Știrile săptămânii din cybersecurity (28.12.2023)
Barracuda a dezvăluit o nouă vulnerabilitate de tip zero day în dispozitivele Email Security Gateway, eroare exploatată de atacatori chinezi pentru a implementa un backdoor pe ”un număr limitat” de dispozitive.
Vulnerabilitatea este identificată prin CVE-2023-7102, Barracuda spunând că a lansat o actualizare de securitate care a fost ”aplicată automat” pe 21 decembrie 2023 și că nu este necesară nicio interacțiune suplimentară a clientului.
Exploatarea vulnerabilității s-a realizat prin intermediul unui document Microsoft Excel special conceput și trimis prin intermediul e-mailului, iar atacurile au fost atribuite grupării de criminalitate cibernetică UNC4841 care, anterior, a exploatat o altă vulnerabilitate de tip zero-day în dispozitivele Barracuda (CVE2023-2868).
Potrivit cercetătorilor Mandiant, mai multe organizații din sectorul public, dar și din cel privat situate în cel puțin 16 țări au fost afectate din octombrie 2022.
Noul malware Android Xamalicious Sneaky a compromis 327.000 de dispozitive
Experții în securitate cibernetică de la McAfee au descoperit o nouă tulpină de malware, denumită Xamalicious, vizând dispozitivele Android.
Programul malware a fost identificat în mai multe aplicații populare, folosește un cadru open source numit Xamarin pentru a se ascunde pe dispozitivul compromis, accesează permisiunile sistemului de operare și este capabil să adune metadatele de pe dispozitiv și să contacteze un server C2 pentru a prelua un payload din a doua etapă.
McAfee a declarat că malware-ul a fost identificat pe 25 de aplicații, unele dintre acestea fiind distribuite pe magazinul oficial Google Play, și estimează că aplicațiile au fost instalate în cel puțin 327.000 din cazuri.
Cele mai multe dintre infecții au fost raportate în Brazilia, Argentina, SUA, Marea Britanie, Australia, Mexic și unele părți ale Europei.
Hackerii exploatează vulnerabilitatea MS Excel pentru a răspândi Agent Tesla
Cercetătorii Zscaler ThreatLabz au descoperit că o vulnerabilitate veche Microsoft Office, identificată prin CVE-2017-11882 (scor CVSS: 7,8) este exploatată de atacatori, ca parte a campaniilor de phishing, pentru a distribui tulpina de malware numită Agent Tesla.
”Odată ce un utilizator descarcă un document malițios atașat și îl deschide, dacă versiunea sa de Microsoft Excel este vulnerabilă, fișierul Excel inițiază comunicarea cu o destinație malițioasă și continuă să descarce fișiere suplimentare fără a necesita nicio interacțiune suplimentară a utilizatorului”, se arată în raportul Zscaler.
Agent Tesla este un keylogger avansat și un troian de acces la distanță (RAT) bazat pe .NET, echipat pentru a colecta informații sensibile de la gazdele compromise. Malware-ul comunică apoi cu un server la distanță pentru a extrage datele colectate.
Raportul Zscaler prezintă tacticile folosite de atacatori pentru a implementa Agent Tesla exploatând vulnerabilitatea în discuție, precum și indicatorii de compromitere aferenți campaniei.
SpotMedia: Cum te ferești de înșelătorii online, de Sărbători și în 2024 - ponturi de la echipa DNSC
Te pregătești să cumperi online ultimele cadouri? Află din acest episod al Digital Shift cum să o faci în siguranță, fără să le dai atacatorilor cibernetici șansa să îți golească de bani contul bancar.
Bonus: cum să începi noul an cu o rutină de siguranță online care să te ferească de orice pericol.
Sfaturile utile și ușor aplicat vin de la Mihai Rotariu, purtătorul de cuvânt al Directoratului Național de Securitate Cibernetică (DNSC).
Mint Mobile dezvăluie un incident cibernetic în care au fost expuse datele clienților
Mint Mobile, un operator de rețea virtuală mobilă (MVNO), a început să notifice clienții pe 22 decembrie 2023 cu privire la incident de securitate în cadrul căruia un hacker a obținut informații personale ale acestora.
”Vă scriem pentru a vă informa despre un incident de securitate pe care l-am identificat recent în care un actor neautorizat a obținut anumite tipuri limitate de informații despre clienți. Investigația noastră indică faptul că anumite informații asociate contului dvs. au fost afectate.”, avertizează notificarea de încălcare a datelor Mint Mobile.
Datele clienților includ nume, numere de telefon, adrese de e-mail, numărul de serie SIM și numărul IMEI și o scurtă descriere a planului de servicii achiziționat.
Deși Mint Mobile nu a dezvăluit detalii despre cum au fost încălcate aceste date, serviciul de informații despre amenințări FalconFeeds a raportat în iulie 2023 că un atacator a încercat să vândă, pe un forum de hacking, date care ar fi fost furate de la Mint Mobile și Ultra Mobile.
Atacatorul a spus că datele sunt vechi de câteva luni, dar conțineau ultimele patru cifre ale cardurilor de credit ale clienților, așa că nu este clar dacă incidentul are legătură cu încălcarea dezvăluită.
Departamentul de Justiție (DoJ) al SUA a anunțat destructurarea rețelei BlackCat ca parte a unei operațiuni coordonate de aplicare a legii care a implicat colaborarea și asistența mai multor agenții din SUA, Germania, Danemarca, Marea Britanie, Spania, Elveția, Austria și Australia și, de asemenea, lansarea unui instrument de decriptare ce poate fi folosit în mod gratuit de peste 500 de victime afectate.
BlackCat, numită și ALPHV, GOLD BLAZER și Noberus, a apărut pentru prima dată în decembrie 2021 și de atunci a devenit a doua cea mai prolifică variantă de ransomware-as-a-service din lume, după LockBit și este de asemenea, prima tulpină de ransomware bazată pe Rust descoperită de cercetători.
În total, se estimează că atacatorul a compromis rețelele a peste 1000 de victime din întreaga lume pentru a câștiga aproape 300 de milioane de dolari în venituri ilegale începând cu septembrie 2023.
FBI a declarat că a lucrat cu zeci de victime din SUA pentru a implementa decriptorul, salvându-le de cereri de răscumpărare în valoare totală de aproximativ 68 de milioane de dolari și că a obținut, de asemenea, informații despre rețeaua de computere a ransomware-ului, colectând peste 946 de perechi de chei publice/private utilizate.
BlackCat, la fel ca alte grupări de ransomware, folosește un model de ransomware-as-a-service care implică o combinație de dezvoltatori de bază și afiliați care închiriază payload-ul și sunt responsabili pentru identificarea și atacarea organizațiilor de mare valoare.
Atacatorii 8220 Gang exploatează vulnerabilitatea Oracle WebLogic
Cercetătorii Imperva au observat exploatarea unei vulnerabilități de mare severitate în Oracle WebLogic Server de către gruparea de criminalitate cibernetică 8820 Gang și au publicat un raport ce prezintă TTPurile grupării, precum și indicatorii de compromitere aferenți campaniei în curs.
Vulnerabilitatea de securitate este identificată prin CVE-2020-14883 (scor CVSS: 7,2) și este descrisă ca o eroare de execuție a codului la distanță care ar putea fi exploatată de atacatorii autentificați pentru a prelua serverele susceptibile.
”Această vulnerabilitate permite atacatorilor autentificați, de la distanță, să execute cod folosind un lanț de gadgeturi și este în mod obișnuit înlănțuită cu CVE-2020-14882 (o vulnerabilitate de ocolire a autentificării ce afectează și Oracle Weblogic Server) sau cu utilizarea acreditărilor scurse, furate sau slabe”, se arată în raportul Imperva.
Gruparea de criminalitate cibernetică 8220 Gang, despre care se crede că este de origine chineză, a fost identificată pentru prima dată de Cisco Talos în 2017 când viza aplicațiile Drupal, Hadoop YARN și Apache Struts2 pentru a propaga malware de criptojacking.
La începutul lunii mai 2023, gruparea a fost depistată exploatând o altă vulnerabilitate a serverelor Oracle WebLogic (CVE-2017-3506, scor CVSS: 7,4) pentru a conecta dispozitivele într-o rețea botnet de cripto mining.
Țintele actualei campanii includ organizații sectoarele de sănătate, telecomunicații și servicii financiare din SUA, Africa de Sud, Spania, Columbia și Mexic.
”Atacatorii se bazează pe exploit-uri simple, disponibile public, pentru a viza vulnerabilități binecunoscute și pentru a exploata ținte ușoare pentru a-și atinge obiectivele.
Deși sunt considerați nesofisticați, aceștia își dezvoltă în mod constant tacticile și tehnicile pentru a evita detectarea.”, concluzionează cercetătorii.
DNSC la I Like IT: Amenintari online in perioada sarbatorilor de iarna (2023)
Înainte de finalul anului, DNSC a mers la I Like IT din cadrul Știrilor Pro TV pentru a vorbi despre cele mai pregnante amenințări de securitate a datelor online din perioada sărbătorilor de iarnă și despre cum se poate proteja un utilizator obișnuit de infractorii cibernetici care folosesc astfel de scenarii adaptate contextului.
În ultimele zile, Directoratul Național de Secuirtate Cibernetică (DNSC) a fost notificat cu privire la folosirea identității vizuale a Libra Internet Bank în atacuri lansate de infractori cibernetici ce impersonează angajați din cadrul băncii.
Obiectivul principal are în vedere transmiterea de link-uri malițioase prin intermediul e-mail-ului și distribuirea malware-ului de tip infostealer AGENT TESLA. Atacatorii încercă astfel să extragă de la potențialele victime date sensibile (date personale, de autentificare și/sau financiare).
Atacatorii au trimis mesaje redactate în limba română, mesaje care includ elemente vizuale ale băncii, cu date de identificare ale sucursalei din Cluj-Napoca a băncii, cu subiectul “RE: documente solicitate” ce conțin atașamente malițioase.
În urma investigației, s-a constatat că atacatorii au folosit adresa de e-mail a unui angajat, “[email protected]” pentru a trimite către utilizatori e-mail-uri malițioase, ce provin dintr-un server cunoscut pentru activității ilicite, de tip spam și spoofing.
DNSC a contactat Libra Internet Bank în vederea asigurării măsurilor care se impun pentru informarea clienților și colaboratorilor băncii cu privire la faptul că există un risc de securitate ce poate genera compromiterea confidențialității, integrității și disponibilității datelor acestora.
Platforma GitHub este utilizată din ce în ce mai des pentru găzduirea de malware
Atacatorii utilizează GitHub din ce în ce mai des, în scopuri malițioase, cercetătorii observând în ultimul timp găzduirea de programe malware pe platforma open source, precum și abuzarea de Gists, care sunt depozite în sine și care oferă dezvoltatorilor o modalitate ușoară de a partaja fragmente de cod cu alți utilizatori.
Cercetătorii de la ReversingLabs au descoperit două tehnici noi care rulează pe GitHub, una care abuzează de GitHub Gists, alta care emite comenzi prin mesaje git commit.
ReversingLabs a declarat că a identificat mai multe pachete PyPI, respectiv httprequesthub, pyhttpproxifier, libsock, libproxy și libsocks5, deghizate în biblioteci pentru gestionarea proxy-ului de rețea, dar care conțin o adresă URL codificată Base64.
O a doua tehnică observată de cercetători implică exploatarea caracteristicilor sistemului de control al versiunilor, bazându-se pe mesajele git commit pentru a extrage comenzi spre a fi executate pe sistem.
”Folosirea GitHub ca infrastructură C2 nu este nouă în sine, dar abuzul de funcții precum Git Gists și mesajele git commit pentru livrarea comenzilor sunt abordări noi folosite de actorii malițioși”, se arată în raportul ReversingLabs care prezintă și indicatori de compromitere.
Hackerii iranieni folosesc MuddyC2Go în atacurile de spionaj desfășurate în Africa
Echipa Symantec Threat Hunter a descoperit un cadru de comandă și control (C2), numit MuddyC2Go, folosit de către atacatorul iranian cunoscut sub numele de MuddyWater în atacurile sale asupra entităților din sectorul telecomunicațiilor din Egipt, Sudan și Tanzania.
Activ cel puțin din 2017, MuddyWater este evaluat a fi afiliat la Ministerul de Informații și Securitate (MOIS) al Iranului, iar utilizarea MuddyC2Go de către gruparea de spionaj cibernetic a fost evidențiată pentru prima dată în luna noiembrie 2023 ca un înlocuitor bazat pe Golang pentru PhonyC2, deși există dovezi care sugerează că este posibil să fi fost folosit încă din 2020.
Deși nu se cunoaște încă întinderea completă a capabilităților lui MuddyC2Go, executabilul este echipat cu un script PowerShell care se conectează automat la serverul C2, oferind astfel atacatorilor acces de la distanță la un sistem victimă și evitând necesitatea executării manuale de către un operator.
În atacurile documentate de Symantec și care vizează o organizație de telecomunicații, lansatorul MuddyC2Go a fost executat pentru a stabili contactul cu un server controlat de actor, în timp ce a implementat software legitim de acces la distanță precum AnyDesk și SimpleHelp.
Se spune că entitatea a fost compromisă anterior de adversar la începutul anului 2023, când SimpleHelp a fost folosit pentru a lansa PowerShell, a furniza software proxy și, de asemenea, pentru a instala instrumentul de acces la distanță JumpCloud.
