jan 18, 2024 | Adatbiztonsági cikkek, hírek
Sebezhető Docker szolgáltatásokat céloznak meg egy új kampányban, ahol a fenyegető szereplők XMRig kriptovaluta bányász szoftvert és a 9Hits Viewer alkalmazást telepítik, mint egy többágú pénzszerzési stratégia részét.
„Ez az el
ső dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.
A 9Hits magát egy „egyedi webes forgalom-megoldásként” és „automatikus forgalomcserélőként” hirdeti, amely lehetővé teszi a szolgáltatás tagjainak, hogy forgalmat irányítsanak az oldalaikra kreditek vásárlásával. Ezt egy 9Hits Viewer nevű szoftverrel érik el, amely egy fej nélküli Chrome böngésző példányt futtat a többi tag által kért weboldalak meglátogatásához, amivel krediteket szereznek az oldalaikra irányuló forgalom generálásához.
A sebezhető Docker gazdagépekre terjedő kártékony szoftver pontos terjedési módja jelenleg nem világos, de feltételezik, hogy keresőmotorok, mint például a Shodan használatát foglalja magába potenciális célpontok keresésére. A szervereket ezután megtámadják, hogy két rosszindulatú konténert telepítsenek a Docker API-n keresztül, és lehívjanak kész képeket a Docker Hub könyvtárból a 9Hits és XMRig szoftverekhez.
„Ez egy gyakori támadási vektor a Docker célpontokra irányuló kampányokban, ahol az egyedi célra szánt kép helyett általános képet húznak le a Dockerhub-ról (ami majdnem mindig elérhető) és felhasználják a saját céljaikra,” mondta Nate Bill biztonsági kutató.
A 9Hits konténert aztán arra használják, hogy kódot hajtsanak végre a támadó számára kreditek generálásához, a 9Hits-szel való azonosítással a munkamenet-tokenjük használatával és a meglátogatandó oldalak listájának kinyerésével.
A fenyegető szereplők a rendszert úgy konfigurálták, hogy felnőtteknek szóló oldalakat vagy popupokat megjelenítő oldalakat látogassanak, de megakadályozzák a kriptovalutákkal kapcsolatos oldalak látogatását. A másik konténert XMRig bányász szoftver futtatására használják, amely egy privát bányászmedencéhez csatlakozik, ezáltal lehetetlenné téve a kampány méretének és jövedelmezőségének megállapítását.
„A kampány kompromittált gazdagépekre gyakorolt fő hatása az erőforrások kimerülése, mivel az XMRig bányász szoftver minden elérhető CPU erőforrást felhasznál, míg a 9hits nagy mennyiségű sávszélességet, memóriát és a maradék kis CPU-t használja fel,” mondta Bill.
„Ennek eredményeként a fertőzött szervereken futó legitim munkafolyamatok nem tudnak a várt módon teljesíteni. Ezen kívül a kampány frissíthető úgy, hogy távoli shellt hagyjon a rendszeren, ami potenciálisan komolyabb behatolást okozhat.”
Forrás: https://thehackernews.com
jan 16, 2024 | Adatbiztonsági cikkek, hírek
Az Inferno Drainer nevű, immár megszűnt csalói csoport egy év alatt, 2022 és 2023 között több mint 16 000 egyedi kártékony domain nevet hozott létre. A szingapúri székhelyű Group-IB szerint a szervezet „magas minőségű adathalász oldalak segítségével csábította gyanútlan felhasználókat arra, hogy kriptopénz tárcájukat az elkövetők által létrehozott infrastruktúrához kapcsolják, ami Web3 protokollokat utánzott annak érdekében, hogy az áldozatokat megtévessze és tranzakciók jóváhagyására bírja” – áll a The Hacker News-szal megosztott jelentésükben.
A
z Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.
Ráadásul az Inferno Drainer ügyfelei választhatnak, hogy feltöltsék a malware-t a saját adathalász oldalaikra, vagy használják a fejlesztő szolgáltatását az adathalász weboldalak létrehozására és tárolására, néhány esetben ingyen, vagy a lopott eszközök 30%-ának díjazásával.
A Group-IB szerint a tevékenység több mint 100 kriptopénz márkát utánzott, különlegesen kialakított oldalakon, amelyeket több mint 16 000 egyedi domainen tároltak. Az ilyen domainek közül 500 elemzése során kiderült, hogy a JavaScript-alapú drainer kezdetben egy GitHub tárházban volt tárolva (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakra illesztették volna. A „kuzdaz” felhasználó jelenleg nem létezik.
Hasonló módon, további 350 oldal tartalmazott egy „coinbase-wallet-sdk.js” nevű JavaScript fájlt, egy másik GitHub tárházban, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat olyan helyeken terjesztették, mint a Discord és az X (korábban Twitter), ahol potenciális áldozatokat csábítottak rá, hogy kattintsanak rájuk, azzal a csellel, hogy ingyenes tokeneket (úgynevezett airdropokat) kínáltak, és arra bírták őket, hogy csatlakoztassák a tárcáikat, amikor a tranzakciók jóváhagyása után az eszközeiket elcsatornázták.
A seaport.js, coinbase.js és wallet-connect.js nevű fájlok használatával a cél az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase álruhájába bújjanak, hogy végrehajtsák az engedély nélküli tranzakciókat. Az első ilyen scriptet tartalmazó weboldal 2023. május 15-én jelent meg.
„Az Inferno Drainerhez tartozó adathalász oldalak egy másik jellemzője az volt, hogy a felhasználók nem nyithatták meg a weboldal forráskódját a gyorsbillentyűk vagy az egér jobb gombjának használatával” – mondta Viacheslav Shevchenko, a Group-IB elemzője. „Ez azt jelenti, hogy a bűnözők megpróbálták elrejteni a scriptjeiket és illegális tevékenységüket az áldozataik elől.”
Megjegyzendő, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy adathalász oldalhoz, amely egy CLINKSINK nevű kriptopénz-drainert tárol.
„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023 folyamán kiemeli a kriptopénz tulajdonosok számára jelentkező súlyos kockázatokat, mivel a drainerek tovább fejlődnek” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.
Forrás: https://thehackernews.com
jan 10, 2024 | Adatbiztonsági cikkek, hírek
Az albán szervezeteket célzó legutóbbi kibertámadásokban a „No-Justice” nevű törlőprogramot alkalmazták.
A ClearSky kiberbiztonsági vállalat szerint ez a Windows-alapú kártevő úgy okoz összeomlást az operációs rendszerben, hogy annak újraindítása lehetetlenné válik.
Ezeket a betöréseket egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, mely 2022 júliusa óta aktív, kifejezetten pusztító támadásokat hajt végre Albánia ellen.
2023. decem
ber 24-én az ellenfél egy szünet után újra megjelent, kijelentve, hogy „visszatérnek a terroristák támogatóinak megsemmisítésére”, legutóbbi hadjáratukat #DestroyDurresMilitaryCamp-ként aposztrofálva. Az albán Durrës város jelenleg az Iráni Népi Mudzsahedin Szervezetnek, azaz a MEK-nek ad otthont.
A támadás célpontjai közé tartozik az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament.
A kampány során két fő eszközt vetettek be: egy futtatható törlőprogramot és egy PowerShell szkriptet, amelynek célja, hogy az előbb említett programot terjessze tovább a célpont hálózatának többi gépére, a Windows Távoli Kezelést, azaz a WinRM-et engedélyezve. A No-Justice törlőprogram, a NACL.exe egy 220,34 KB-os bináris állomány, mely rendszergazdai jogosultságot igényel a számítógépen lévő adatok törléséhez.
Ezt úgy érik el, hogy eltávolítják a boot aláírást a Mesterindító Rekordból, az MBR-ből, ami az első szektort jelenti minden merevlemezen, amely azonosítja, hol helyezkedik el az operációs rendszer a lemezen, így betölthető a számítógép RAM-jába.
A támadás során további, legitim eszközöket is használtak, mint például a Plinket, más néven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletet a felderítés, az oldalirányú mozgás és a tartós távoli hozzáférés elősegítésére. Ez a fejlemény összefügg az iráni fenyegető szereplők, mint például a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team egyre növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Keleten folytatódó geopolitikai feszültségek közepette.
„Olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan úgy tűnik, hogy visszavágó narratívát alkalmaznak kibertámadásaikban,” tájékoztatott a Check Point a múlt hónapban.
„Az Egyesült Államokban tevékenykedő entitásokat célzó támadásokkal, izraeli technológiát kihasználva, ezek a hacktivista csoportok egy kettős visszavágási stratégiát próbálnak megvalósítani – állítólag egyszerre Izraelt és az Egyesült Államokat megcélzó, összehangolt kibertámadással.”
A Cyber Toufan különösen több mint 100 szervezetet célzó hackelési és adatszivárogtatási műveletekhez kapcsolódik, fertőzött gazdagépeket törölve és az ellopott adatokat a Telegram csatornájukon közzétéve.
„Annyi kárt okoztak, hogy a szervezetek majdnem egyharmada – valójában – nem tudott helyreállni,” mondta Kevin Beaumont biztonsági kutató. „Néhányuk még több mint egy hónappal később is teljesen offline, és az eltörölt áldozatok magánvállalatok és izraeli állami kormányzati entitások keverékét jelentik.”
A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal kapcsolatban álló hackercsoportot követ nyomon, amelyek rosszindulatúan működnek az izraeli kibertérben az izraeli-hamási háború kezdete óta 2023 októberében.
Az ügynökség továbbá megjegyezte, hogy az alkalmazott technikák és taktikák hasonlóságot mutatnak azokkal, amelyeket az Ukrajna-Oroszország háborúban használtak, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítésére.
Forrás: https://thehackernews.com
jan 5, 2024 | Adatbiztonsági cikkek, hírek
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.
Az eseményt először a Reuters jelentette.
Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.
A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.
Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.
Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.
Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.
„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.
A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.
Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.
Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.
Forrás: https://thehackernews.com
jan 4, 2024 | Adatbiztonsági cikkek, hírek
A cyberbűnözők elfoglalják az X közösségi média szolgáltatás ellenőrzött „Gold” fiókjait, melyek korábban a Twitter nevet viselték, és eladják azokat a Dark Weben akár 2 000 dollárért is.
Ezt a CloudSEK kutatása támasztja alá, amely felfedezett egyfajta „Aranylázat” ezeknek a fiókoknak az előbukkanását az underground piacokon.
Az X-en a Gold jelvény azt jelenti, hogy a szolgáltatás függetlenül igazolta, hogy a fiók ténylegesen egy magas profilú szervezethez vagy hírességhez tartozik. Ezt egy éve vezették be fizetős opcióként, miután az X a kék pipát – korábban az igazságosság jelölése – egy olyan jelvényre cserélte, amelyet bárki felvehetett a profiljára, érvényesítés nélkül.
A cyberbűnözők most brute-force támadásokat hajtanak végre jelszavakon, és malware segítségével lopják el az azonosítókat a meglévő Gold fiókokhoz való hozzáférés érdekében – állapították meg a CloudSEK kutatói. Gyakran át is veszik azokat a nem-Gold fiókokat, amelyek hónapok óta nem voltak használatban, és felminősítik azokat ellenőrzött státuszba. Összességében százakat kínálnak fel ezekből a fiókokból underground fórumokon.
Azok, akik hajlandók fizetni, ezeket a fiókokat arra használhatják, hogy phishing linkeket helyezzenek el, elindítsanak dezinformációs kampányokat és pénzügyi csalásokat, vagy márkaimázsra gyakoroljanak negatív hatást káros tartalmak közzététele révén.
„A Dark Web piacokat elárasztották azok a hirdetések, melyek Twitter Gold fiókokat kínálnak,” – áll a cég ezen a héten közzétett kutatásában. „Az árak 35 dollártól kezdődnek egy alap fiókért, és akár 2 000 dollárig is terjednek azokért, amelyeknek nagy a követőtáboruk.”
A kutatók a veszélyt az szervezetekre nézve egy szeptemberi példával szemléltették: Kiber-támadók képesek voltak átvenni egy X fiókot, amely Vitalik Buterin, az Ethereum társalapítójáé volt. Ezután tweeteltek egy állítólag ingyenes nonfungibilis tokenek (NFT-k) kínálatával, egy beágyazott rosszindulatú linkkel, amely átirányította a felhasználókat egy hamis weboldalra, hogy kiürítse a kriptovalutákat a pénztárcájukból.
„A hackerek a hamis bejegyzés eltávolítása előtt körülbelül 20 percig aktívak voltak, és hihetetlen 691 000 dollárt szippantottak el digitális eszközeikből” – áll az elemzésben.
Hogyan védekezhetünk az X fiókok átvétele ellen?
A bűnözők számára az ilyen nagy fiókokba való beszivárgás értéke legalább 2020 óta ismert, amikor a hackerek képesek voltak feltörni az akkori Twitter belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében.
Az szervezetek védelmében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és erős jelszópolitikákat alkalmazni a fiókok átvételének megelőzése érdekében – ajánlotta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását.
dec 20, 2023 | Adatbiztonsági cikkek, hírek
A HAECHI-IV nevű hat hónapos nemzetközi rendőrségi művelet eredményeként közel 3 500 személyt tartóztattak le, és 300 millió dollár értékű vagyont foglaltak le 34 országban.
A 2023. júliustól decemberig tartó gyakorlat különböző pénzügyi bűncselekmények ellen irányult, mint például a hangos csalás, románcos átverések, online szextorzió, befektetési csalások, a törvénytelen online szerencsejátékhoz kapcsolódó pénzmosás, vállalati e-mail átverés és az e-kereskedelemi csalások.
Ezen kívül a hatóságok lefagyasztották az érintett banki és virtuális eszközszolgáltató (VASP) számlákat annak érdekében, hogy megakadályozzák a bűnügyi eredményekhez való hozzáférést. Összesen 82 112 gyanús banki számlát blokkoltak, 199 millió dollárt készpénzben és 101 millió dollárt virtuális eszközökben elkoboztak.
„A Fülöp-szigeteki és a koreai hatóságok közötti együttműködés eredményeként egy magas rangú online szerencsejáték-bűnözőt tartóztattak le Manilában, miután a Koreai Nemzeti Rendőrügynökség két éves hajszája után sikerrel járt” – közölte az Interpol, egy nemzetközi rendőrségi szervezet.
A befektetési csalások, vállalati e-mail átverések és e-kereskedelmi csalások az esetek 75%-át tették ki, az ügynökség hozzátéve, hogy Dél-Koreában észlelt egy új csalást, amely nem fungibilis tokenek (NFT-k) eladásával járt, óriási hozamokat ígérve, csak az üzemeltetőknek, hogy váratlanul megszűntessék a projektet.
Egy másik új trend az volt, hogy mesterséges intelligencia (MI) és deepfake technológiát alkalmaztak a csalások hitelességének növelésére, lehetővé téve a bűnözőknek, hogy az áldozatok által ismert személyeket színleljenek meg, és álarcos csalások, online szexuális zsarolás és befektetési csalások által átverjenek, zaklassanak és zsaroljanak áldozatokat.
A HAECHI-IV több mint egy évvel a HAECHI-III után jött, amely 130 millió dollár értékű virtuális eszköz elkobzásához vezetett egy globális fellépés részeként a kibereszközökkel támogatott pénzügyi bűncselekmények és pénzmosás ellen.
„Az 300 millió dollár elkobzása egy hihetetlen összeg, és egyértelműen mutatja a mai transznacionális szervezett bűn robbanásszerű növekedése mögötti ösztönzőt” – mondta az Interpol Stephen Kavanagh. „Ez az illegális vagyon hatalmas felhalmozása komoly fenyegetést jelent a globális biztonságra, és gyengíti a világszerte lévő nemzetek gazdasági stabilitását.”
Forrás: www.thehackernews.com
