Știrile săptămânii din cybersecurity (20.04.2023)
LockBit vizează dispozitivele Apple macOS
Cercetătorii MalwareHunterTeam au descoperit artefacte, ce ar aparține grupării LockBit, pentru criptarea fișierelor din sistemele macOS într-o arhivă .zip încărcată pe VirusTotal pe 20 martie 2023.
Arhiva include versiuni pentru procesoarele PowerPC ce sunt utilizate în sistemele macOS mai vechi, iar vx-underground arată că varianta macOS este disponibilă din 11 noiembrie 2022, însă a reușit să evite detectarea până acum.
Cu toate acestea, mai mulți experți sunt de părere că payload-ul macOS a fost plin de erori și, prin urmare, nu a fost prea periculos până acum.
În ianuarie 2023 Microsoft a dezvăluit tacticile folosite de patru familii de ransomware care vizează macOS – KeRanger, FileCoder, MacRansom și EvilQuest, iar descoperirile actuale sunt un semn că atacatorii își îndreaptă atenția asupra sistemelor Apple macOS.
Hackerii ruși exploatează o vulnerabilitate a routerelor Cisco în scop de spionaj
Instituții din SUA și Marea Britanie avertizează că APT28, gruparea de criminalitate cibernetică afiliată Direcției Generale de Informații a Statului Major al Rusiei (GRU) și cunoscută și sub denumirile Fancy Bear, Forest Blizzard, FROZENLAKE sau Sofacy, au efectuat recunoașteri și au implementat un malware personalizat, numit „Jaguar Tooth” pe routerele Cisco prin exploatarea unei vulnerabilităților vechi, CVE-2017-6742 (scor CVSS: 8,8), remediată în iunie 2017.
Conform autorităților, intruziunile au avut loc în anul 2021 și au vizat un număr mic de entități europene, instituții guvernamentale americane și aproximativ 250 de victime ucrainene.
Jaguar Tooth este un malware injectat direct în memoria routerelor Cisco IOS și IOS XE ce rulează versiuni mai vechi de firmware și, odată instalat, malware-ul exfiltrează informațiile de pe router și oferă acces neautentificat la dispozitiv.
Administratorilor li se recomandă actualizarea routerelor la cel mai recent firmware. De asemenea, Cisco recomandă trecerea de la SNMP la NETCONF sau RESTCONF pentru gestionarea rețelei.
Actualizare de urgență pentru Google Chrome
Google a lansat o actualizare de urgență pentru remedierea unei vulnerabilități de tip zero-day a browserului web Chrome, identificată prin CVE-2023-2033 (scor CVSS: 8,8).
Vulnerabilitatea de mare severitate a fost adăugată de către CISA în Catalogul vulnerabilităților cunoscute exploatate (KEV) în data de 17 aprilie 2023 și pare să aibă asemănări cu CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 și CVE-2022-4262, alte vulnerabilități Google Chrome ce au fost remediate de companie în 2022.
Google a recunoscut că „există o exploatare activă a vulnerabilității”, dar, pentru a preveni exploatarea în continuare, nu a împărtășit detalii tehnice suplimentare sau indicatori de compromitere.
Utilizatorilor Google Chrome li se recomandă să facă upgrade la versiunea 112.0.5615.121 pentru Windows, macOS și Linux, iar utilizatorii browserelor bazate pe Chromium, cum ar fi Microsoft Edge, Brave, Opera și Vivaldi sunt, de asemenea, sfătuiți să aplice actualizările pe măsură ce acestea devin disponibile.
Actualizări de securitate de la Oracle
Pe 18 aprilie 2023, Oracle a lansat 433 de patch-uri de securitate noi, fiind incluse peste 70 de patch-uri pentru vulnerabilități de severitate critică.
Produsele Oracle care au primit cele mai multe actualizări sunt Oracle Communications, primind 77 de patch-uri de securitate, Financial Services Applications, cu 76 de patch-uri, sau Fusion Middleware, cu 49 de patch-uri. Lista completă a produselor actualizate este disponibilă în Oracle Critical Patch Update Advisory – April 2023, fiind recomandat ca utilizatorii produselor să aplice patch-urile cat mai repede posibil.
Cercetătorii ESET și platforma GitHub au întrerupt temporar operațiunile RedLine Stealer
Operațiunile RedLine, un malware de furt de informații, au fost întrerupte temporar după eliminarea a patru depozite GitHub utilizate de panourile de control ale malware-ului ca soluții de dead-drop, identificate de experții ESET care au și alertat GitHub.
„Eliminarea acestor depozite ar trebui să întrerupă autentificarea pentru panourile utilizate în prezent. Deși acest lucru nu afectează serverele back-end reale, îi va forța pe operatorii RedLine să distribuie noi panouri clienților lor”, relatează experții ESET, menționând că „nu au fost observate canale de rezervă”.
Gruparea de criminalitate cibernetică APT41, sponsorizată de China, cunoscută și sub denumirile HOODOO, Barium, Bronze Atlas, Wicked Panda și Winnti, a fost descoperită abuzând de instrumentul Google Command and Control (GC2), un proiect Go open-source creat pentru a fi utilizat în timpul activităților Red Teaming. Exploatarea a reprezentat parte a unei campanii ce viza o companie media taiwaneză și un site web de căutare de locuri de muncă din Italia.
În octombrie 2022, Grupul de analiză a amenințărilor (TAG) de la Google a oprit incidentul asupra companiei media din Taiwan, atac ce avea ca punct de pornire un e-mail de phishing ce conținea un link către un fișier protejat prin parolă găzduit pe Google Drive, care, la rândul său, încorpora instrumentul GC2 pentru a citi comenzile din Google Sheets și pentru a exfiltra date folosind serviciul de stocare în cloud.
Potrivit Google, în iulie 2022, APT41 a lansat atacuri împotriva unui site de căutare de locuri de muncă folosind tot GC2. Situația este notabilă deoarece sugerează că programele malware și instrumentele scrise în Go devin din ce în ce mai populare și că atacatorii chinezi folosesc din ce în ce mai mult instrumente disponibile public, cum ar fi Cobalt Strike și GC2 pentru a crea confuzie în privința atribuirii.
Cea mai recentă armă a grupării Vice Society este un script PowerShell sofisticat
Echipa de cercetători Unit 42 de la Palo Alto Networks a descoperit că atacatorii Vice Society au implementat un script PowerShell pentru automatizarea furtului de date din rețelele compromise.
Acest nou instrument de exfiltrare a datelor a fost conceput astfel încât să evite detectarea de către software-ul de securitate, permițând atacatorilor să acționeze pe ascuns până la etapa finală a criptării datelor, iar procesul este automatizat cu mai multe funcții ce identifică în mod colectiv directoare ce pot fi exfiltrate, procesează grupuri de directoare și, în cele din urmă, exfiltrează datele către serverele deținute de Vice Society prin solicitări HTTP POST.
Natura scripturilor PowerShell în mediul Windows face dificilă prevenirea acestui tip de amenințare. Cu toate acestea, raportul cercetătorilor oferă sfaturi și trucuri pentru detectare, inclusiv o regulă YARA.
Atacatorii Play își consolidează capacitățile cu noi instrumente
Gruparea de criminalitate cibernetică Play California a dezvoltat două noi instrumente personalizate de colectare a datelor pentru a efectua campanii de extorcare și mai eficiente într-un timp mai scurt.
Cele două instrumente, denumite Grixba și VSS Copying Tool, permit atacatorilor să identifice utilizatorii și computerele din rețelele compromise, să adune informații despre software-ul de securitate, backup și administrare la distanță, sau să copieze fișierele din Volume Shadow Copy Service (VSS) pentru a ocoli fișierele blocate.
Cercetătorii Symantec au analizat cele două instrumente și au publicat un raport ce conține și indicatorii de compromitere.
459 de atacuri ransomware în martie 2023
Luna martie a anului 2023 a doborât recordurile de atacuri ransomware, cu 459 de incidente, ajungând astfel cea mai prolifică lună înregistrată de analiștii de securitate cibernetică în ultimii ani, iar, potrivit unui raport al NCC Group, motivul acestei situații este vulnerabilitatea instrumentului GoAnywhere MFT de la Fortra, identificată prin CVE-2023-0669.
Vulnerabilitatea în discuție a fost exploatată de atacatorii Clop pentru a exfiltra date de la 130 de companii în decurs de zece zile și de gruparea infracțională LockBit, care a exploatat-o în 97 de atacuri în aceeași lună. Alte grupări de ransomware care au avut o activitate semnificativă în martie 2023 sunt Royal Ransomware, BlackCat (ALPHV), Bianlian, Play, Blackbasta, Stormous, Medusa și Ransomhouse.
Aproape jumătate dintre toate atacurile cibernetice au fost îndreptate către entități din America de Nord (221 de atacuri), Europa situându-se pe locul al doilea (126 de atacuri), urmată de Asia (59 de atacuri).
Creșterea activității înregistrate în martie 2023 evidențiază importanța aplicării actualizărilor de securitate cât mai curând posibil.
