pornire a forumului.
Potrivit Freecycle, informațiile furate includ nume de utilizator, ID-uri de utilizator, adrese de e-mail și parole cu hash MD5, fără alte informații expuse.
Organizația a declarat că a raportat incidentul autorităților competente și își sfătuiește utilizatorii să schimbe parolele folosite, să fie vigilenți la e-mailurile de tip phishing, să evite accesarea link-urilor atașate e-mailurilor și să nu descarce documentele atașate decât dacă sunt siguri de proveniența acestora.
Site-ul agenției financiare germane, ținta unui atac DDoS
Autoritatea Federală de Supraveghere Financiară din Germania (BaFin), parte a Ministerului Federal de Finanțe, a anunțat, la 4 septembrie 2023, că se confruntă cu un atac de tip DDoS în desfășurare și care afectează site-ul său web din data de 1 septembrie 2023.
BaFin a inddicat că a luat toate măsurile de securitate adecvate și măsurile defensive, inclusiv indisponibilizarea site-ului „bafin.de”, pentru a-și proteja operațiunile de hackeri, iar echipa sa IT „lucrează intens pentru a restabili complet accesul public la site”.
Site-ul BaFin găzduiește informații despre consumatori și reglementări, măsuri, avertismente și, de asemenea, servește ca spațiu pentru publicarea documentelor importante referitoare la activitățile de investigare ale agenției.
Nu este clar cine orchestrează atacul DDoS asupra autorității financiare germane, însă există speculația conform căreia hacktiviștii pro-ruși ar purta responsabilitatea incidentului, având în vedere atitudinea de susținere a Germaniei față de Ucraina, inclusiv cu echipamente militare și ajutor financiar.
Smishing Triad vizează cetățenii americani într-o nouă campanie
Cercetătorii în securitate cibernetică de la Resecurity au identificat o campanie de smishing pe scară largă ce vizează utilizatorii din SUA prin uzurparea identității serviciilor de corespondență și livrare populare, orchestrată de gruparea de criminalitate cibernetică vorbitoare de limba chineză Smishing Triad.
Smishing Triad folosește atacurile smishing ca vector de atac principal, iar cercetătorii au descoperit că acest atacator are afilieri cu mai mulți atacatori diferiți și că oferă infrastructură de criminalitate ca serviciu începând de la 200 USD/lună.
În această campanie, Smishing Triad a uzurpat identitatea celor mai importante servicii poștale, inclusiv USPS, Correos (Spania), The Royal Mail (Marea Britanie), Postnord (Suedia), Poczta Polska (Polonia), J&T Express (Indonezia), Serviciul poștal din Noua Zeelandă (NZPOST), Poste Italiane și Serviciul fiscal italian (Agenzia delle Entrate).
Programul malware Android Infamous Chisel vizează armata ucraineană
Potrivit unui raport al Guvernului Britanic, „Infamous Chisel”, un program malware recent descoperit, vizează portofele criptografice și alte aplicații Android, exfiltrând date din cel puțin trei portofele de criptomonede, respectiv Binance App, Coinbase Wallet și Trust Wallet, precum și din browserele Brave și Opera, dar și din PayPal, Dropbox, Firefox, Telegram, Skype, WhatsApp, Discord, Viber sau Google Chrome.
Infamous Chisel a fost atribuit grupării de criminalitate cibernetică Sandworm sponsorizată de Rusia, iar capabilitățile software-ului malițios includ monitorizarea rețelei, colectarea traficului, accesul backdoor la rețea prin The Onion Router (Tor) și Secure Shell (SSH), scanarea rețelei și transferul de fișiere Secure Copy Protocol (SCP).
Pe 31 august 2023, CISA, NCSC-UK, NSA, FBI, CCCS și ASD au publicat un raport comun de analiză a malware-ului și dezvăluie faptul că Infamous Chisel a fost folosit într-o campanie malițioasă ce vizează dispozitivele Android folosite de armata ucraineană.
Lazarus implementează pachete VMware PyPI false în atacurile VMConnect
Trei pachete Python malițioase recent descoperite, încărcate la începutul lunii august în Python Package Index (PyPI), unul numit VMConnect, iar celelalte două publicate sub denumirile „ether” și „quantiumbase” sunt considerate a fi parte a campaniei VMConnect și au fost atribuite grupării nord-coreene de criminalitate cibernetică Lazarus.
La momentul eliminării de pe platformă, pachetul VMConnect fusese descărcat de 237 de ori, pachetul ethter, care imită imită pachetul legitim „eth-tester” cu peste 70,000 de descărcări lunare, fusese descărcat de 253 de ori, iar quantiumbase, care este o clonă a pachetului „database”, număra 216 descărcări.
Cercetătorii au descoperit mai multe pachete care fac parte din aceeași operațiune VMConnect, și anume „tablediter” (736 descărcări), „request-plus” (43 descărcări) și „requestspro” (341 descărcări).
Măsurile luate de atacatori pentru ca pachetele malițioase să pară demne de încredere și să deruteze dezvoltatorii includ practici standard, cum ar fi typosquatting pe numele pachetelor populare open source și însuşirea descrierilor pachetelor legitime.
Cercetătorii ReversingLabs au publicat o analiză a campaniei și câțiva indicatori de compromitere.
Atacatorii ransomware vizează bazele de date Microsoft SQL expuse
Cercetătorii Securonix au identificat o campanie în cadrul căreia atacatorii exploatează serverele Microsoft SQL (MSSQL) slab securizate pentru a furniza Cobalt Strike și o tulpină de ransomware numită FreeWorld, folosind atacuri de tip bruteforce.
Campania, numită DB#JAMMER, se remarcă prin modul în care sunt utilizate infrastructura și setul de instrumente, cercetătorii declarând că instrumentele includ software de enumerare, payload-uri RAT, software de exploatare, malware pentru furtul datelor de logare și payload-uri de ransomware.
Securonix nu a atribuit atacurile niciunei grupări infracționale cunoscute, dar a descoperit că FreeWorld este o nouă variantă a ransomware-ului Mimic ce a fost văzut pentru prima dată în iunie 2022.
În cazul analizat de cercetători mai multe instrumente malițioase au fost blocate de firewall-ul victimei, dar atacatorii au reușit, în cele din urmă, să lanseze ransomware-ul FreeWorld folosind software-ul legitim de acces la distanță AnyDesk.
Securonix sfătuiește utilizatorii bazelor de date Microsoft SQL să nu le expună la internet.
A fost lansat un decriptor gratuit pentru ransomware-ul Key Group
La 31 august 2023, compania de informații privind amenințările EclecticIQ a anunțat lansarea unui instrument de decriptare gratuit pentru a ajuta victimele ransomware-ului Key Group să-și recupereze datele fără a fi nevoie să plătească o răscumpărare.
Key Group, un atacator vorbitor de limbă rusă apărut la începutul anului 2023 este cunoscut pentru vânzarea de informații de identificare personală, accesul la dispozitive compromise și extorcarea victimelor și a fost observat folosind canale private Telegram pentru a comunica și a împărtăși detalii despre instrumente ofensive.
Ransomware-ul Key Group șterge fișierele originale din sistemul victimă după procesul de criptare, adaugă extensia de fișier .KEYGROUP777TG și, în plus, modifică adresele gazdelor produselor antivirus care rulează pe sistemul compromis pentru a împiedica actualizările.
EclecticIQ menționează că instrumentul său gratuit de decriptare, un script Python, poate fi folosit pentru a decripta fișierele care au extensia .KEYGROUP777TG, dar avertizează că instrumentul este experimental și ar putea să nu funcționeze pe toate mostrele de ransomware Key Group.
MalDoc în PDF, o tehnică recent descoperită de evitare a antivirusului
Cercetătorii în domeniul securității cibernetice atrag atenția asupra unei noi tehnici de evaziune antivirus care implică încorporarea unui fișier Microsoft Word rău intenționat într-un fișier PDF, metoda fiind numită „MalDoc în PDF” de către JPCERT/CC și se spune că a fost folosită într-un atac cibernetic în iulie 2023.
„Un fișier creat cu MalDoc în PDF poate fi deschis în Word, chiar dacă are numere magice și structură de fișiere PDF. Dacă fișierul are o macrocomandă configurată, prin deschiderea acestuia în Word, VBS rulează și efectuează comportamente malițioase”, conform unui articol publicat de cercetătorii japonezi Yuma Masubuchi și Kota Kino.
În cazul analizat de cercetători, atacatorul adaugă un fișier MHT creat în Word care este recunoscut ca fișier PDF în semnătura fișierului, dar poate fi deschis și în Word, cercetătorul menționând că există posibilitatea ca instrumentele de analiză PDF să nu detecteze părțile malițioase ale fișierului, iar acesta și să treacă drept un fișier PDF valid.
În articolul publicat pe blog, Masubuchi și Kino oferă o regulă de detectare creată folosind regula Yara, precum și informații C2 și valorile hash ale malware-ului confirmat.
Hackerii exploatează vulnerabilități MinIO pentru a compromite serverele
Cercetătorii Security Joes au observat că un atacator necunoscut exploatează două vulnerabilități de securitate de mare severitate în sistemul de stocare MinIO pentru a realiza execuția neautorizată a codului pe serverele afectate.
MinIO este platformă open source de stocare a obiectelor care oferă compatibilitate cu Amazon S3 și capacitatea de a stoca date nestructurate, jurnale, copii de rezervă și imagini container de până la 50 TB.
Vulnerabilitățile sunt identificate prin CVE-2023-28432 (scor CVSS: 7,5) și CVE-2023-28434 (scor CVSS: 8,8) și „au potențialul de a expune informații sensibile prezente în instalația compromisă și de a facilita execuția codului de la distanță (RCE) pe gazda unde este operațională aplicația MinIO”, conform unui raport Security Joes.
În timpul unei intervenții de răspuns la incident, analiștii Security Joes au descoperit că atacatorii au exploatat vulnerabilitățile pentru a obține acreditări de administrator și a instala o versiune modificată a aplicației MinIO, numită Evil MinIO.
Administratorii sistemului MinIO sunt sfătuiți să aplice actualizarea de securitate disponibilă pentru a-și proteja activele împotriva acestei amenințări.
