febr 6, 2024 | Adatbiztonsági cikkek, hírek
Nigéria elkötelezettsége a kiberbűnözés ellen: Tények és kezdeményezések
A nigériai elnök, Bola Tinubu határozottan elutasítja azt a nézetet, hogy országuk a kiberbűnözők otthona lenne. Ellentétben az „infámus nigériai herceg” által ismertté vált csalásokkal, Tinubu elnök kiemeli Nigéria aktív szerepvállalását a globális közösség érdekében és a kiberbűnözés elleni harcot.
Ez a kihívás évente mintegy 500 millió dollár gazdasági veszteséget okoz Nigériának, de Tinubu hangsúlyozza, hogy a probléma nem korlátozódik csupán hazájára; ez egy világméretű jelenség, amellyel szemben minden lehetséges eszközzel fel kell lépni. Az elnök szerint a digitális világban valós időben kapcsolódunk össze, így a kiberbűnözők nem csak Nigériára, hanem a globális közösségre is veszélyt jelentenek, amely ellen összefogással és határozott fellépéssel lehet a leghatékonyabban harcolni.
Tinubu elnök azt is kihangsúlyozza, hogy Nigéria számos kezdeményezést indított a kiberbűnözés megelőzése és leküzdése érdekében, többek között oktatási programokat, amelyek a digitális tudatosságot és a biztonságos internetezést népszerűsítik.
Az EFCC vezetője, Ola Olukoyede is felhívja a figyelmet arra, hogy a fiatalok egyre nagyobb mértékben vesznek részt kiberbűnöző tevékenységekben, ami aggodalomra ad okot. Olukoyede azt javasolja, hogy a fiatalokat olyan karrierlehetőségek felé kell terelni, amelyek hasznosítják képességeiket konstruktív módon, az akadémiai közösségek mentorálása révén.
Chidiebere Ihediwa, egy elismert nigériai kiberbiztonsági szakértő, szintén hangsúlyozza az online csalók és bűnözők IT szakemberekké történő átképzésének fontosságát, valamint a kiberbiztonsági oktatás és képzés bővítésének szükségességét.
Végül, bár a nigériai kormány és a kiberbiztonsági közösség jelentős erőfeszítéseket tesz a kiberbűnözés elleni küzdelemben, ez a probléma világméretű és határokat nem ismerő jelenség. A technológiai megoldások mellett a társadalmi változások elősegítése és a fiatal generációk oktatása is kulcsfontosságú a biztonságos digitális jövő megteremtéséhez.
Forrás: www.darkreading.com
febr 2, 2024 | Adatbiztonsági cikkek, hírek
Az állandóan változó digitális környezetben a kiberbiztonság szerepe egyre kritikusabbá válik. Az egyre összetettebb kiberfenyegetések elleni védelemhez már a tervezési folyamat kezdetén komoly figyelmet kell fordítani a biztonsági szempontokra. Ennek révén minimalizálhatók a potenciális sebezhetőségek és támadási felületek.
A CISA kiemelt figyelme, különösen a kisvállalatok és otthoni irodai környezetek eszközgyártóira irányulva, rámutat ezeknek a speciális területeknek a biztonsági kihívásaira. Ezek az eszközök gyakran kimaradnak a nagyvállalati biztonsági intézkedések alól, ami sebezhetővé teszi őket az újabb támadásokkal szemben. A tervezési szakaszban való biztonsági megfontolások beépítése nem csak a felhasználókat védi, hanem az egész kiberbiztonsági ökoszisztémát is erősíti.
A CISA által ajánlott irányelvek, amelyek az automatikus frissítések támogatására és a biztonsági beállítások manuális változtatásának lehetőségére összpontosítanak, kulcsfontosságúak a kisvállalatok és otthoni irodák eszközeinek biztonságának növelésében. Az ilyen típusú beépített funkciók segítségével a gyártók csökkenthetik a felhasználókra nehezedő terheket a biztonsági frissítések kezelése terén, és ezzel javíthatják az eszközök általános védelmi szintjét.
A kritikus infrastruktúrák védelmének érdekében elengedhetetlen a köz- és magánszféra szoros együttműködése és koordinációja. A KV-botnet példája rámutat arra, hogy a kibertámadók milyen mértékben kihasználhatják a meglévő technológiai sebezhetőségeket, és mennyire fontos folyamatosan felkészülni és védekezni a kiberfenyegetésekkel szemben.
Ellentmondva a kínai kormány állításainak, melyek tagadják az ilyen típusú támadásokat, a nemzetközi közösségnek összefognia és együttműködnie kell a globális kiberbiztonsági fenyegetések elleni küzdelemben. A nemzetek közötti párbeszéd erősítése és a kibervédelmi normák megszilárdítása kulcsfontosságú a digitális világ biztonságának fenntartásához.
Végül az FBI és a DoJ által végrehajtott lépések, melyek a KV-botnet felszámolására irányultak, hangsúlyozzák, hogy a kiberfenyegetések kezelése dinamikus és folyamatos erőfeszítéseket igényel. A technológia fejlődésével párhuzamosan a kiberbiztonsági stratégiáknak is alkalmazkodniuk kell az új kihívásokhoz. A biztonságos tervezés, a rendszeres frissítések és a közös kibervédelmi elkötelezettség nélkülözhetetlenek a jövőbeli kiberfenyegetések hatékony kezeléséhez.
Forrás: www.thehackernews.com
febr 1, 2024 | Adatbiztonsági cikkek, hírek
A Cluster25, egy fenyegetéseket elemző cég nemrég felfedte a „Medve és a Shell” nevű spear-phishing kampányt. Ez a kampány elsősorban az orosz kormányt bíráló szervezetekre és az ellenzéki mozgalmakhoz köthető csoportokra irányul. A támadás során a társadalmi mérnökség módszereit alkalmazva látszólag hitelesnek tűnő csalétekkel csapják be az áldozatokat.
Példaként említhető egy NASA-témájú e-mail, amely állítólag egy állásajánlatot rejtő ZIP fájlt tartalmaz. Ennek a fájlnak a megnyitásakor egy több platformon működő reverse shell, az HTTP-Shell aktiválódik, amely lehetővé teszi a támadók számára, hogy távolról hozzáférjenek az áldozat rendszeréhez.
Ez a shell, habár nyílt forráskódú, rosszindulatú célokra is felhasználható, így lehetővé téve a fájlok átvitelét, a könyvtárak böngészését és a kapcsolódást egy parancs- és vezérlő (C&C) szerverhez. Ebben az esetben a C&C szerver egy PDF-szerkesztő oldalnak álcázta magát, hogy elkerülje a felderítést.
Túl a NASA-n: Egy szélesebb csalási háló
A Cluster25 nyomozása többet tárt fel, mint csak egyetlen támadást. További hasonló kampányokat is felfedeztek. Ezek a kampányok ugyanazt a módszertant követték, hasonló parancsikonokat használtak, és néhány csalétek témája is megegyezett. Ezek az adatok egy összehangolt támadási kísérletre utalnak, amely különböző egyének és szervezetek ellen irányul.
A kampány a NASA-témájú csaléteken túl terjeszkedett, különféle témákat felölelve a különböző célpontok megtévesztésére. Egyik taktika az USAID-témájú támadás volt, amely az Egyesült Államok Nemzetközi Fejlesztési Ügynökségének jó hírnevét használta ki. Egy másik cél a hollandiai székhelyű nyomozó újságírói csoport, a Bellingcat volt, ami a kampány nemzetközi jellegét hangsúlyozza.
Független orosz médiumok, mint a The Bell és a Verstka, cikkeit használták csalétekként is, bemutatva a támadók törekvését, hogy behatoljanak azokba a közösségekbe, amelyek kritikusak az orosz kormánnyal szemben.
Attribúció: Nyomok, amelyek a Medvére mutatnak
Bár a pontos elkövetők azonosítása még mindig várat magára, a bizonyítékok egy orosz állami támogatású fenyegető szereplő irányába mutatnak.
A célpontok jellege, valamint a korábbi Sliver beacon aktivitásokhoz kapcsolódó infrastruktúra használata arra utal, hogy az orosz kormány nevében tevékenykedő szereplők állhatnak a háttérben.
Ez aggodalmakat kelt a célzott kibertámadásokkal kapcsolatban, amelyek célja az ellenzéki hangok elnyomása és a kritikus vélemények elhallgattatása.
Forrás: cybersecuritynews.com
jan 31, 2024 | Adatbiztonsági cikkek, hírek
Hackerek megbízható platformok átirányítási hibáit kihasználva hajtanak végre phishing támadásokat
A támadók megbízható platformokat használnak fel átirányítási célokra, ami azt jelenti, hogy legitim weboldalak segítségével irányítják a felhasználókat kártékony URL-címekre.
Az egyre fejlődő kiberfenyegetések világában a phishing kísérletek gyakorisága növekszik, az e-mail pedig az egyik legfőbb célpont. A szakértők jelentős növekedést tapasztaltak azokban a phishing kísérletekben, amelyek kihasználják a nyílt átirányítási sebezhetőségeket.
A fő cél az észlelési mechanizmusok elkerülése és a felhasználók bizalmának kiaknázása, kihasználva a megbízható platformok hírnevét és az ellen-phishing elemzési technikákat, mint például az összetett átirányítási láncok.
Mi az a nyílt URL-átirányítási sebezhetőség?
Egy webalkalmazás olyan felhasználó által irányított adatot kap, amely egy külső oldalra mutató linket tartalmaz, amit aztán átirányításra használnak fel. Ez megkönnyíti a phishing kísérleteket.
A Trustwave SpiderLabs csapata szerint ez a webalkalmazás-sebezhetőség akkor keletkezik, amikor a felhasználók ellenőrizetlen adatok használatával irányíthatók át nem megbízható weboldalakra, ami támadók által üzemeltetett weboldalakra, például phishing oldalakra vezethet.
„A támadók egyre gyakrabban vizsgálják és tesztelik a nyílt átirányításra sebezhető linkeket a megbízható platformokon. Az URL-paramétereket manipulálják, hogy a felhasználókat rosszindulatú oldalakra irányítsák, és ezen linkeket phishing e-mailekbe ágyazzák be. Ez lehetővé teszi számukra a phishing támadások indítását és a felhasználói hitelesítő adatok ellopását”, osztotta meg a SpiderLabs csapat a Cyber Security News-szal.
Email phishing kísérletek
Egy esetben a támadók az IntelliClick tulajdonában lévő alap URL-t használják fel: „hxxps[://]www[.]intelliclicktracking[.]net/”. Az IntelliClick egy megbízható e-mail és weboldal marketing szolgáltató, amelynek domainjét a fenyegető szereplők nyílt átirányításokkal indított phishing támadásokhoz használják fel, noha ez egy legális szolgáltatás.
Van egy URL-paraméter, ami egy rosszindulatú IPFS oldalra mutat, egy e-mail cím részletével. Az InterPlanetary File System, vagy IPFS, egy elosztott, peer-to-peer fájlmegosztó rendszer, amit egyre gyakrabban használnak phishing támadásokhoz.
Az átirányítási lánc bemutatja, hogyan vezet az IPFS URL-re, amely egy hamis bejelentkezési űrlapot tartalmaz, amely a Webmailt utánozza.
A nyílt átirányítási stratégiákat használó phishing kampányok egyre gyakoribbak, az olyan képalapú támadások növekedése miatt, amelyek a Microsoftot és az e-aláírás szolgáltatásokat, mint az Adobe Sign és a DocuSign utánozzák.
A fenyegető szereplők kihasználják a Google szolgáltatásokkal kapcsolatos széles körű bizalmat, a Google domainek rosszindulatú felhasználásával és azok beépítésével a phishing erőfeszítésekbe, hogy elkerüljék az észlelést.
Ez hangsúlyozza a folyamatos éberség szükségességét a kiberfenyegetésekkel szemben, mivel azok továbbra is fejlődnek és új kihívásokat jelentenek.
Forrás: www.cybersecuritynews.com
jan 30, 2024 | Adatbiztonsági cikkek, hírek
A brazil rendvédelmi hatóságok sikeresen letartóztattak több, a Grandoreiro malware mögött álló brazil operatívot.
A Brazil Szövetségi Rendőrség közölte, hogy öt ideiglenes letartóztatási parancsot és tizenhárom házkutatási és lefoglalási parancsot hajtottak végre São Paulo, Santa Catarina, Pará, Goiás és Mato Grosso államokban.
A szlovák kiberbiztonsági cég, az ESET, amely további segítséget nyújtott az akcióban, azt állítja, hogy felfedezett egy tervezési hibát a Grandoreiro hálózati protokolljában, ami segített azonosítani a támadások mintázatait.
A Grandoreiro egyike azon latin-amerikai banki trójai vírusoknak, mint a Javali, Melcoz, Casabeniero, Mekotio és Vadokrist, amelyek elsősorban Spanyolországot, Mexikót, Brazíliát és Argentínát célozzák meg. 2017 óta aktívnak ismert. 2023 októberében a Proofpoint részleteket közölt egy olyan phishing kampányról, amely frissített változatát terjesztette a malware-nek Mexikóban és Spanyolországban.
Ez a banki trójai vírus képes adatokat lopni billentyűzetfigyelők és képernyőmentések segítségével, valamint bankszámla bejelentkezési információkat ellopni, amikor egy fertőzött áldozat a fenyegetők által meghatározott banki webhelyekre látogat. Hamis felugró ablakokat is megjeleníthet, és blokkolhatja az áldozat képernyőjét.
A támadási láncok tipikusan phishing csalikat használnak, amelyek ál-dokumentumokat vagy rosszindulatú URL-eket tartalmaznak, amelyek megnyitásakor vagy kattintásakor a malware telepítéséhez vezetnek, ami ezután kapcsolatot létesít egy parancs- és vezérlő (C&C) szerverrel, hogy távolról manuálisan irányítsa a gépet.
„A Grandoreiro rendszeresen figyeli az előtérben lévő ablakot, hogy megtaláljon egyet, amely egy webböngésző folyamathoz tartozik,” mondta az ESET. „Amikor egy ilyen ablakot talál, és annak neve egyezik bármelyik, a bankkal kapcsolatos szavakból álló, előre meghatározott listán szereplő szóval, akkor és csak akkor kezdi meg a kommunikációt a C&C szerverrel, legalább másodpercenként küldve kéréseket, amíg azok be nem fejeződnek.”
A malware mögött álló fenyegetők egy domain generáló algoritmust (DGA) is alkalmaznak 2020 októbere óta a C&C forgalom cél-domainjének dinamikus azonosítására, ami megnehezíti a hálózat blokkolását, nyomon követését vagy átvételét.
A C&C IP-címek túlnyomó többségét elsősorban az Amazon Web Services (AWS) és a Microsoft Azure szolgáltatja, az IP-címek élettartama 1 naptól 425 napig terjed. Átlagosan naponta 13 aktív és három új C&C IP-cím található.
Az ESET azt is elmondta, hogy a Grandoreiro hibás RealThinClient (RTC) hálózati protokoll implementációja a C&C-n lehetővé tette az információgyűjtést a C&C szerverhez csatlakozó áldozatok számáról, ami átlagosan naponta 551 egyedi áldozatot jelent, főként Brazíliából, Mexikóból és Spanyolországból.
További vizsgálatok szerint naponta átlagosan 114 új egyedi áldozat csatlakozik a C&C szerverekhez.
„A Brazil Szövetségi Rendőrség vezette felszámoló művelet azokra az egyénekre irányult, akiket a Grandoreiro művelet hierarchiájának magas rangú tagjainak tartanak,” tette hozzá az ESET.
Forrás: www.thehackernews.com
