Știrile săptămânii din cybersecurity (16.11.2023)
Gruparea de atacatori APT29 a lansat atacuri asupra unor ambasade din țări europene
The National Coordination Center for Cybersecurity (NCCC) din Ucraina a publicat recent un raport cu privire la atacuri lansate de gruparea APT29, asociată Rusiei, împotriva unor ambasade aflate pe teritoriul diretitelor țări europene, printre care Italia, Grecia, România și Azerbaidjan.
Grupul de spionaj cibernetic APT29 funcționează cel puțin din 2008 și acoperă multe țări, ceea ce subliniază amploarea sa globală și intenția strategică de a pătrunde în ambasade. Accentul principal se pune pe obținerea informațiilor necesare pentru luarea deciziilor în domeniile politicii externe și apărării. Principala armă din arsenalul lor este vulnerabilitatea recent descoperită CVE-2023-38831, care afectează software-ul WinRAR. APT29 folosește momeli aparent inofensive care oferă atacatorilor acces la sistemele victimelor.
Grupurile sponsorizate de stat lucrează din greu pentru a compromite organizațiile critice ale misiunilor. Citiți raportul complet pentru a înțelege tacticile APT29 și pentru a vă consolida apărarea împotriva amenințărilor cibernetice în evoluție.
Falsele oportunități de investiții propagate de infractori cibernetici pe rețelele sociale se folosesc inclusiv de noile tehnologii, cum ar fi inteligența artificială, așa cum vă vom prezenta în continuare în exemplul de astăzi.
Atacatorii fac uz de deep fake (tehnologie folosită pentru manipularea înregistrărilor video), pentru a induce în eroare potențialele victime și pentru a oferi un grad ridicat de încredere informației prezentate.
Clipuri în care anumite persoane cu reputație la nivel național girează aceste 'programe de investiții' sunt publicate adesea de infractorii din online pe conturi de social media nou create și folosite exclusiv în acest scop, ori unele compromise, care au aparținut în trecut altor utilizatori. De obicei, atacatorii se folosesc de imaginea unor oameni politici (cazul de astăzi), oameni de afaceri și chiar jurnaliști, pentru a prezenta aceaste oferte-capcană publicului.
Noul wiper BiBi -Windows vizează Israelul în atacurile pro-Hamas
Cercetătorii BlackBerry au descoperit o variantă Windows a programului malware BIBI-Linux Wiper care a fost observat anterior în atacurile cibernetice orchestrate de către o grupare hacktivistă pro-Hamas împotriva Israelului.
”Varianta Windows detectată de BlackBerry confirmă că atacatorii care au creat wiper-ul continuă să creeze malware și indică o extindere a atacului către dispozitivele utilizatorilor finali și către serverele de aplicații. Diversificându-și sistemele țintă, atacatorii vor capta, foarte probabil, dispozitive suplimentare care rulează pe Windows”, se arată în raportul cercetătorilor.
Se spune că artefactul BiBi-Windows Wiper a fost compilat pe 21 octombrie 2023, la două săptămâni după debutul războiului. Metoda exactă prin care este distribuit este momentan necunoscută.
Pe lângă coruperea tuturor fișierelor, cu excepția celor cu extensii .exe, .dll și .sys, wiper-ul șterge copiile shadow din sistem, împiedicând efectiv victimele să-și recupereze fișierele, iar o altă similitudine notabilă cu varianta sa Linux este capacitatea de multithreading.
Cercetătorii Security Jones, care au documentat pentru prima dată BiBi-Linux Wiper, declară că malwareul face parte dintr-o ”campanie mai mare care vizează companiile israeliene cu intenția deliberată de a le perturba operațiunile de zi cu zi folosind distrugerea datelor” și au identificat suprapuneri tactice între gruparea hacktivistă care se autointitulează Karma și un alt actor motivat geopolitic, numit Moses Staff (alias Cobalt Sapling), suspectat a fi de origine iraniană.
Hackerii chinezi lansează atacuri de spionaj asupra a 24 de organizații cambodgiene
Cercetătorii în domeniul securității cibernetice au descoperit că două grupări cunoscute de hacking afiliate Chinei au coordonat o acțiune cibernetică malițioasă care a vizat 24 de organizații guvernamentale cambodgiene.
Într-un raport publicat marți, 7 noiembrie 2023, cercetătorii Unit 42 de la Palo Alto Networks au declarat: ”se crede că această activitate face parte dintr-o campanie de spionaj pe termen lung. Activitatea observată se aliniază cu obiectivele geopolitice ale guvernului chinez, care încearcă să-și valorifice relațiile puternice cu Cambodgia pentru a-și proiecta puterea și pentru a-și extinde operațiunile navale în regiune.”
Organizațiile vizate oferă servicii critice în sectoarele de apărare, trezorerie, finanțe naționale, comerț, politică, resurse naturale și telecomunicații, iar toate aceste obiective dețin cantități mari de date sensibile, inclusiv date financiare, informații de identificare personală ale cetățenilor și informații guvernamentale clasificate.
Raportul cercetătorilor dezvăluie detalii privind infrastructura de comandă și control ale atacatorilor și indicatorii de compromitere, precum și recomandări de protecție.
CISA avertizează asupra vulnerabilităților RCE Juniper exploatate activ
Cybersecurity and Infrastructure Security Agency (CISA) a adăugat luni, 13 noiembrie 2023, patru vulnerabilități de securitate a dispozitivelor Juniper, în catalogul său KEV, pe baza dovezilor de exploatare activă.
Alerta vine la o săptămână după ce Juniper și-a actualizat avizul de securitate pentru a notifica utilizatorii că vulnerabilitățile găsite în interfața J-Web a Juniper, identificate prin CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 și CVE-2023-36847, au fost exploatate cu succes.
Potrivit datelor Shadowserver, peste 10.000 de dispozitive Juniper au interfețele vulnerabile J-Web expuse online, majoritatea din Coreea de Sud, iar încercările de exploatare au fost detectate începând cu 25 august 2023.
Administratorii sunt îndemnați să își securizeze imediat dispozitivele prin actualizarea JunOS la cea mai recentă versiune sau, ca măsură minimă de precauție, să restricționeze accesul la Internet la interfața JWeb pentru a elimina vectorul de atac.
”Având în vedere simplitatea exploatării și poziția privilegiată pe care o dețin dispozitivele JunOS într-o rețea, nu am fi surprinși să vedem o exploatare la scară largă”, au declarat cercetătorii watchTowr Labs în august 2023.
Agențiile federale au obligația de a-și securiza toate dispozitivele Juniper în rețelele lor într-un interval de timp de patru zile, până la 17 noiembrie 2023.
Directoratul National pentru Securitate Cibernetică (DNSC) și ING Bank au lansat în cadrul săptămânii internaționale pentru combaterea fraudelor un avertisment pentru toți utilizatorii de carduri, cu privire la o nouă campanie de phishing care vizează platformele de rezervări online la hoteluri și alte unități de cazare.
În primă etapă, atacatorii încearcă să obțină acces la contul proprietarilor de pe platformele online de rezervări. În acest sens, ei pot trimite un e-mail de la un potențial „client” în care inserează un link fraudulos, cu scopul de a convinge potențialele victime să își introducă datele personale pe acel site controlat de atacatori. Miza fraudatorilor este de a prelua controlul asupra contului. Ulterior, ei extrag datele celor care au efectuat rezervări, precum numele acestora, detaliile rezervării, dar și metode de plată.
Atacatorii folosesc datele furate pentru a trimite mesaje, în numele proprietarilor, prin care le cer clienților să își introducă datele bancare pentru confirmarea rezervării sau validarea cardului. În caz contrar, sunt amenințați cu anularea rezervării. Pagina falsă, care imită site-ul oficial, poate conține deja datele lor personale. Dacă își inserează datele cardului, victimele le vor furniza, de fapt, atacatorilor.
Funcția Create2 a Ethereum a fost abuzată pentru furtul de criptomonede
Specialiștii Scam Sniffer raportează că funcția ”Create2” a rețelei Ethereum a fost abuzată de atacatori pentru ocolirea alertelor de securitate ale portofelului, ceea ce a dus la furtul de criptomonede în valoare de 60 de milioane USD suferite de 99.000 de oameni în șase luni.
Opcode-ul Create2 permite anticiparea adresei unui contract înainte ca acesta să fie implementat în rețeaua Ethereum și poate fi abuzat pentru a genera adrese noi de contract, care sunt implementate după ce victimele sunt păcălite să semneze tranzacții malițioase.
Într-un caz recent observat de analiști, o victimă a pierdut GMX în valoare de 927.000 de dolari, după ce a fost păcălită să semneze un contract de transfer care trimitea activele la o adresă precalculată.
Al doilea tip de abuz Create2 este generarea de adrese similare cu cele legitime deținute de destinatar, păcălind astfel utilizatorii să trimită active atacatorilor, crezând că le trimit la o adresă cunoscută. Această schemă implică generarea unui număr mare de adrese și apoi alegerea celor care vor păcăli țintele.
Din august 2023, Scam Sniffer a înregistrat 11 victime care au pierdut aproape 3 milioane de dolari, una dintre ele transferând 1,6 milioane de dolari la o adresă asemănătoare celei la care trimisese bani recent.
O nouă campanie vizează guvernele din Orientul Mijlociu cu programul malware IronWind
Entitățile guvernamentale din Orientul Mijlociu sunt ținta unei noi campanii de phishing concepută pentru a livra un program malware numit Iron Wind.
Proofpoint atribuie activitatea malițioasă, detectată în perioada iulie-octombrie 2023, unui atacator urmărit sub numele TA402, cunoscut și sub numele Molerats, care are conexiuni tactice cu o grupare iraniană de hacking pro-Hamas numită APT-C-23 sau Arid Viper.
Iron Wind este conceput pentru a contacta un server controlat de atacator în scopul preluării de încărcături suplimentare, inclusiv un set de instrumente post-exploatare numit SharpSploit, urmând o secvență în mai multe etape.
”TA402, o grupare de amenințări persistente avansate (APT) din Orientul Mijlociu care a funcționat istoric în interesul Teritoriilor Palestiniene, s-a dovedit în mod constant a fi un actor de amenințări intrigant, capabil de spionaj cibernetic extrem de sofisticat, cu accent pe colectarea informațiilor.”, se arată în raportul Proofpoint care prezintă și o regulă YARA, precum și indicatorii de compromitere aferenți campaniei în curs de desfășurare.
OracleIV DDoS Botnet vizează API-urile Docker Engine pentru a deturna containere
Instanțele API-ului Docker Engine accesibile public sunt vizate de atacatori ca parte a unei campanii concepute pentru a coopta dispozitivele într-o rețea botnet DDoS numită OracleIV.
”Atacatorii exploatează configurarea greșită a API-ului pentru a furniza un container Docker malițios, construit dintr-o imagine numită ”oracleiv_latest” și care conține malware Python compilat ca executabil ELF”, au dezvăluit cercetătorii Cado Security Labs.
Activitatea începe cu utilizarea unei solicitări HTTP POST către API-ul Docker pentru a prelua o imagine malițioasă din Docker Hub, care, la rândul său, rulează o comandă pentru a prelua un script shell (oracle.sh) dintr-un server de comandă și control (C&C).
Nu este prima dată când API-ul Docker Engine este vizat de atacatori. Această metodă de acces inițial a devenit din ce în ce mai populară în ultimii ani și este adesea folosită pentru a furniza malware criptojacking. Expunerea accidentală a API-ului Docker Engine are loc suficient de frecvent încât au fost observate, de-a lungul timpului, câteva campanii malițioase.
Noua vulnerabilitate a procesorului Reptar afectează Intel desktop și sistemele server
Intel a remediat o vulnerabilitate de gravitate ridicată în procesoarele sale moderne desktop, server, mobile și încorporate, inclusiv cele mai recente microarhitecturi Alder Lake, Raptor Lake și Sapphire Rapids.
Vulnerabilitatea este identificată prin CVE-2023-23583 și poate fi exploatată pentru escaladarea privilegiilor, pentru a obține acces la informații sensibile sau pentru atacuri de tip DoS.
Sistemele specifice cu procesoare afectate, inclusiv cele cu Alder Lake, Raptor Lake și Sapphire Rapids, au primit deja microcoduri actualizate înainte de noiembrie 2023, fără niciun impact observat asupra performanței.
Compania a lansat, de asemenea, actualizări de microcod pentru a remedia problema pentru celelalte procesoare, utilizatorii fiind sfătuiți să-și actualizeze BIOS-ul, sistemul de operare și driverele pentru a primi cel mai recent microcod de la producătorul echipamentului original (OEM), furnizorul de sisteme de operare (OSV) și furnizorii de hipervizor.
Ransomware-ul LockBit exploatează Citrix Bleed în atacuri
Cercetătorul de amenințări Kevin Beaumont dezvăluie că atacurile ransomware Lockbit folosesc exploituri disponibile public pentru vulnerabilitatea Citrix Bleed (CVE-2023-4966) pentru a compromite sistemele organizațiilor mari, a fura date și a cripta fișierele.
Deși Citrix a pus la dispoziție remedieri pentru vulnerabilitatea CVE-2023-4966 în urmă cu mai bine de o lună, mii de puncte finale expuse la internet rulează încă dispozitive vulnerabile, multe dintre acestea în SUA.
Atacurile au fost îndreptate împotriva diferitelor companii precum Banca Industrială a Chinei (ICBD), DP World, Allen & Overy sau Boeing și se presupune că au fost orchestrate de un afiliat LockBit.
Conform descoperirilor cercetătorului japonez Yutaka Sejiyama, în data de 14 noiembrie 2023 peste 10.400 de servere Citrix erau vulnerabile la CVE-2023-4966, majoritatea dintre acestea în SUA (3133), urmate de Germania (1228), China (733), Marea Britanie (558), Australia (381), Canada (309), Franța (301), Italia (277), Spania (252), Olanda (244) și Elveția (215).
Scanările lui Sejiyama au scos la iveală servere vulnerabile din organizații mari și critice din multe alte țări, toate acestea rămânând neactualizate timp de peste o lună după dezvăluirea publică a erorii.
Citrix Bleed a fost dezvăluit pe 10 octombrie ca o problemă critică de securitate care afectează Citrix NetScaler ADC și Gateway, permițând accesul la informații sensibile ale dispozitivului.
