A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (13.07.2023)

2023/07/13
Popularitate 1000

Foto: vecteezy.com

Un bug Microsoft Teams permite livrarea de programe malware din conturi externe

Un nou instrument disponibil pe GitHub permite atacatorilor să exploateze o vulnerabilitate recent dezvăluită și neremediată în Microsoft Teams, livrând automat fișiere malițioase în sistemele utilizatorilor.

Instrumentul bazat pe Python, numit TeamsPhisher, exploatează vulnerabilitatea pentru a ocoli restricțiile pentru fișierele primite de la utilizatorii din afara unei organizații vizate și oferă un atac complet automatizat. Deși TeamPhisher a fost creat pentru operațiunile autorizate ale echipei roșii, atacatorii îl pot folosi și pentru a livra malware organizațiilor țintă fără a declanșa alarme.

Organizațiilor li se recomandă să dezactiveze comunicațiile cu utilizatorii externi, dacă acestea nu sunt necesare. De asemenea, pot crea o listă ce permite comunicarea doar cu domenii de încredere, ceea ce ar limita riscul de exploatare.

Big Head Ransomware este răspândit prin actualizări false ale Windows

O tulpină de ransomware în curs de dezvoltare numită Big Head este distribuită ca parte a unei campanii de malvertising care oferă actualizări false pentru Microsoft Windows și programe de instalare Word false.

Într-un raport publicat de cercetătorii Trend Micro, aceștia afirmă că, deși nu există dovezi conform cărora Big Head a fost folosit cu succes, dezvoltatorii săi păreau să fie atacatori experimentați, dar nu sofisticați.

Analiza Trend Micro dezvăluie capacitatea ransomware-ului bazat pe .NET de a implementa trei fișiere bine criptate, și anume 1.exe pentru a propaga malware-ul, archive.exe pentru a facilita comunicațiile prin Telegram și Xarch.exe pentru a cripta fișierele și a afișa o actualizare falsă a Windows.

„Malware-ul afișează o interfață de utilizare Windows Update falsă pentru a înșela victima să creadă că activitatea rău intenționată este un proces legitim de actualizare a software-ului, cu procentul de progres în trepte de 100 de secunde”, a indicat Trend Micro.

Microsoft remediază 132 de vulnerabilități de securitate

La 11 iulie 2023, Microsoft a lansat actualizările Patch Tuesday din luna iulie abordând 132 de vulnerabilități de securitate în care sunt incluse șase vulnerabilități de tip zero-day și 37 de vulnerabilități care permit execuția de cod de la distanță.

Cele șase erori de tip zero-day sunt identificate prin CVE-2023-32046 (scor CVSS: 7,8), CVE-2023-32049 (scor CVSS: 8,8), CVE-2023-35311 (scor CVSS: 8,8), CVE-2023-36874 (scor CVSS: 7,8), CVE-2023-36884 (scor CVSS: 8,3) și ADV230001 (fără CVE atribuit) și afectează produse precum platforma MSHTML Windows, SmartScreen Windows, Microsoft Outlook, Office și Windows.

Microsoft nu a remediat nicio vulnerabilitate a Microsoft Edge cu această ocazie, însă a lansat actualizări cumulative Windows 11 KB5028185, Windows 10 KB5028168 și KB5028166.

Ziare.com, interviu cu Mihai Rotariu, purtător de cuvânt DNSC, despre capcanele online care vizează în ultima perioadă utilizatori din România

Apple remediază o nouă vulnerabilitate de tip zero-day

Apple a lansat actualizări Rapid Security Response pentru iOS, iPadOS, macOS și browser-ul web Safari, pentru a remedia o vulnerabilitate de securitate de tip zero-day identificată prin CVE-2023-37450.

Vulnerabilitatea ar putea permite unui atacator să realizeze execuția arbitrară de cod atunci când procesează conținut web special conceput.

Actualizările, iOS 16.5.1 (a), iPadOS 16.5.1 (a), macOS Ventura 13.4.1 (a) și Safari 16.5.2, sunt disponibile pentru dispozitivele care rulează următoarele versiuni de sistem de operare: iOS 16.5.1 și iPadOS 16.5.1, macOS Ventura 13.4.1, macOS Big Sur și macOS Monterey.

VMware avertizează cu privire la un cod de exploatare pentru o vulnerabilitate critică RCE

VMware a avertizat clienții cu privire la disponibilitatea unui cod de exploatare a vulnerabilității critice RCE CVE-2023-20864 în instrumentul de analiză VMware Aria Operations for Logs (fost vRealize Log Insight).

VMware Aria Operations for Networks este un instrument de monitorizare a rețelei care ajută organizațiile să construiască o infrastructură de rețea optimizată, foarte disponibilă și sigură, iar vulnerabilitatea în discuție poate fi exploatată de un atacator neautentificat cu acces la rețea pentru a executa cod arbitrar ca root.

„VMware a confirmat că a fost publicat codul de exploatare pentru CVE-2023-20864”, se arată în avizul de securitate publicat de companie.

În iunie 2023, compania a avertizat clienții că o altă vulnerabilitate critică de execuție a codului de la distanță în Aria Operations for Networks, identificată prin CVE-2023-20887, este exploatată în mod activ

Hackerii RomCom vizează participanții la Summit-ul NATO

Echipa de cercetare a BlackBerry a descoperit recent două documente malițioase, trimise de la o adresă IP din Ungaria pe 4 iulie 2023, care au uzurpat identitatea organizației Congresului Mondial al Ucrainei, cuprinzând subiecte legate de Summit-ul NATO pentru a atrage ținte selectate. Documentele fac parte dintr-o campanie de phishing care vizează participanții la Summit-ul NATO  e la Vilnius, Lituania.

Echipa BlackBerry dezvăluie că în spatele acestei campanii este posibil să se afle un atacator numit RomCom, având în vedere analiza tehnică bazată pe tactici, tehnici și proceduri.

RomCom, urmărit și sub denumirile Tropical Scorpius, UNC2596 și Void Rabisu, a fost observat recent organizând atacuri cibernetice împotriva politicienilor din Ucraina care lucrează îndeaproape cu țările occidentale și cu o organizație medicală din SUA implicată în sprijinirea refugiaților ucraineni.

Campania de phishing care vizează participanții la Summit-ul NATO exploatează vulnerabilitatea CVE-2022-30190, denumită Follina, o eroare acum remediată care afectează instrumentul MSDT de la Microsoft și care este abuzată în scopul executării de la distanță a codului.

În cadrul campaniei este implementat RomCom RAT, un executabil scris în C++, proiectat să colecteze informații despre sistemul compromis și să îl controleze de la distanță.

Microsoft contracarează un atacator chinez care vizează guvernele Europei de Vest

Pe 11 iulie 2023, Microsoft a dezvăluit că a respins un atac cibernetic organizat de un atacator chinez care vizează peste 20 de organizații, inclusiv agenții guvernamentale, într-o campanie de spionaj cibernetic concepută pentru a obține date confidențiale.

Atacurile au început pe 15 mai 2023, au implicat acces la conturi de e-mail, iar Microsoft a atribuit campania atacatorilor Storm-0558 despre care spune că au sediul în China și identifică, în primul rând, agențiile guvernamentale din Europa de Vest.

„Ei se concentrează pe spionaj, furtul de date și accesul la acreditări”, a menționat Microsoft. „Se știe, de asemenea, că folosesc programe malware personalizate, pe care Microsoft le urmărește ca Cigril și Bling, pentru acces la acreditări.”

Campania ar fi fost detectată pe 16 iunie 2023, iar Microsoft a declarat că a notificat toate organizațiile vizate sau compromise, fără a le menționa și fără a dezvălui numărul de conturi ce ar fi putut fi afectate.

Operatorii BlackByte 2.0 Ransomware au nevoie de doar 5 zile pentru a se infiltra, a cripta datele și a extorca victimele

Echipa Microsoft Incident Response a investigat atacurile ransomware BlackByte 2.0 și a descoperit că atacatorii pot finaliza procesul de atac, de la obținerea accesului inițial până la cauzarea unor daune semnificative, în doar cinci zile, perioada scurtă de timp reprezentând o provocare semnificativă pentru organizațiile care încearcă să se protejeze împotriva acestei amenințări.

Pentru efectuarea acestor atacuri, hackerii folosesc o combinație puternică de instrumente și tehnici, investigația relevând că aceștia profită de serverele Microsoft Exchange vulnerabile pentru a obține acces inițial la rețelele țintă.

Raportul a evidențiat desfășurarea balizelor Cobalt Strike și implementarea de backdoors special concepute, ceea ce asigură atacatorilor accesul continuu chiar și după compromiterea inițială. Ransomware-ul folosește în continuare strategii de golire a proceselor și de evaziune antivirus pentru a garanta succesul criptării și eludarea detectării.

Microsoft oferă organizațiilor câteva recomandări pentru a se proteja împotriva atacurilor ransomware BlackByte, iar raportul cuprinde și indicatorii de compromitere observați în timpul investigației.

Informațiile personale ale 35 de milioane de deținători de pașapoarte indoneziene sunt de vânzare pe dark web

Cercetătorul indonezian de securitate Teguh Aprianto a dezvăluit că un hacker a scos la vânzare, pe dark web, datele personale ale aproape 35 de milioane de deținători de pașapoarte indoneziene, inclusiv numele complet, data nașterii, sexul, numerele pașapoartelor și datele de valabilitate ale pașapoartelor.

Bjorka, atacatorul care vinde aceste informații pentru 10,000 de dolari este un hacktivist care critică în mod obișnuit Guvernul Indonezian, publicând informații dăunătoare despre parlamentari pe rețelele sociale. Atacatorul a câștigat notorietate în septembrie 2022, când a exfiltrat datele a 1.3 miliarde de carduri SIM de pe serverele Ministerului Indonezian de Comunicații și Tehnologia Informației și le-a oferit spre vânzare pe dark web.

Teguh Aprianto a dezvăluit că atacatorul a distribuit un eșantion de 1 milion de înregistrări de date ca dovadă că informațiile sunt autentice. „Când sunt vizualizate din eșantionul de date furnizate, datele par valide”, a scris Aprianto pe Twitter, menționând că ”ștampila de timp este din 2009-2020”.

În acest context, Guvernul Indonezian investighează un posibil incident cibernetic ce ar fi afectat rețeaua Direcției Generale de Imigrări.

Compania australiană de infrastructură Ventia a suferit un atac cibernetic

Ventia, un furnizor australian de servicii de infrastructură, a declarat că se confruntă cu un atac ciberneic început pe 8 iulie 2023 și că a indisponibilizat anumite sisteme cheie pentru a limita incidentul.

„Ventia a angajat experți externi în securitate cibernetică și lucrează activ cu autoritățile de reglementare și cu forțele de ordine. Pe măsură ce lucrăm pentru a ne restabili rețelele, vom acorda prioritate securității și siguranței angajaților noștri, clienților noștri și părților interesate”, a declarat compania, adăugând că păstrează vigilența și că nu va ezita să ia măsuri de protecție suplimentare dacă este necesar, ”deoarece operațiunile revin la normal în zilele următoare”.

Ventia este unul dintre cei mai mari furnizori de servicii esențiale din Australia și Noua Zeelandă, fiind implicat în industriile de apărare, energie, sănătate, minerit, telecomunicații și apă. De asemenea, Ventia este puternic implicat în educație, administrație locală, în sectorul feroviar și în cel de petrol și gaze, închisori și multe altele.

Postat în: stiri cybersecurity microsoft awareness DNSC

Vizualizat de 13197 ori

  • English
  • English


    

    Parteneri

logo-agerpres
logo-dekeneas

    Certificatul digital este asigurat de:

Subiecte populare

Copyright © 2011-2024 DNSC
Feed RSS | Contact | Termeni și condiții