A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (10.11.2023)

2023/11/10
Popularitate 1000

ThreatLabz descoperă 117 vulnerabilități în aplicațiile Microsoft 365

Cercetătorii Zscaler dezvăluie 117 vulnerabilități unice de securitate în aplicațiile Microsoft 365, introduse neintenționat odată cu lansarea de către Microsoft a formatului de fișier SketchUP (SKP) în iunie 2022.

Microsoft a alocat trei CVE pentru a urmări aceste vulnerabilități, respectiv CVE-2023-28285, CVE-2023-29344 și CVE-2023-33146 și a creat un patch pentru a le aborda, dezactivând suportul pentru formatul de fișier SketchUp în Office.

Zscaler a publicat un raport care diseminează metodologiile utilizate pentru a descoperi aceste vulnerabilități și pentru a oferi detalii tehnice privind anumite erori din această serie.

Cercetătorii au declarat că acest raport este partea întâi a unei serii de două părți, cea de-a doua analiză urmând să fie disponibilă în curând.

Toți utilizatorii aplicațiilor Microsoft 365 sunt încurajați să facă upgrade la cea mai recentă versiune a acestui software.

Serviciile de sănătate publică din Singapore au fost afectate de atacuri DDoS

Synapxe, o agenție de tehnologie a sănătății care supraveghează instituțiile publice de asistență medicală din Singapore, a declarat că acestea din urmă au fost țintele unor atacuri de tip DDoS desfășurate în sîptămâna 30 octombrie – 5 noiembrie 2023.

Synapxe, care gestionează operațiunile a 46 de instituții publice de asistență medicală din Singapore și a aproximativ 1.400 de parteneri comunitari, cum ar fi casele de bătrâni și medicii generali, a declarat că nu există dovezi că serviciile de sănătate publică, datele pacienților sau rețelele interne IT ar fi fost compromise, însă atacurile au întrerupt miercuri, 1 noiembrie, conexiunea la internet în organizațiile afectate.

Vineri, 3 noiembrie 2023, atacurile DDoS asupra instituțiilor medicale erau încă în desfășurare, iar Synapxe a declarat că ”sectorul de sănătate publică va profita de această ocazie pentru a revizui apărarea împotriva atacurilor DDoS și va învăța din episod pentru a consolida și mai mult securitatea cibernetică”.

Atacatorii iranieni vizează sectoarele tehnologice și educaționale din Israel

Cercetătorii Palo Alto Networks dezvăluie o campanie cibernetică ofensivă orchestrată de o grupare APT iraniană împotriva organizațiilor de învățământ superior și tehnologie din Israel.

Campania este activă din ianuarie 2023, în cadrul ei sunt implementate programe malware nedocumentate anterior, iar gruparea de criminalitate cibernetică ce desfășoară aceste atacuri este cunoscută sub denumirile Agonizing Serpens, Agrius, BlackShadow sau Pink Sandstorm (anterior Americium) și este afiliată guvernului iranian.

”Atacurile sunt caracterizate de încercări de a fura date sensibile, cum ar fi informații de identificare personală (PII) și proprietate intelectuală”, au declarat cercetătorii Palo Alto Networks într-un nou raport.

Ca parte a unui atac observat, Agonizing Serpens a implementat MultiLayer, PartialWasher și BFG Agonizer, care sunt programe malware de tip wiper, și Sqlextractor, un instrument personalizat pentru a extrage informații din bazele de date.

”Se pare că gruparea Agonizing Serpens APT și-a îmbunătățit recent capacitățile și investește mari eforturi și resurse pentru a încerca să ocolească EDR și alte măsuri de securitate. Pentru a face acest lucru, atacatorii utilizează diferite instrumente pentesting, exploit-uri proof-of-concept (PoC) și instrumente personalizate.”, se arată în raportul cercetătorilor.

Google remediază 37 de vulnerabilități de securitate Android

Luni, 6 noiembrie 2023, Google a anunțat remedieri de securitate care abordează 37 de vulnerabilități Android și remedieri suplimentare lansate pentru dispozitivele Pixel.

”Cea mai gravă dintre aceste probleme este o vulnerabilitate critică de securitate în componenta System, care ar putea duce la dezvăluirea de informații locale fără a fi necesare privilegii de execuție suplimentare”, notează Google în avizul său.

Eroarea este identificată prin CVE-2023-40113, afectează versiunile Android 11, 12, 12L și 13 și a fost abordată împreună cu alte șase probleme din componenta System, evaluate cu un grad de severitate ridicat.

Vulnerabilitățile abordate cu această ocazie rezidă în Framework, System Android, Arm, MediaTek și Qualcomm.

De asemenea, Google a anunțat și corecții pentru opt vulnerabilități în dispozitivele Pixel, inclusiv trei care afectează componentele Kernel și WLAN și cinci în componentele Qualcomm. Compania nu menționează existența dovezilor de exploatare activă pentru niciuna dintre erorile abordate.

Hackerii Kinsing exploatează o vulnerabilitate Linux recent remediată

Cel mai recent efort al atacatorilor Kinsing implică exploatarea vulnerabilității de escaladare a privilegiilor Linux recent dezvăluită, cunoscut sub numele de Looney Tunables, iar aspectul surprinzător al acestor atacuri este exploatarea de către gruparea infracțională a mediilor cloud prin extragerea acreditărilor de la furnizorul de servicii cloud (CSP), potrivit unui raport al cercetătorilor Aqua.

Vulnerabilitatea este identificată prin CVE-2023-4911 și dacă este exploatată cu succes, acordă unui actor de amenințare privilegii root pe sistemul țintă.

Pentru a localiza instanțe de Looney Tunables, atacatorii folosesc un exploit bazat pe Python lansat de un cercetător cunoscut sub numele de bl4sty.

Obiectivul final al acestor atacuri este destul de diferit de campaniile anterioare în care gruparea de criminalitate cibernetică implementa malware-ul Kinsing și lansa mineri de criptomonede. Această schimbare tactică indică intenția lor de a-și extinde aria operațională, reprezentând o amenințare sporită pentru mediile native din cloud.

Furnizorii de servicii cloud și organizațiile trebuie să își îmbunătățească apărarea împotriva acestor atacuri sofisticate prin implementarea unor controale robuste de acces, monitorizare continuă și corecție regulată.

Cisco remediază 27 de vulnerabilități în Network Security Products

Cisco a lansat miercuri, 1 noiembrie 2023, actualizări de software care abordează un total de 27 de vulnerabilități de securitate în produsele Adaptive Security Appliance (ASA), Firepower Management Center (FMC) și Firepower Threat Defense (FTD).

Cea mai gravă dintre aceste erori este CVE-2023-20048 (scor CVSS de 9,9), un atacator autentificat putând folosi cereri HTTP create pentru a exploata vulnerabilitatea și pentru a executa comenzi de configurare pe un dispozitiv FTD vizat.

O altă vulnerabilitate de securitate, având un grad mediu de severitate de data aceasta, dar care se evidențiază, este CVE-2022-20713, o vulnerabilitate în componenta de servicii pentru client web VPN a software-ului ASA și FTD.

Cisco spune că nu are dovezi de exploatare activă a vulnerabilităților dezvăluite. Informații suplimentare pot fi găsite pe pagina de avertismente de securitate a Cisco.

Soldiers of Solomon a perturbat ciclul de producție al unei fabrici din Israel

O grupare de criminalitate cibernetică pro-palestiniană numită Soldiers of Solomon a publicat pe canalul său de Telegram un videoclip ce arată mai multe capturi de ecran care dovedesc încălcarea înfrastructurii IT a fabricii de producție Flour Mills din Israel.

Flour Mills Ltd este o companie multinațională angajată în procesarea și comercializarea făinii și a produselor alimentare conexe, iar atacatorii susțin că au deteriorat ciclul de producție.

Gruparea Soldiers of Solomon continuă să țintească organizațiile israeliene, atacatorii susținând recent un atac cibernetic de succes asupra centralei electrice Ashalim, situată în deșertul Negev. Hackerii au spus că au deconectat stația de la circuitul de distribuție a energiei.

În octombrie 2023, Soldiers of Solomon au preluat controlul total asupra a peste 50 de servere, camere de securitate și un sistem inteligent de management al orașului din zona militară Nevatim. De asemenea, au susținut că au exfiltrat 25 TB de date.

BlueNorOff vizează clienții Apple cu noul malware ObjCShell

Gruparea de criminalitate cibernetică nord-coreeană BlueNorOff vizează clienții Apple cu un nou malware macOS bazat pe Objective-C, denumit ObjCShellz, nedocumentat anterior și destul de diferit față de alte payload-uri malițioase implementate în atacurile anterioare de către această grupare.

Jamf Threat Labs, care a dezvăluit detalii despre ObjCShell, a declarat că este folosit ca parte a campaniei de malware RustBucket care a apărut la începutul acestui an.

”Deși nu este complet clar cum a fost obținut accesul inițial, acest malware este probabil utilizat ca o etapă ulterioară pentru a rula manual comenzi după compromiterea unui sistem”, se arată în raportul cercetătorilor Jamf.

Gruparea BlueNoroff, denumită și APT38, Nickel Gladstone, Sapphire Sleet, Stardust Chollima și TA444, este un element subordonat grupării Lazarus care este specializată în infracțiuni financiare și vizează băncile din întreaga lume și sectorul cripto ca o modalitate de a evita sancțiunile și de a genera profituri ilicite pentru regimul nord-coreean.

Până acum patru ani, hackerii de stat nord-coreeni au furat deja aproximativ 2 miliarde de dolari în cel puțin 35 de atacuri cibernetice care vizează instituțiile financiare și sectorul cripto din peste o duzină de țări, potrivit unui raport al Națiunilor Unite.

Cercetătorii au observat o creștere a infecțiilor cu Jupyter infostealer

Cercetătorii Carbon Black au publicat luni, 6 noiembrie 2023, un raport care evidențiază un val de noi incidente ce implică infostealer-ul Jupyter, infecțiile vizând organizațiile din sectoarele educației și asistenței medicale.

Jupyter care a fost văzut pentru prima oară la sfârșitul anului 2020, le permite hackerilor să fure acreditări și să exfiltreze date, iar între timp a evoluat pentru a viza browserele Chrome, Edge și Firefox, hackerii care îl folosesc exploatând și motoarele de căutare pentru a-i determina pe oameni să descarce fișiere malițioase cu malware-ul atașat.

Cercetătorii au împărtășit mostre de fișiere infectate, inclusiv documente informative generalizate, precum și fișiere mai specifice, un exemplu fiind o copie a bugetului guvernului SUA pentru 2024.

Raportul nu atribuie Jupyter unui anumit grup de hacking, dar cercetările anterioare ale altor companii au sugerat Rusia ca punct de origine.

Marina Bay Sands din Singapore a suferit un atac cibernetic de tip ransomware

Un atac cibernetic desfășurat în octombrie 2023 asupra casino-ului și hotelului Marina Bay Sands din Singapore a dus la furtul de date aparținând unui număr de 665.000 de clienți, potrivit unei declarații oferită marți, 7 noiembrie 2023, de către oficialii companiei.

Atacul a avut loc pe 19 octombrie, iar hackerii au obținut acces la datele de membru ale programului de fidelizare a clienților.

”Pe baza investigației noastre, până în prezent nu avem dovezi că terțul neautorizat a folosit abuziv datele pentru a provoca prejudicii clienților. Nu credem că datele privind membrii programului nostru de recompense de casino, Sands Rewards Club, au fost afectate.”, se arată în notificarea publicată de companie.

Incidentul a fost raportat autorităților din Singapore și din alte țări, iar compania colaborează cu o firmă de securitate cibernetică pentru a remedia problema.

Datele furate includ nume, adrese de e-mail, numere de telefon, țara de reședință, numere de membru și multe alte informații, clienții urmănd să fie notificați individual de către Marina Bay Sand.


Vizualizat de 8500 ori