Știrile săptămânii din cybersecurity (07.12.2023)
Google a remediat a șasea vulnerabilitate Chrome de tip zero-day de anul acesta într-o actualizare de securitate de urgență lansată marți, 28 noiembrie 2023, pentru a contracara desfășurarea activă a atacurilor.
Compania a declarat, într-un aviz de securitate, că este conștientă de existența unui exploit pentru vulnerabilitatea identificată prin CVE-2023-6345.
Google a declarat, de asemenea, că accesul la detaliile vulnerabilității de tip zero day vor rămâne inaccesibile publicului până când majoritatea utilizatorilor își vor actualiza browserele. Dacă vulnerabilitatea afectează și software-ul terță parte care nu a fost încă actualizat, atunci limitarea accesului la detaliile despre eroare va fi extinsă.
Acest lucru urmărește să reducă probabilitatea ca atacatorii să își dezvolte propriile exploit-uri CVE-2023- 6345, profitând de informațiile tehnice lansate despre vulnerabilitate.
În septembrie, Google a remediat alte două vulnerabilități de tip zero day, identificate prin CVE-2023- 5217 și prin CVE-2023-4863, exploatate activ în atacuri.
DNSC a lansat pagină de Wikipedia
Hackerii ruși exploatează vulnerabilitatea Outlook pentru a deturna conturile Exchange
Echipa Microsoft Threat Intelligence a emis un avertisment referitor la gruparea de criminalitate cibernetică APT28 care explotează în mod activ vulnerabilitatea Outlook CVE-2023-23397 pentru a deturna conturile Microsoft Exchange și a fura informații sensibile de la entități guvernamentale, de transport și alte organizații cheie din Statele Unite, Europa și Orientul Mijlociu.
Microsoft a evidențiat, de asemenea, și exploatarea altor vulnerabilități, prin utilizarea de exploit-uri disponibile public, în aceleași atacuri orchestrate de APT28, inclusiv CVE-2023-38831 în WinRAR și CVE2021-40444 în Windows MSHTML.
CVE-2023-23397 este o vulnerabilitate critică de privilegii (EoP) în Outlook pe Windows, remediată ca o vulnerabilitate de tip zero-day în actualizările Patch Tuesday din martie 2023, pe care ATP28 o exploatează încă din aprilie 2022 prin intermediul unor note Outlook special concepute pentru a fura hash-uri NTLM.
Având în vedere că APT28 este o grupare de amenințări plină de resurse, cea mai eficientă strategie de apărare este reducerea suprafeței de atac pe toate interfețele și asigurarea că toate produsele software sunt actualizate în mod regulat cu cele mai recente corecții de securitate.
Backdoor-ul SysJoker folosit de hackerii pro-Hamas
O nouă versiune a backdoor-ului SysJoker, un malware ascuns pentru Windows, Linux și macOS, documentat pentru prima dată de Intezer la începutul anului 2022, a fost descoperită, prezentând o rescrie completă a codului în limbajul de programare Rust.
Malware-ul colectează informații despre sistem, cum ar fi versiunea sistemului de operare, numele de utilizator, adresa MAC și le trimite către C2, variantei recente lipsindu-i capabilitățile de execuție a comenzilor văzute în versiunile anterioare.
Cercetătorii Check Point, care au analizat mostra recent descoperită, au legat malware-ul de o grupare de criminalitate cibernetică afiliată Hamas – ”Gaza Cybergang” – deoarece metoda folosită de atacatori coincide cu cea văzută în atacurile anterioare împotriva Israel Electric Company.
Check Point a descoperit încă două mostre SysJoker pe care le-au numit ”DMADevice” și ”AppMessagingRegistrar” pe baza caracteristicilor lor specifice, dar afirmă că toate urmează modele operaționale similare.
Elementul specific care a permis Check Point să lege potențial SysJoker de gruparea de amenințări afiliată Hamas este utilizarea clasei WMI ”StdRegProv” în comanda PowerShell utilizată pentru stabilireapersistenței, dar și alte asemănări care includ implementarea anumitor comenzi de script, metodele de colectare a datelor și utilizarea URL-urilor cu tematică API.
Trei vulnerabilități critice expun utilizatorii ownCloud la încălcări ale datelor
Deținătorii software-ului open-source de partajare a fișierelor ownCloud au făcut o avertizare cu privire la trei vulnerabilități de securitate care pot fi exploatate pentru a dezvălui date private și a modifica fișierele.
Prima dintre vulnerabilități permite dezvăluirea acreditărilor sensibile și configurației în implementările containerizate care afectează versiunile graphapi de la 0.2.0 la 0.3.0 (Scor CVSS: 10,0), cea de-a doua este descrisă ca bypass-ul autentificării API WebDAV folosind adrese URL specificate care afectează versiunile de bază de la 10.6.0 la 10.13.0 (scor CVSS: 9,8), iar cea de-a treia vulnerabilitate afectează versiunile anterioare 0.6.1, este descrisă ca ”omiterea validării subdomeniului care afectează oauth2” și are un scor CVSS de 9.
OwnCloud sugerează ștergerea fișierului ”owncloud/apps/graphapi/vendor/microsoft/microsoftgraph/tests/GetPhpInfo.php” și dezactivarea funcției „phpinfo”. În plus, îi sfătuiește pe utilizatori să modifice informații private, cum ar fi parola de administrator ownCloud, acreditările pentru serverul de e-mail și cheile de acces pentru bazele de date și Object-Store/S3.
Pentru cea de-a treia vulnerabilitate, ownCloud a sugerat utilizatorilor să dezactiveze opțiunea ”Allow Subdomains”. Aceasta este o soluție pe lângă adăugarea de măsuri de întărire la codul de validare al aplicației oauth2.
Dan Cîmpean, Directorul DNSC, la 'Dialog Liber' podcast cu Teodor Cătăniciu
Un lanț de spitale a fost afectat de un atac ransomware
Ardent Health Services, cu sediul în Tenessee, care gestionează 30 de clinici și peste 200 de centre medicale în șase state - Texas, Oklahoma, Kansas, Idaho, New Mexico și New Jersey - a declarat că se ocupă de un atac ransomware ce a forțat-o să anuleze sau să reprogrameze unele proceduri, că a raportat evenimentul poliției și a angajat criminaliști și consilieri de amenințări, demarând o investigație.
Organizația a declarat că a implementat mai multe protocoale de securitate și că se străduiește să restabilească operațiunile IT ”cât de repede posibil”.
Ardent depune toate eforturile să stabilească impactul complet al acestui incident, dar nu este clar cât timp va dura sau ce date pot fi implicate.” În acest moment, nu putem confirma cât de grav au fost afectate datele medicale sau financiare ale pacienților”, a declarat compania.
Acesta este cel mai recent atac cibernetic desfășurat asupra furnizorilor medicali din SUA, Canada sau alte regiuni geografice.
În Ucraina, forțele de ordine din șapte țări, în colaborare cu Europol și Eurojust, au arestat liderii unei grupări de ransomware care au fost implicați în atacuri împotriva organizațiilor din 71 de țări, folosind programe ransomware precum LockerGoga, MegaCortex, HIVE și Dharma pentru a bloca operațiunile marilor corporații.
”După ce au rămas nedetectați în sistemele compromise, uneori luni de zile, infractorii implementau diferite tipuri de ransomware, cum ar fi LockerGoga, MegaCortex, HIVE sau Dharma”, se arată într-o declarație Eurojust.
Atacatorii au accesat rețelele țintelor lor folosind e-mailuri de phishing cu fișiere malișioase atașate, au furat acreditările utilizatorilor în atacuri de tip bruteforce și SQL injection și au folosit programe malware precum Trickbot și instrumente de post-exploatare precum Cobalt Strike.
Conform anchetei, această grupare de afiliați ransomware a criptat peste 250 de servere ale unor corporații semnificative, provocând pierderi de peste sute de milioane de euro.
Autoritățile elvețiene, în colaborare cu No More Ransom și Bitdefender, au folosit o analiză criminalistică din anul 2021 cu scopul de a crea instrumente de decriptare pentru versiunile de ransomware LockerGoga și MegaCortex.
Hackerii chinezi lansează atacuri de spionaj asupra a 24 de organizații cambodgiene
Cercetătorii în domeniul securității cibernetice au descoperit că două grupări cunoscute de hacking afiliate Chinei au coordonat o acțiune cibernetică malițioasă care a vizat 24 de organizații guvernamentale cambodgiene.
Într-un raport publicat marți, 7 noiembrie 2023, cercetătorii Unit 42 de la Palo Alto Networks au declarat: ”se crede că această activitate face parte dintr-o campanie de spionaj pe termen lung. Activitatea observată se aliniază cu obiectivele geopolitice ale guvernului chinez, care încearcă să-și valorifice relațiile puternice cu Cambodgia pentru a-și proiecta puterea și pentru a-și extinde operațiunile navale în regiune.”
Organizațiile vizate oferă servicii critice în sectoarele de apărare, trezorerie, finanțe naționale, comerț, politică, resurse naturale și telecomunicații, iar toate aceste obiective dețin cantități mari de date sensibile, inclusiv date financiare, informații de identificare personală ale cetățenilor și informații guvernamentale clasificate.
Raportul cercetătorilor dezvăluie detalii privind infrastructura de comandă și control ale atacatorilor și indicatorii de compromitere, precum și recomandări de protecție.
Cel mai mare furnizor de energie din Slovenia, victima unui atac cibernetic de tip ransomware
Holding Slovenske Elektrarne (HSE), cea mai mare companie energetică din Slovenia, a fost afectată de un atac de tip ransomware care i-a compromis sistemele și i-a criptat fișierele, compania afirmând că incidentul nu ar fi afectat producția de energie electrică.
HSE, care a fost înființată în 2001 de guvernul Sloveniei și este deținută de stat, gestionează mai multe centrale hidroelectrice, termice și solare, precum și mine de cărbune din întreaga țară. De asemenea, are filiale în Italia, Serbia și Ungaria.
În urma atacului, organizația a informat imediat Oficiul Național pentru Incidente Cibernetice de la SiCERT și Administrația de Poliție din Ljubljana și a început o colaborare cu experți pentru a răspunde la incident și pentru a împiedica virusul să se răspândească în alte sisteme IT din Slovenia.
Până acum, organizația nu a primit nicio cerere de răscumpărare, iar informațiile neoficiale care au fost difuzate presei locale indică drept autor al atacului gruparea de ransomware Rhysida care a determinat FBI și CISA să emită un avertisment ce subliniază TTP-urile atacatorilor.
Dacă Rhysida ar fi responsabilă pentru atac, ar explica, de asemenea, de ce HSE a negat că a primit o cerere de răscumpărare. Notele de răscumpărare Rhysida conțin doar o adresă de e-mail ce servește doar pentru comunicarea cu atacatorii, fără a specifica o cerere financiară.
Vulnerabilitățile UEFI expun dispozitivele la atacuri malware
Codul UEFI de la diverși furnizori independenți de firmware/BIOS (IBV) a fost găsit vulnerabil la potențiale atacuri prin erori cu impact ridicat în bibliotecile de analiză a imaginilor încorporate în firmware.
Erorile, etichetate colectiv ca LogoFAIL de către Binarly, ”pot fi folosite de atacatori pentru a furniza un payload malițios și pentru a ocoli Secure Boot, Intel Boot Guard și alte tehnologii de securitate” și pot fi exploatate și pentru ocolirea soluțiilor de securitate și furnizarea de malware persistent în sistemele compromise.
”Acest vector de atac poate oferi unui atacator un avantaj în ocolirea celor mai multe soluții de securitate a terminalelor și în furnizarea unui set de boot-firmware ascuns care va persista într-o partiție ESP sau o capsulă de firmware cu o imagine de logo modificată”, se arată într-un raport publicat de Binarly.
Erorile afectează toate IBV-urile majore, cum ar fi AMI, Insyde și Phoenix, precum și sute de dispozitive de la furnizori, inclusiv Intel, Acer și Lenovo.
Microsoft avertizează cu privire la o campanie malvertising ce răspândește Cactus Ransomware
Microsoft a avertizat cu privire la un nou val de atacuri de tip ransomware orchestrate de operatorii criptolocker-ului CACTUS, care utilizează malvertising pentru a implementa DanaBot ca vector de acces inițial.
DanaBot, urmărit de Microsoft sub denumirea de Storm-1044, este un instrument multifuncțional în genul Emotet, TrickBot, QakBot și IcedID, capabil să acționeze ca un dispozitiv de furt și un punct de intrare pentru payload-urile din etapa următoare.
”Actuala campanie DanaBot, observată pentru prima dată în noiembrie 2023, pare să folosească o versiune privată a malware-ului care fură informații, în locul ofertei de malware-as-a-service”.
Datele de identificare culese de malware sunt transmise către un server controlat de atacator, acțiune urmată de o mișcare laterală prin încercări de conectare RDP și, în cele din urmă, de predarea accesului către atacator.
Dezvăluirea vine la câteva zile după descoperirea unui alt set de atacuri ransomware Cactus care exploatează în mod activ vulnerabilități critice într-o platformă de analiză a datelor numită Qlik Sense, pentru obținerea accesului la rețelele corporative.
De asemenea, aceasta urmează descoperirii unei noi tulpini de ransomware pentru macOS, denumită Turtle, care este scrisă în limbajul de programare Go și este semnată cu o semnătură ad-hoc, împiedicând astfel executarea acesteia la lansare datorită protecțiilor Gatekeeper.
