Știrile săptămânii din cybersecurity (21.09.2023)
Hackerii au atacat Curtea Penală Internațională
Marți, 19 septembrie 2023, Curtea Penală Internațională (ICC), una dintre cele mai importante instituții internaționale din lume, a dezvăluit un atac cibernetic detectat în sistemele sale cu doar câteva zile înainte, declarând că au fost adoptate măsuri imediate pentru a răspunde la incident și pentru a-i atenua impactul.
Deoarece Olanda este țara gazdă a ICC, incidentul este investigat cu ajutorul autorităților acestui stat care nu au oferit până în prezent informații cu privire la amploarea impactului asupra sistemelor ICC sau dacă autorii au reușit să acceseze sau să exfiltreze date sau fișiere din rețeaua instituției.
Deși Curtea nu a dezvăluit ce parte a sistemelor sale a fost accesată, documentele extrem de sensibile de la ICC ar putea include orice, de la probe penale până la numele martorilor protejați.
In martie 2023, ICC, care are sediul la Haga, a fost înființată în 2002 și are 123 de state membre, a emis un mandat de arestare pentru președintele rus Vladimir Putin privind crimele legate de invadarea Ucrainei de către Rusia.
În august 2023, procurorul ICC Karim Khan a spus că atacurile cibernetice ar putea face parte din viitoarele investigații privind crimele de război. El a avertizat că ICC în sine ar putea fi vulnerabilă și ar trebui să-și consolideze apărarea.
Cercetătorii Microsoft AI au expus accidental 38 TB de date confidențiale
Furnizorul de securitate cloud Wiz a descoperit, în depozitul AI GitHub al Microsoft, 38 TB de date private care au fost expuse accidental de cercetătorii AI angajați ai organizației tehnologice, iar Microsoft a anunțat luni, 18 septembrie 2023, că a luat măsuri pentru a corecta o defecțiune ce a dus la această expunere.
Depozitul, numit „ robus-models-transfer ”, nu mai este accesibil, iar înainte de eliminare prezenta cod sursă și modele de învățare automată aferente unei lucrări de cercetare din 2020 intitulată ”Do Adversarially Robust ImageNet Models Transfer Better?".
”Expunerea a venit ca rezultat al unui token SAS prea permisiv – o caracteristică Azure care permite utilizatorilor să partajeze date într-un mod greu de urmărit și greu de revocat”, se arată într-un raport Wiz care oferă și recomandări de securitate SAS.
Atacatorii APT36 infectează dispozitivele Android folosind clone ale aplicației YouTube
Gruparea de criminalitate cibernetică APT36, cunoscută și sub denumirea de Transparent Tribe, a fost observată distribuind troianul de acces la distanță (RAT) CapraRAT prin intermediul a trei aplicații malițioase Andoid care imită YouTube.
Transparent Tribe este un atacator din Pakistan, activ cel puțin din anul 2013, nu foarte sofisticat, însă extrem de persistent, care care își adaptează continuu strategia operațională. Transparent Tribe s-a concentrat anterior, în principal, pe personalul militar și guvernamental indian, dar în primăvara anului 2023 și-a extins domeniul de aplicare pentru a include și instituțiile de învățământ din India.
Campania actuală a fost observată de SentinelLabs, este îndreptată asupra persoanelor și organizațiilor legate de armată sau diplomație din India și Pakistan, iar aplicațiile malițioase sunt distribuite în afara Google Play.
Odată instalat pe dispozitivul victimei, CapraRAT solicită permisiuni intruzive ce permit malware-ului să colecteze o gamă largă de date sensibile pe care le exfiltrează pe un server controlat de atacator și poate, de asemenea, să înregistreze audio și video.
SentinelLabs a publicat un raport cu analiza tehnică a malware-ului și indicatorii de compromitere aferenți campaniei.
Un exploit PoC fals pentru o vulnerabilitate WinRAR a infectat utilizatorii cu Venom RAT
Cercetătorii Palo Alto au descoperit pe GitHub un fals exploit PoC pentru o vulnerabilitate WinRAR recent remediată încărcat de un hacker, pe 21 august 2023, cu scopul de a infecta utilizatorii cu malware-ul Venom RAT.
Exploit-ul PoC fals este pentru vulnerabilitatea identificată prin CVE-2023-40477, descoperită de cercetătorii Trend Micro în iunie 2023 și remediată de către WinRAR în versiunea 6.23 care a fost lansată pe 2 august. Vulnerabilitatea ar putea fi exploatată de către un atacator aflat la distanță pentru a realiza execuția de cod pe sistemele Windows.
”Exploit-ul PoC fals menit să exploateze această vulnerabilitate WinRAR s-a bazat pe un script PoC disponibil public care a exploatat o vulnerabilitate de injectare SQL într-o aplicație numită GeoServer, care este urmărită ca CVE-2023-25157 ”, a declarat Robert Falcone, cercetător al Palo Alto Networks Unit 42.
Atacatorul, al cărui cont nu mai este accesibil pe GitHub, a inclus un rezumat în fișierul README și un videoclip Streamable care demonstra cum se utilizează exploit-ul, ceea ce a adăugat mai multă legitimitate pachetului malițios, iar videoclipul a atras în total 121 de vizualizări.
GitLab lansează actualizări de securitate de urgență
GitLab, platforma de gestionare a proiectelor software și de urmărire a lucrărilor, a lansat actualizări de securitate pentru a aborda o vulnerabilitate critică ce afectează versiunile GitLab Enterprise Edition (EE) începând cu 13.12 până la 16.2.7, precum și versiunile de la 16.3 până la 16.3.4.
Vulnerabilitatea este identificată prin CVE-2023-5009, are un scor CVSS de 9,6, iar exploatarea acesteia poate permite unui atacator să acceseze informații sensibile sau să folosească permisiunile ridicate ale utilizatorului victimă pentru a opera modificări în codul sursă sau a rula cod arbitrar pe sistem.
Vulnerabilitatea a fost remediată în versiunile GitLab 16.3.4 și 16.2.7.
FBI și CISA avertizează cu privire la atacurile Snatch Ransomware
FBI și CISA au publicat miercuri, 20 septembrie 2023, un aviz în cadrul proiectului #StopRansomware, avertizând organizațiile cu infrastructură critică cu privire la atacurile grupării de criminalitate cibernetică Snatch și au diseminat IOC-uri, TTP-uri și tehnici MITRE ATT&CK asociate cu varianta de ransomware folosită de către atacatori pe care FBI a identificat-o încă de la 1 iunie 2023.
Gruparea infracțională Snatch a existat sub diferite forme din 2018, vizează organizațiile din SUA începând cu anul 2019, iar în ultimele luni titlurile din presa de profil au evidențiat atacurile asupra Departamentului de Apărare al Africii de Sud, Metropolitan Opera și asupra guvernului orașului Modesto din California.
Conform avizului CISA și FBI, gruparea exploatează în mod obișnuit vulnerabilitățile protocolului desktop la distanță (RDP) pentru accesul inițial, dar a fost văzută și dobândind acreditări compromise de pe forumurile de criminalitate cibernetică pe care le folosește pentru acces persistent în rețele.
Înainte de implementarea ransomware-ului, atacatorii Snatch petrec până la trei luni în rețelele victimelor, căutând date valoroase pentru a le exfiltra și identificând sistemele pe care le pot cripta.
O eroare T-Mobile a permis clienților serviciului să vizualizeze, în data de 20 septembrie 2023, informațiile despre contul și facturarea mai multor persoane după ce s-au conectat la aplicația mobilă a companiei, unii dintre utilizatori susținând că s-au confruntat mai multe zile cu asta.
Informațiile expuse au inclus numele clienților, numerele de telefon, adresele, soldurile conturilor și detaliile cardului de credit, cum ar fi datele de expirare și ultimele patru cifre.
T-Mobile a declarat că incidentul a avut un impact limitat, afectând mai puțin de 100 de persoane și nu a fost vorba despre un atac cibernetic.
Potrivit unei declarații a companiei, ”aceasta a fost o eroare temporară a sistemului legată de o actualizare tehnologică planificată peste noapte, care a implicat informații limitate despre cont pentru mai puțin de 100 de clienți și care a fost rezolvată rapid.”
De la începutul acestui an, T-Mobile a dezvăluit două incidente cibernetice, unul desfășurat în ianuarie, când atacatorii au exfiltrat informațiile sensibile ale 37 de milioane de clienți, iar celălalt dezvăluit în mai, după ce sute de clienți și-au expus informațiile personale în perioada februarie-martie.
Trend Micro remediază o vulnerabilitate critică exploatată activ
Trend Micro a lansat actualizări de securitate ce remediază o vulnerabilitate de tip zero-day în soluțiile Apex One și Worry-Free Business Security pentru Windows.
Vulnerabilitatea este identificată prin CVE-2023-41179, are un scor CVSS v3 de 9,1 și rezidă într-un modul de dezinstalare terță parte furnizat împreună cu software-ul de securitate.
Eroarea afectează produsele Trend Micro Apex One 2019, Trend Micro Apex One SaaS 2019, Worry-Free Business Security (WFBS) 10.0 SP1 și Worry-Free Business Security Services (WFBSS) 10.0 SP1, iar remedierile sunt disponibile în versiunile Apex One 2019 Service Pack 1 (Build 12380), Apex One SaaS 14.0.12637, Patch-ul WFBS 2495 și actualizarea WFBSS din 31 iulie 2023.
Trend Micro dezvăluie faptul că vulnerabilitatea ar putea permite unui atacator să execute comenzi arbitrare dacă acesta are deja acces la consola administrativă pe sistemul țintă și avertizează că ”a observat cel puțin o încercare activă de exploatare a acestei vulnerabilități”.
Cercetătorii recomandă clienților să limiteze accesul la consola de administrare a produsului la rețelele de încredere, ca o soluție de atenuare a amenințării, însă administratorii sunt sfătuiți să instaleze actualizările de securitate pentru a împiedica deplasarea laterală a atacatorilor care au compromis deja o rețea.
Bumblebee Loader reapare într-o nouă campanie
Cercetătorii Intel471 raportează că, după o pauză de două luni, operatorii Bumblebee au lansat pe 7 septembrie 2023 o campanie malware care care folosește noi tehnici de distribuție ce implică exploatarea serviciilor Web Distributed Authoring and Versioning (WebDAV) 4shared.
WebDAV este o extensie a protocolului HTTP care permite clienților să efectueze operațiuni de la distanță, cum ar fi crearea, accesarea, actualizarea și ștergerea conținutului serverului web.
Noua campanie Bumblebee se bazează pe e-mailuri care conțin fișiere LNK de comandă rapidă Windows, sau arhive ZIP ce conțin fișiere LNK și pretind a fi notificări sau facturi pentru a atrage destinatarii să le acceseze sau să le descarce. Când sunt activate de utilizator, aceste fișiere LNK execută un set predeterminat de comenzi concepute pentru a descărca malware Bumblebee găzduit pe serverele WebDAV.
Cercetătorii au observat în asceastă campanie, de asemenea, o versiune actualizată a loader-ului Bumblebee care a trecut de la utilizarea protocolului WebSocket la TCP pentru comunicațiile cu serverul C2 și care acum folosește un algoritm de generare a domeniului (DGA) pentru a genera 100 de domenii în spațiul de domenii TDL ”.life” la execuție.
Raportul cercetătorilor cuprinde recomandări de atenuare a amenințării precum și tehnici MITRE ATT&CK.
Zeci de entități guvernamentale australiene afectate de un atac cibernetic
Un atac ransomware revendicat de atacatorii BlackCat, desfășurat în aprilie 2023 împotriva HWL Ebsworth, una dintre cele mai mari case de avocatură din Australia, a exploatat datele a 65 de agenții guvernamentale australiene, conform unei declarații recente a coordonatorului național de securitate cibernetică din Australia.
HWL Ebsworth a identificat atacul în data de 26 aprilie, iar o investigație derulată pe parcursul a 16 săptămâni a dezvăluit că atât datele celor 65 de entități guvernamentale cât și cele ale ”unui număr mare” de clienți din sectorul privat ai firmei de avocatură au fost compromise în incident.
Într-o conferință de presă de luni, 18 septembrie 2023, Darren Goldie, prima persoană care ocupă funcția de coordonator național de securitate cibernetică al Australiei, a declarat că atât Poliția Federală Australiană cât și Departamentul Afacerilor Interne se numără printre victimele acestui incident.
Goldie a spus că va efectua o analiză cu HWL Ebsworth și cu părțile interesate din guvernele federale, de stat și teritoriale asupra lecțiilor învățate din incident și va stabili modul în care guvernele vor răspunde la atacurile viitoare.
Aproape 12.000 de firewall-uri Juniper sunt vulnerabile la o eroare RCE dezvăluită recent
Cercetătorii VulnCheck au descoperit că aproape 12.000 de dispozitive firewall Juniper expuse la internet sunt vulnerabile la o defecțiune RCE dezvăluită recent și au publicat un nou exploit pentru eroarea în discuție.
Vulnerabilitatea este identificată prin CVE-2023-36845, rezidă în componenta J-Web a sistemului de operare Junos și poate fi exploatată de un atacator neautentificat, aflat la distanță, pentru a executa cod arbitrar pe firewall-urile Juniper fără a crea un fișier în sistem.
”Firewall-urile sunt ținte interesante pentru grupările APT, deoarece ajută la conectarea la rețeaua protejată și pot servi drept gazde utile pentru infrastructura C2”, a spus Jacob Baines, cercetător VulnCheck și a avertizat că ”oricine are un firewall Juniper vulnerabil ar trebui să-l examineze pentru semne de compromitere”.
Vulnerabilitatea a fost remediată de Juniper Networks în august 2023 împreună cu CVE-2023-36844, CVE-2023-36846 și CVE-2023-36847.
