A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (02.08.2023)

2023/08/03
Popularitate 1000

Foto: Rai Uno

Un nou backdoor exploatează o vulnerabilitate critică a Barracuda ESG

La 28 iulie 2023, US Cybersecurity and Infrastructure Security Agency (CISA) a publicat detaliile unui nou backdoor persistent, numit SUBMARINE și asociat cu atacatorii implicați în hack-ul pentru Barracuda Email Security Gateway (ESG). Conform dovezilor strânse, atacatorii responsabili pentru activitatea SUBMARINE ar fi gruparea UNC4841, cu potențiale legături în China.

CISA a indicat că SUBMARINE conține mai multe artefacte, inclusiv SQL trigger, shell scripts și o librărie încărcată pentru un daemon Linux, utilizate conjugat pentru a obține execuția cu privilegii root, persistență, comandă, control și cleanup. De asemenea, CISA a menționat că a analizat artefacte conținând o bază de date SQL compromisă de SUBMARINE, prezentânt o amenințare severă pentru mișcare laterală.

Descoperirile au fost realizate prin analiza unor mostre de malware obținute de la o organizație compromisă de atacatori care au exploatat vulnerabilitatea critică a dispozitivelor ESG urmărită prin CVE-2023-2868 (scor CVSS: 9,8).

Avertisment comun al CISA și NCSC-NO despre exploatarea vulnerabilităților Ivanti EPMM

La 1 august 2023, CISA și National Cyber Security Center din Norvegia (NCSC-NO) au lansat un avertisment comun referitor la atacatorii care exploatează vulnerabilitățile CVE-2023-35078 și CVE-2023-35081, ce afectează Ivanti Endpoint Manager Mobile (EPMM). Vulnerabilitățile pot fi exploatate conjugat pentru a obține acces inițial și cu privilegii la sistemele EPMM și pentru a executa fișiere încărcate precum webshells.

În iulie 2023, NCSC-NO a observat actori Advanced Persistent Threat (APT) care exploatau vulnerabilitățile pentru a viza o rețea guvernamentală norvegiană. CISA și NCSC-NO subliniează potențialul exploatării extinse a vulnerabilităților împotriva rețelelor guvernamentale sau private, având în vedere că atacatorii au exploatat în trecut alte vulnerabilități ale Ivanti.

Ivanti a lansat un patch pentru CVE-2023-35078 pe 23 iulie 2023, iar pentru CVE-2023-35081, pe 28 iulie 2023.

APT31 vizează sisteme air-gapped de la organizații industriale din Europa de Est

Cercetătorii de la Kaspersky au identificat un nou malware pe care l-au atribuit APT31 (Zirconium), un grup de spionaj cibernetic sponsorizat de China. Atacatorii vizează în special organizații industriale din Europa de Est și utilizează noul malware pentru a fura date din sisteme air-gapped, care, de obicei, îndeplinesc un rol critic.

Kaspersky a indicat că atacurile au inceput în luna aprilie și implică trei etape separate: prima, pentru a stabili persistență, acces de la distanță la sistemele compromise și colectarea de date pentru recunoaștere; în a doua etapă, atacatorii propagă prin USB malware specializat pentru furtul de date din sisteme air-gapped; iar în a treia etapă, atacatorii folosesc implanturi ce încarcă datele colectate pe serverele lor de comandă și control.

Reportaj RAI UNO despre Directoratul Național de Securitate Cibernetică și cybersecurity în România

La finalul lunii martie DNSC a primit vizita unei echipe a televiziunii italiene RAI, care a filmat la sediile DNSC și ECCC un reportaj pe tema securității cibernetice în România. Mai jos aveți acest material video, disponibil pe canalul de Youtube Ray Play.

 

Imprimantele Canon inkjet pot expune date sensibile

Compania Canon a avertizat cu privire la posibilitatea ca informații despre setările de conexiune la Wi-Fi stocate în memoriile imprimantelor inkjet să nu fie șterse prin procesul de inițializare. Astfel, atunci când imprimanta este utilizată de o parte terță, informațiile utilizatorilor pot fi expuse.

Informațiile stocate de imprimantele Canon variază în funcție de model, însă, aproape toate modelele stochează parola, SSID-ul rețelei, tipul rețelei, adresa MAC și adresa IP. Canon a furnizat lista completă a imprimantelor afectate și soluții pentru rezolvarea problemei, în funcție de model.

În plus, cercetătorii de securitate recomandă utilizarea segmentării rețelei, prin plasarea imprimantei pe un segment de rețea separat și dedicat pentru izolarea acesteia de alte sisteme și date sensibile. De asemenea, sunt recomandate utilizarea unor parole complexe sau a autentificării multi-factor, precum și actualizarea firmware-ului imprimantei.

Versiune pentru Linux a Abyss Locker Ransomware vizează serverele VMware ESXi

Operatorii ransomware-ului Abyss Locker s-au alăturat grupărilor LockBit, REvil sau Hive, care au dezoltat un encryptor pentru Linux pentru a viza serverele VMware ESXi. Operația Abyss Locker ar fi devenit activă în martie 2023, când a început să lanseze atacuri împotriva unor companii, atacatorii susținând că au reușit să fure între 35 GB și 700 GB de date de la victimele lor.

Cercetătorii de la MalwareHunterTeam au descoperit recent un encryptor Linux ELF Ayss Locker, bazat pe ransomware-ul Hello Kitty și folosind criptare ChaCha. Versiunea pentru Linux a Abyss Locker criptează toate fișierele de pe dispozitiv, adăugând extensia .crypt la numele fișierelor și o extensie README_TO_Restore, cu rolul de notă de răscumpărare.

Firefox a reparat 15 vulnerabilități prin lansarea unei noi versiuni

La 1 august 2023, Firefox a lansat prima din cele două actualizări programate pentru august 2023, abordând 15 vulnerabilități de securitate. Astfel, Firefox indică un impact ridicat pentru 11 vulnerabilități, patru au un impact mediu și una are un impact scăzut.

Dintre cele cu impact ridicat sunt notabile CVE-2023-4045, ce implica evitarea evite restricțiile cross-origin de către Offscreen Canvas, permițând unei pagini web să acceseze imaginile afișate pe o altă pagină web, de pe un site diferit; CVE-2023-4047, prin care o pagină malițioasă putea obține permisiuni precum accesarea locației, trimiterea de notificări, sau activarea microfonului, prin clickjacking; sau CVE-2023-4057 și CVE-2023-3085, bug-uri de tip memory safety specifice mai multor versiuni Firefox, care ar putea fi exploatate pentru a executa cod în mod arbitrar.

În urma actualizărilor, cele mai recente versiuni sunt Firefox 116, Firefox ESR 115.1 și Thunderbird 115.1.

O nouă aplicație falsă pentru Android conduce la infecția cu spyware

Cercetătorii CYFIRMA au identificat o campanie atribuită grupării indiene APT Bahamut, în cadrul căreia sunt realizate atacuri de tip spear phishing prin mesaje trimise victimelor pe WhatsApp și conținând payload-uri malițioase. În cadrul campaniei, Bahamut vizează în special indivizi din Asia de Sud.

În acest context, atacatorii utilizează SafeChat, o aplicație falsă pentru Android ce infectează dispozitivele cu spyware pentru furtul istoricului apelurilor, mesajelor și locației GPS. Cercetătorii suspectează că spyware-ul este o versiune a Coverlm, utilizat pentru furtul de date din aplicații de comunicare precum Telegram, Signal sau WhatsApp.

SafeChat prezintă o interfață înșelătoare și solicită victimei să treacă printr-un proces de înregistrare, încercând să sugereze legitimitatea aplicației. Un proces critic al infecției constă în obținerea permsiunii de a utiliza Accesibility Services, abuzate ulterior pentru a oferi mai multe permisiuni spyware-ului.

DNSC live la Antena 3 despre atacurile propagate în ultimele zile prin intermediul conturilor compromise de Facebook

Echipa Directoratului a fost ieri în direct la Antena 3, unde purtătorul de cuvânt Mihai Rotariu a vorbit despre pericolul atacurilor propagate de infractorii cibernetici pe social media prin intermediul conturilor sau a paginilor compromise.
 

Intensificare a livării de ransomware prin URL în 2022

Cercetătorii de la PaloAlto Networks Unit42 au realizat o analiză extensivă a 7,000 de URL-uri din 27,000 de URL-uri unice, identificând tehnicile principale utilizate de grupările de ransomware pentru a evita detecția sau de a livra malware.

În 2022, metoda principală de a livra ransomware a fost prin intermediul URL-uri sau web browsing, reprezentând 76.5% din atacuri. 64% din domeniile ce găzduiau malware au fost active de cel puțin doi ani.

Astfel, cercetătorii au observat că atacatorii utilizează URL-uri sau hostnames diferite pentru a livra malware sau versiuni de ransomware. Raccoon Stealer și SmokeLoader au fost utilizate uneori în fazele inițiale ale atacurilor cu ransomware pentru evitarea serviciilor de de URL-blocking. De asemenea, utilizarea unor domenii vechi permit atacatorilor să exploateaze încrederea utilizatorilor și să treacă de măsurile de protecție.

Postat în: stiri cybersecurity awareness cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity cybersecurity cybersecurity

Vizualizat de 10475 ori

  • English
  • English


    

    Parteneri

logo-agerpres
logo-dekeneas

    Certificatul digital este asigurat de:

Subiecte populare

Copyright © 2011-2024 DNSC
Feed RSS | Contact | Termeni și condiții