Știrile săptămânii din cybersecurity (04.01.2023)

Foto: Photopea

Atacatorii Kimsuky implementează AppleSeed, Meterpreter și TinyNuke în cele mai recente atacuri

Compania de securitate cibernetică AhnLab a observat că gruparea de criminalitate cibernetică nord coreeană Kimsuky desfășoară o campanie de spear-phishing pentru a implementa o gamă largă de backdoors și instrumente precum AppleSeed, Meterpreter și TinyNuke cu scopul de a prelua controlul pe dispozitivele compromise.

Atacatorii Kimsuky, activi de peste un deceniu, sunt cunoscuți pentru că vizează o gamă largă de entități din Coreea de Sud, dar și din alte zone geografice și au fost sancționați de guvernul SUA la sfârșitul lunii noiembrie 2023 pentru acumularea de informații menite să sprijine obiectivele strategice ale Coreei de Nord.

Campaniile de spionaj ale acestei grupări sunt realizate prin atacuri spear-phishing care conțin documente de malițioase care, la deschidere, culminează cu desfășurarea diferitelor familii de malware.

Un astfel de malware folosit de Kimsuky este AppleSeed, un malware DLL care a fost folosit încă din mai 2019 și a fost actualizat cu o versiune Android, precum și cu o nouă variantă scrisă în Golang numită AlphaSeed.

De asemenea, atacatorul implementează și programul malware Meterpreter, precum și programe malware VNC cum ar fi TightVNC și TinyNuke (alias Nuclear Bot), care pot fi utilizate pentru a prelua controlul asupra sistemului afectat. Ahnlab a publicat un raport ce conține analiza programelor malware folosite în actuala campanie de către Kimsuky, precum și indicatorii de compromitere aferenți.

Atacatori ruşi au fost în interiorul gigantului de telecomunicaţii ucrainean Kyivstar luni de zile

Illia Vitiuk, şeful departamentului de securitate cibernetică al Serviciului de Securitate al Ucrainei (SBU), a dezvăluit pentru Reuters detalii exclusive despre atacul informatic, precizând că a provocat distrugeri "dezastruoase" şi a avut ca scop să dea o lovitură psihologică şi să adune informaţii.

Atacul, unul dintre cele mai dramatice de la invazia pe scară largă a Rusiei de acum aproape doi ani, a permis să fie scoase din funcţiune serviciile furnizate de cel mai mare operator de telecomunicaţii din Ucraina, pentru aproximativ 24 de milioane de utilizatori, timp de câteva zile, începând cu 12 decembrie.

"Acest atac este un mare mesaj, un mare avertisment, nu doar pentru Ucraina, ci pentru întreaga lume occidentală, pentru a înţelege că nimeni nu este de fapt de neatins", a spus el. El a precizat că Kyivstar este o companie privată bogată, care a investit mult în securitatea cibernetică.

Atacul a şters "aproape totul", inclusiv mii de servere virtuale şi PC-uri, a spus el, descriindu-l ca fiind probabil primul exemplu de atac cibernetic distructiv care "a distrus complet nucleul unui operator de telecomunicaţii".

Parlamentul albanez și One Albania Telecom, afectate de atacuri cibernetice

Autoritatea Națională pentru Certificare Electronică și Securitate Cibernetică (AKCESK) a Albaniei a declarat, pe 26 decembrie 2023, că în această săptămână au fost atacate cibernetic Parlamentul albanez și o companie de telecomunicații care operează în țară, One Albania.

”Aceste infrastructuri, conform legislației în vigoare, nu sunt în prezent clasificate drept infrastructuri informaționale critice sau importante”, a spus AKCESK.

Potrivit agenției, atacurile au provenit din afara Albaniei, iar experții în tehnologie ”lucrează în prezent pentru a recupera sistemele afectate și pentru a analiza tacticile și tehnicile folosite de actorii amenințărilor implicați în atacuri”.

Scopurile și amploarea exactă a atacurilor nu sunt în prezent cunoscute, dar o grupare iraniană de criminalitate cibernetică, Homeland Justice, și-a revendicat responsabilitatea pe canalul său Telegram, declarând, în același timp, că a compromis și compania aeriană Air Albania.

Într-un mesaj distribuit pe site-ul său pe 24 decembrie 2023, atacatorul a spus că ”s-a întors pentru a distruge susținătorii teroriștilor”, alături de adăugarea următoarelor etichete: #albania, #albaniahack, #CyberAttacks, #mek, #MKO, #ncri, # NLA, #pmoi, #Terrorists.

Lockbit ransomware perturbă activitatea serviciilor medicale din Germania

Katholische Hospitalvereinigung Ostwestfalen (KHO), o rețea germană de spitale, a declarat că operațiunile de îngrijire de urgență din cadrul a trei unități medicale ce îi aparțin au fost întrerupte de un atac cibernetic lansat de gruparea de ransomware Lockbit în dimineața de 24 decembrie 2023.

Atacul a afectat sistemele IT ale spitalelor Franziskus Bielefeld, Sankt Vinzenz Rheda-Wiedenbrück și Mathilden Herford și ar putea avea efecte catastrofale asupra pacienților care se confruntă cu urgențe medicale, deoarece aceste spitale sunt esențiale pentru furnizarea de servicii de sănătate în comunitățile lor respective.

”Un prim test a arătat că este probabil un atac cibernetic al Lockbit 3.0. Din motive de securitate, toate sistemele au fost închise imediat după descoperire și toate părțile și instituțiile necesare au fost informate”, se arată într-un comunicat publicat de KHO pe site-ul său web.

Potrivit comunicatului KHO, îngrijirea pacienților din spitalele afectate continuă ca de obicei, iar toate operațiunile clinicilor sunt încă accesibile, însă îngrijirea de urgență nu este disponibilă în niciunul dintre cele trei spitale KHO, astfel încât persoanele care au nevoie urgentă de îngrijiri medicale sunt redirecționate către alte unități spitalicești, ceea ce poate duce la întârzieri critice.

Directoratul lansează un 'Ghid pentru protecția și recuperarea conturilor de social media'

Hackerii au exfiltrat datele clienților de la cel mai mare operator de aplicații de parcare din Europa

Dezvoltatorul de aplicații de parcare EasyPark a publicat o notificare pe site-ul său prin care informează și avertizează cu privire la o încălcare a datelor ce afectează un număr necunoscut din milioanele de utilizatori, incident descoperit la 10 decembrie 2023.

Compania operează servicii de parcare digitală în 20 de țări și peste 4.000 de orașe, acoperind mare parte din Europa, Statele Unite, Australia, Noua Zeelandă și Marea Britanie.

EasyPark Group a declarat că numele clienților, numerele de telefon, adresele fizice, adresele de e-mail și părți din numerele cardurilor de credit au fost accesate de atacatori, dar a spus că datele de parcare nu au fost compromise în atacul cibernetic.

Aplicația EasyPark are peste 10 milioane de descărcări în Google Play, în timp ce celelalte aplicații ale sale, RingGo și ParkMobile, au 5 milioane de instalări fiecare.

Deși compania a refuzat să ofere detalii referitoare la incidentul cibernetic sau la numărul de utilizatori afectați, totuși a declarat că o mare parte dintre persoanele ale căror date au fost compromise în atac sunt utilizatori ai aplicației EasyPark ce se concentrează pe Europa.

În acest moment, serviciile aplicației continuă să fie accesibile în mod normal, în timp ce echipa de securitate EasyPark implementează măsuri suplimentare de securitate și confidențialitate pentru a se asigura că efectele incidentului au fost limitate.

Noua eroare Terrapin ar putea permite atacatorilor să reducă securitatea protocolului SSH

Cercetătorii de securitate de la Universitatea Ruhr din Bochum au descoperit o vulnerabilitate în protocolul de rețea criptografică Secure Shell (SSH) care ar putea permite unui atacator să degradeze securitatea conexiunii prin ruperea integrității canalului securizat.

Vulnerabilitatea este identificată prin CVE-2023-48795 (scor CVSS: 5,9) și a fost denumită Terrapin.

”Atacul poate fi efectuat în practică, permițând unui atacator să degradeze securitatea conexiunii prin trunchierea mesajului de negociere a extensiei (RFC8308) din transcriere”, au explicat cercetătorii.

Un raport recent al platformei de monitorizare a amenințărilor de securitate Shadowserver avertizează că există aproape 11 milioane de servere SSH pe web-ul public, identificate prin adrese IP unice, care sunt vulnerabile la atacurile Terrapin.

Cele mai multe dintre sistemele vulnerabile au fost identificate în Statele Unite (3,3 milioane), urmate de China (1,3 milioane), Germania (1 milion), Rusia (700.000), Singapore (390.000) și Japonia (380.000).

CISA avertizează asupra vulnerabilităților exploatate activ în Chrome și Excel

CISA a adăugat două vulnerabilități de securitate la catalogul său KEV, o eroare corectată recent în Google Chrome și o vulnerabilitate ce afectează biblioteca open-source pentru citirea informațiilor într-un fișier Excel numită Spreadsheet::ParseExcel.

Cele două vulnerabilități sunt identificate prin CVE-2023-7024, o problemă de depășire a memoriei tampon în WebRTC din browserul web Google Chrome, respectiv CVE-2023-7101, o vulnerabilitate de execuție a codului la distanță care afectează versiunile 0.65 și mai vechi ale bibliotecii.

Spreadsheet::ParseExcel. Spreadsheet::ParseExcel este o bibliotecă de uz general care permite operațiuni de import/export de date pe fișiere Excel, rulează scripturi de analiză și automatizare și oferă, de asemenea, un strat de compatibilitate pentru procesarea fișierelor Excel în aplicațiile web bazate pe Perl.

CVE-2023-7024 este a opta vulnerabilitate de tip zero-day pe care Google a remediat-o în Chrome în anul 2023.

Agențiile federale au termen până la 23 ianuarie 2024 pentru atenuarea celor două vulnerabilități de securitate sau pentru a indisponibiliza produsele vulnerabile,

Înregistrările tribunalului din Victoria, Australia, au fost expuse într-un atac ransomware raportat

Într-o declarație publicată pe 2 ianuarie 2024 pe site-ul său web, Tribunalul Victoria (CSV) din Australia spune că a detectat un atac cibernetic pe 21 decembrie 2023, incident care a permis hackerilor să întrerupă operațiunile și să acceseze arhiva sa audiovizuală care conține înregistrări sensibile.

”Incidentul cibernetic a dus la acces neautorizat și la întreruperea rețelei de tehnologie audio-vizuală impactând înregistrările video, înregistrările audio și serviciile de transcriere. Este posibil să fi fost accesate înregistrările unor ședințe ale instanței între 1 noiembrie și 21 decembrie 2023. Este posibil ca unele ședințe ce au avut loc înainte de 1 noiembrie să fie și ele afectate”, se arată în comunicatul CSV.

De asemenea, CSV a notificat autoritățile cu privire la potențiala încălcare a datelor, inclusiv Poliția Victoria, Departamentul Victorian al Serviciilor Guvernamentale și Serviciul Comunitar de Asistență Cibernetică și Identitate Națională din Australia (IDCARE).

Deși instituția nu a denumit gruparea de criminalitate cibernetică responsabilă pentru incident, s-ar părea că atacatorii Qilin ar fi efectuat atacul cibernetic.