Știrile săptămânii din cybersecurity (19.10.2023)
Atacatorii Sandworm au încălcat rețelele IT ale companiilor de telecomunicații ucrainene
Un nou raport al CERT-UA dezvăluie că atacatorii Sandworm au compromis, în perioada mai – septembrie 2023, rețelele IT aparținând unui număr de 11 furnizori de servicii de telecomunicații din Ucraina, ducând la întreruperi ale sistemelor de comunicații.
Sandworm este o grupare infracțională de spionaj cibernetic legată de GRU, iar atacurile orchestrate în 2023 s-au concentrat asupra Ucrainei, atacatorii folosind momeli de phishing, malware Android și data-wipers.
Raportul CERT-UA diseminează tacticile, tehnicile și procedurile identificate în urma investigațiilor, iar furnizorii de servicii din Ucraina sunt îndemnați să urmeze recomandările prezentate într-un ghid publicat în septembrie 2023.
”Pentru a respinge agresiunea în spațiul cibernetic, solicităm furnizorilor ucraineni să-și revizuiască propriile suprafețe de atac, să țină cont de detaliile tehnice conturate și, în cazul detectării (semnelor) de incidente de securitate a informațiilor, să contacteze imediat CERT-UA pentru a iniția măsuri de răspuns.” a precizat CERT-UA.
Hackerii pro-ruși exploatează noua vulnerabilitate WinRAR
Cercetătorii Cluster25 au observat exploatarea unei vulnerabilități de securitate recent dezvăluită în WinRAR ca parte a unei campanii de phishing concepută pentru colectarea de acreditări din sistemele compromise și au publicat un raport care cuprinde matricea MITRE ATT&CK și indicatorii de compromitere aferenți intruziunilor.
”Atacul implică utilizarea de fișiere de arhivă malițioase care exploatează vulnerabilitatea recent descoperită ce afectează versiunile software de compresie WinRAR anterioare 6.23 și urmărită ca CVE-2023-38831”, se arată în raportul Cluster25.
CVE-2023-38831 este o vulnerabilitate de mare severitate în WinRAR, care permite atacatorilor să execute cod arbitrar la încercarea de a vizualiza un fișier malițios într-o arhivă ZIP, iar cercetătorii Group-IB au descoperit, în august 2023, că eroarea a fost exploatată ca o vulnerabilitate de tip zero day în atacuri cibernetice din aprilie 2023.
CISA a adăugat această vulnerabilitate la catalogul său KEV în 24 august 2023, la o zi după publicarea unui exploit proof-of-concept (PoC) de către cercetătorii RAPID7.
Experiment al proiectului #SigurantaOnline la Bucharest Gaming Week
Proiectul #SiguranțaOnline, o inițiativă a Poliției Române, a Directoratului Național de Securitate Cibernetică (DNSC) și a Asociației Române a Băncilor (ARB), invită tinerii și adulții, în acest weekend, 14 – 15 octombrie 2023, la Bucharest Gaming Week, pentru a fi antrenați împotriva pericolelor online, obiectivul fiind reducerea numărului românilor care ar putea fi afectați de campaniile de phishing. România se clasează în topul țărilor europene cu cele mai bune și rapide conexiuni de internet potrivit rapoartelor privind Indicele Economiei și Societății Digitale (DESI), dar cu un nivel scăzut al educației digitale, 28% dintre români având competențe digitale cel puțin de bază, față de media statelor Uniunii Europene de 54%.
În cadrul European Cybersecurity Month 2023, proiectul #SiguranțaOnline a lansat un experiment de phishing, realizat de patru gameri, pe conturile lor de social media, în cadrul comunității jucătorilor din România. Experimentul a avut 57% rată de succes, pe parcursul a 24 de ore. Aproape 5.000 de urmăritori au dat click pe un banner care promova un câștig sigur și, dintre aceștia, 60% au fost dispuși să ofere mai multe date personale. Cele mai multe click-uri au fost pe câștigul de bani (50%), unde era menționată informația că trebuie să ofere datele de pe card, iar 26% voiau discount pentru o tastatură, 13% pentru căști și 11% pentru un mouse.
Organizațiile din sistemul medical, vizate permanent de atacatori
Gruparea de criminalitate cibernetică BlackCat/ALPHV a listat Morrison Community Hospital pe site-ul său de scurgeri de date și susține că a exfiltrat 5 TB de informații din rețelele IT ale unității spitalicești. Datele furate includ informații personale ale pacienților și ale angajaților spitalului, printre altele, iar atacatorii au publicat și un eșantion, ca dovadă a intruziunii.
Cercetătorul Brett Callow afirmă că în acest an, 29 de sisteme de sănătate din SUA, care cuprind 90 de spitale, au fost afectate de atacuri cibernetice de tip ransomware.
În septembrie, atacatorii LockBit au compromis sistemele IT ale Carthage Area Hospital și Clayton-Hepburn Medical Center din New York, deși politica grupării interzice afiliaților săi intruziunea în rețelele organizațiilor medicale. În trecut, LockBit a orchestrat atacuri cibernetice și împotriva altor organizații de asistență medicală, cum ar fi Hospital Centre of Versailles, în decembrie 2022, sau Center Hospitalier Sud Francilien (CHSF) din Paris, în august 2022.
O altă gruparea de criminalitate cibernetică, Rhysida, a anunțat recent un hack desfășurat asupra Prospect Medical Holdings din Statele Unite, amenințând că va scurge datele exfiltrate dacă organizația nu va plăti o răscumpărare de aproximativ 1,3 milioane de dolari. După acest atac, Rhysida Ransomware a adăugat încă trei spitale din SUA pe lista victimelor publicată pe site-ul său de scurgeri, respectiv spitalele sistemului de sănătate Singing River – Pascagoula Hospital, Ocean Springs Hospital și Gulfport Hospital.
Platforma Discord a devenit un teren fertil pentru găzduirea programelor malware
Conform unui nou raport al cercetătorilor Trellix, platforma Discord, una dintre cele mai utilizate aplicații de comunicare din întreaga lume,devine din ce în ce mai abuzată de atacatorii care îi folosesc infrastructura pentru a-și desfășura operațiunile.
”Modul în care software-ul malițios abuzează Discord se concentrează pe două tehnici principale: descărcarea de fișiere suplimentare și exfiltrarea informațiilor. Pentru a descărca fișiere suplimentare din Discord, atacatorii folosesc o funcționalitate a platformei cunoscută sub numele de Discord's Content Delivery Network (CDN). Această caracteristică permite atacatorilor să încarce orice tip de fișier care poate fi descărcat ulterior.”, se arată în raport, cercetătorii menționând că exfiltrarea datelor se face prin intermediul webhook-urilor.
Analiza Trellix a indicat că printre cele mai răspândite programe malware care utilizează CDN-ul Discord pentru a descărca payload-uri în etapa următoare sunt SmokeLoader, PrivateLoader și GuLoader, payload-urile incluzând programe stealer precum RedLine, Vidar, Agent Tesla și Umbral.
Printre cele mai cunoscute programe malware observate folosind webhook-uri Discord se află Mercurial Grabber, Stealerium, Typhon Stealer și Venom RAT.
Un nou aviz comun de securitate cibernetică publicat de CISA și FBI în cadrul proiectului #StopRansomware diseminează indicatorii de compromitere, tacticile, tehnicile și procedurile (TTP) operațiunii de ransomware-as-a-service (RaaS) AvosLocker, precum și metodele de detectare asociate cu varianta AvosLocker ce a compromis multiple organizații din sectoarele de infrastructură critică în Statele Unite începând cu luna mai 2023.
Conform avizului, afiliații AvosLocker compromit rețelele organizațiilor utilizând software legitim și instrumente open source de administrare la distanță, iar tulpina de ransomware apărută la mijlocul anului 2021 afectează mediile Windows, Linux și VMware ESXi.
Pe lângă instrumentele observate în trecut ca făcând parte din arsenalul operațiunii AvosLocker, afiliații au inclus acum și Notepad++, RDP Scanner, 7zip sau instrumente Windows legitime precum PsExec și Nltest și un program malware numit NetMonitor.exe ce se prezintă ca un proces legitim și ”are aspectul unui instrument legitim de monitorizare a rețelei.”, dar acționează ca un reverse proxy ce le permite atacatorilor să se conecteze de la distanță la rețeaua compromisă.
CISA și FBI recomandă organizațiilor să implementeze măsurile de atenuare necesare pentru a reduce probabilitatea și impactul ransomware-ului AvosLocker și al altor incidente de tip ransomware.
Un atacator susținut de China exploatează o vulnerabilitate critică Atlassian
Miercuri, 11 octombrie 2023, Microsoft a declarat că un atacator denumit Storm-0062, DarkShadow sau Oro0lxy, sponsorizat de un stat național, exploatează activ, încă din data de 14 septembrie 2023, o vulnerabilitate de securitate Atlassian recent descoperită.
Microsoft nu a specificat despre ce stat național este vorba, dar Oro0lxy a fost identificat anterior într-un rechizitoriu publicat de DOJ în 2020 ca fiind pseudonimul lui Li Xiaoyu, un hacker în vârstă de 37 de ani care lucrează cu Ministerul Securității de Stat (MSS) al Chinei.
Vulnerabilitatea de tip zero-day, identificată prin CVE-2023-22515 (scor CVSS: 10), afectează produsele Confluence Data Center și Confluence Server , a fost abordată de Atlassian pe 4 octombrie 2023 și listată în catalogul KEV al CISA la data de 5 octombrie 2023.
În avizul publicat de Atlassian pe 4 octombrie 2023 și actualizat pe 10 octombrie, compania confirmă că ”are dovezi ce sugerează că un atacator dintr-un stat național” exploatează această vulnerabilitate de securitate care ar putea permite unui atacator aflat la distanță să creeze conturi de administrator pentru a accesa serverele Confluence.
Utilizatorii sunt sfătuiți nu doar să facă imediat upgrade la cea mai recentă versiune fixă și să izoleze aplicațiile vulnerabile Confluence, dar și să examineze indicatorii de compromitere furnizați pentru a se asigura că nu a avut loc o exploatare.
IZ1H9 exploatează acum mai multe vulnerabilități de securitate
Cercetătorii Fortinet, care au observat în septembrie 2023 o campanie DDoS agresivă bazată pe IZ1H9, o variantă Mirai Botnet, au dezvăluit într-un nou raport că această campanie și-a actualizat arsenalul adăugând o serie de treisprezece exploit-uri pentru a viza mai multe routere, inclusiv D-Link, Zyxel, TP-Link Archer. Korenix Jetwave și TOTOLINK.
Fortinet raportează, de asemenea, că IZ1H9 are o secțiune de date cu acreditări hardcoded utilizate pentru atacuri bruteforce ce ar putea fi utile pentru propagarea către dispozitive adiacente sau pentru autentificarea la dispozitivele IoT pentru care nu are un exploit funcțional.
Proprietarilor de dispozitive IoT li se recomandă actualizarea la cea mai recentă versiune de firmware disponibilă, folosirea de acreditări puternice și, dacă este posibil, să reducă expunerea la internetul public.
Raportul cercetătorilor expune modul în care această amenințare folosește noi vulnerabilități pentru a controla dispozitivele afectate, oferă detaliile IZ1H9 și cuprinde indicatorii de compromitere.
Microsoft lansează actualizările Patch Tuesday pentru luna octombrie 2023
Marți, 10 octombrie 2023, Microsoft a lansat actualizările de securitate Patch Tuesday pentru luna în curs, abordând un total de 103 vulnerabilități ce afectează diverse produse ale companiei, inclusiv Azure, ASP.NET, Core, Visual Studio, Exchange Server, Office, Microsoft Dynamics și Windows. Dintre cele 103 vulnerabilități de securitate, 13 sunt considerate critice și 90 au un grad de severitate ridicat. De asemenea, două dintre vulnerabilitățile remediate cu această ocazie au fost deja exploatate activ.
Prima dintre cele două vulnerabilități de tip zero day este identificată prin CVE-2023-36563, are un scor CVSS de 6,5, rezidă în Microsoft WordPad și este descrisă ca o eroare de divulgare a informațiilor care ar putea duce la scurgerea hash-urilor NTLM.
Cea de-a doua vulnerabilitate de tip zero day este identificată prin CVE-2023-41763, are un scor CVSS de 5,3, afectează produsul Skype for Business și este o vulnerabilitate de escaladare a privilegiilor. Exploatarea acesteia ar putea duce la expunerea unor informații sensibile, cum ar fi adresele IP sau/și numerele de port, permițând atacatorilor să obțină acces la rețelele interne.
Microsoft a lansat, de asemenea, o actualizare și pentru vulnerabilitatea CVE-2023-44487, denumită HTTP/2 Rapid Reset, care afectează orice terminal HTTP/2 expus la internet și a fost exploatată pentru lansarea celor mai mari atacuri de tip DDoS din istoria internetului.
BlackCat a atacat cibernetic tribunalele de stat din nord-vestul Floridei
First Judicial Circuit of Florida a dezvăluit, într-o declarație publicată pe site-ul web propriu, că investighează un incident cibernetic ce i-a perturbat operațiunile în data de 2 octombrie 2023, afectând anumite aplicații folosite de instanțe.
”Acest eveniment va afecta în mod semnificativ operațiunile instanțelor de pe întreg circuitul, având impact asupra instanțelor din Escambia, Okaloosa, Santa Rosa și Walton, pentru o perioadă lungă de timp.”, se arată în declarație.
Între timp, gruparea de criminalitate cibernetică BlackCat/ALPHV și-a revendicat responsabilitatea pentru incident, adăugând că a accesat 2 TB de fișiere ce cuprind date personale care includ numerele de securitate socială și CV-urile judecătorilor și angajaților instanțelor, precum și harta rețelei sistemelor judiciare și acreditările de serviciu local și la distanță.
Operațiunea de ransomware BlackCat a apărut în noiembrie 2021 și, potrivit FBI, peste 60 de organizații din întreaga lume au fost compromise de acești atacatori din noiembrie 2021 până în martie 2022.
Troianul bancar SpyNote a fost analizat de cercetători
Clienții diferitelor instituții financiare europene au fost vizați în vara anului 2023 de un troian bancar Android numit SpyNote care a fost distribuit prin e-mailuri de phishing sau campanii de smishing, iar cercetătorul Amit Tambe de la F-Secure Corporation a analizat programul malware și a publicat recent un raport pe blogul companiei.
”Eșantionul SpyNote este un program spion care înregistrează și fură o varietate de informații, inclusiv apăsarea tastelor, jurnalele de apeluri, informații despre aplicațiile instalate și așa mai departe. Rămâne ascuns pe dispozitivul victimei, ceea ce îl face dificil de observat. De asemenea, face dezinstalarea extrem de dificilă.”, a explicat Tambe.
SpyNote se ascunde strategic în ecranul de pornire al dispozitivului și în lista de aplicații recente, iar una dintre cele mai alarmante capabilități ale sale este capacitatea de a înregistra apeluri telefonice, ceea ce permite accesarea de conversații extrem de sensibile
Potrivit lui Tambe, SpyNote este o amenințare care caută în mod activ oportunități de a se infiltra în dispozitivele Android și poate fi lansat printr-un declanșator extern.
Raportul cercetătorului cuprinde și indicatorii de compromitere aferenți.
Directoratul Național de Securitate Cibernetică (DNSC) a derulat în perioada 20 septembrie 2019 – 19 octombrie 2023 proiectul “Sistem de alertă timpurie și informare în timp real - RO-SAT”, cod MySMIS2014+ 130277, cofinanțat prin Fondul European de Dezvoltare Regională (FEDR), în baza contractului de finanțare nr. 2/2.3.2/20.09.2019, încheiat cu Ministerul Investițiilor și Proiectelor Europene, în calitate de Autoritate de Management pentru Programul Operațional Competitivitate și Autoritatea pentru Digitalizarea României, în calitate de Organism Intermediar pentru Programul Operațional Competitivitate. Proiectul a fost implementat în parteneriat cu Serviciul de Telecomunicații Speciale (STS) și a avut acoperire la nivel național.
Obiectivul general al proiectului a constat în creșterea capacității operaționale a DNSC în vederea asigurării capabilităților naționale de prevenire, identificare, analiză și reacție la incidentele de securitate cibernetică. Prin implementarea proiectului, respectiv prin rezultatele prevăzute, s-a urmărit creșterea nivelului de securitate a spațiului cibernetic național (instituții publice, companii private, utilizatori individuali), precum și creșterea capacității de răspuns la incidente de securitate cibernetică a DNSC.
Postat în: stiri cybersecurity awareness DNSC
Vizualizat de 7038 ori
