Adatbiztonsági cikkek, hírek
febr 1, 2024 | Adatbiztonsági cikkek, hírek
A Cluster25, egy fenyegetéseket elemző cég nemrég felfedte a „Medve és a Shell” nevű spear-phishing kampányt. Ez a kampány elsősorban az orosz kormányt bíráló szervezetekre és az ellenzéki mozgalmakhoz köthető csoportokra irányul. A támadás során a társadalmi mérnökség módszereit alkalmazva látszólag hitelesnek tűnő csalétekkel csapják be az áldozatokat.
Példaként említhető egy NASA-témájú e-mail, amely állítólag egy állásajánlatot rejtő ZIP fájlt tartalmaz. Ennek a fájlnak a megnyitásakor egy több platformon működő reverse shell, az HTTP-Shell aktiválódik, amely lehetővé teszi a támadók számára, hogy távolról hozzáférjenek az áldozat rendszeréhez.
Ez a shell, habár nyílt forráskódú, rosszindulatú célokra is felhasználható, így lehetővé téve a fájlok átvitelét, a könyvtárak böngészését és a kapcsolódást egy parancs- és vezérlő (C&C) szerverhez. Ebben az esetben a C&C szerver egy PDF-szerkesztő oldalnak álcázta magát, hogy elkerülje a felderítést.
Túl a NASA-n: Egy szélesebb csalási háló
A Cluster25 nyomozása többet tárt fel, mint csak egyetlen támadást. További hasonló kampányokat is felfedeztek. Ezek a kampányok ugyanazt a módszertant követték, hasonló parancsikonokat használtak, és néhány csalétek témája is megegyezett. Ezek az adatok egy összehangolt támadási kísérletre utalnak, amely különböző egyének és szervezetek ellen irányul.
A kampány a NASA-témájú csaléteken túl terjeszkedett, különféle témákat felölelve a különböző célpontok megtévesztésére. Egyik taktika az USAID-témájú támadás volt, amely az Egyesült Államok Nemzetközi Fejlesztési Ügynökségének jó hírnevét használta ki. Egy másik cél a hollandiai székhelyű nyomozó újságírói csoport, a Bellingcat volt, ami a kampány nemzetközi jellegét hangsúlyozza.
Független orosz médiumok, mint a The Bell és a Verstka, cikkeit használták csalétekként is, bemutatva a támadók törekvését, hogy behatoljanak azokba a közösségekbe, amelyek kritikusak az orosz kormánnyal szemben.
Attribúció: Nyomok, amelyek a Medvére mutatnak
Bár a pontos elkövetők azonosítása még mindig várat magára, a bizonyítékok egy orosz állami támogatású fenyegető szereplő irányába mutatnak.
A célpontok jellege, valamint a korábbi Sliver beacon aktivitásokhoz kapcsolódó infrastruktúra használata arra utal, hogy az orosz kormány nevében tevékenykedő szereplők állhatnak a háttérben.
Ez aggodalmakat kelt a célzott kibertámadásokkal kapcsolatban, amelyek célja az ellenzéki hangok elnyomása és a kritikus vélemények elhallgattatása.
Forrás: cybersecuritynews.com
jan 31, 2024 | Adatbiztonsági cikkek, hírek
Hackerek megbízható platformok átirányítási hibáit kihasználva hajtanak végre phishing támadásokat
A támadók megbízható platformokat használnak fel átirányítási célokra, ami azt jelenti, hogy legitim weboldalak segítségével irányítják a felhasználókat kártékony URL-címekre.
Az egyre fejlődő kiberfenyegetések világában a phishing kísérletek gyakorisága növekszik, az e-mail pedig az egyik legfőbb célpont. A szakértők jelentős növekedést tapasztaltak azokban a phishing kísérletekben, amelyek kihasználják a nyílt átirányítási sebezhetőségeket.
A fő cél az észlelési mechanizmusok elkerülése és a felhasználók bizalmának kiaknázása, kihasználva a megbízható platformok hírnevét és az ellen-phishing elemzési technikákat, mint például az összetett átirányítási láncok.
Mi az a nyílt URL-átirányítási sebezhetőség?
Egy webalkalmazás olyan felhasználó által irányított adatot kap, amely egy külső oldalra mutató linket tartalmaz, amit aztán átirányításra használnak fel. Ez megkönnyíti a phishing kísérleteket.
A Trustwave SpiderLabs csapata szerint ez a webalkalmazás-sebezhetőség akkor keletkezik, amikor a felhasználók ellenőrizetlen adatok használatával irányíthatók át nem megbízható weboldalakra, ami támadók által üzemeltetett weboldalakra, például phishing oldalakra vezethet.
„A támadók egyre gyakrabban vizsgálják és tesztelik a nyílt átirányításra sebezhető linkeket a megbízható platformokon. Az URL-paramétereket manipulálják, hogy a felhasználókat rosszindulatú oldalakra irányítsák, és ezen linkeket phishing e-mailekbe ágyazzák be. Ez lehetővé teszi számukra a phishing támadások indítását és a felhasználói hitelesítő adatok ellopását”, osztotta meg a SpiderLabs csapat a Cyber Security News-szal.
Email phishing kísérletek
Egy esetben a támadók az IntelliClick tulajdonában lévő alap URL-t használják fel: „hxxps[://]www[.]intelliclicktracking[.]net/”. Az IntelliClick egy megbízható e-mail és weboldal marketing szolgáltató, amelynek domainjét a fenyegető szereplők nyílt átirányításokkal indított phishing támadásokhoz használják fel, noha ez egy legális szolgáltatás.
Van egy URL-paraméter, ami egy rosszindulatú IPFS oldalra mutat, egy e-mail cím részletével. Az InterPlanetary File System, vagy IPFS, egy elosztott, peer-to-peer fájlmegosztó rendszer, amit egyre gyakrabban használnak phishing támadásokhoz.
Az átirányítási lánc bemutatja, hogyan vezet az IPFS URL-re, amely egy hamis bejelentkezési űrlapot tartalmaz, amely a Webmailt utánozza.
A nyílt átirányítási stratégiákat használó phishing kampányok egyre gyakoribbak, az olyan képalapú támadások növekedése miatt, amelyek a Microsoftot és az e-aláírás szolgáltatásokat, mint az Adobe Sign és a DocuSign utánozzák.
A fenyegető szereplők kihasználják a Google szolgáltatásokkal kapcsolatos széles körű bizalmat, a Google domainek rosszindulatú felhasználásával és azok beépítésével a phishing erőfeszítésekbe, hogy elkerüljék az észlelést.
Ez hangsúlyozza a folyamatos éberség szükségességét a kiberfenyegetésekkel szemben, mivel azok továbbra is fejlődnek és új kihívásokat jelentenek.
Forrás: www.cybersecuritynews.com
jan 30, 2024 | Adatbiztonsági cikkek, hírek
A brazil rendvédelmi hatóságok sikeresen letartóztattak több, a Grandoreiro malware mögött álló brazil operatívot.
A Brazil Szövetségi Rendőrség közölte, hogy öt ideiglenes letartóztatási parancsot és tizenhárom házkutatási és lefoglalási parancsot hajtottak végre São Paulo, Santa Catarina, Pará, Goiás és Mato Grosso államokban.
A szlovák kiberbiztonsági cég, az ESET, amely további segítséget nyújtott az akcióban, azt állítja, hogy felfedezett egy tervezési hibát a Grandoreiro hálózati protokolljában, ami segített azonosítani a támadások mintázatait.
A Grandoreiro egyike azon latin-amerikai banki trójai vírusoknak, mint a Javali, Melcoz, Casabeniero, Mekotio és Vadokrist, amelyek elsősorban Spanyolországot, Mexikót, Brazíliát és Argentínát célozzák meg. 2017 óta aktívnak ismert. 2023 októberében a Proofpoint részleteket közölt egy olyan phishing kampányról, amely frissített változatát terjesztette a malware-nek Mexikóban és Spanyolországban.
Ez a banki trójai vírus képes adatokat lopni billentyűzetfigyelők és képernyőmentések segítségével, valamint bankszámla bejelentkezési információkat ellopni, amikor egy fertőzött áldozat a fenyegetők által meghatározott banki webhelyekre látogat. Hamis felugró ablakokat is megjeleníthet, és blokkolhatja az áldozat képernyőjét.
A támadási láncok tipikusan phishing csalikat használnak, amelyek ál-dokumentumokat vagy rosszindulatú URL-eket tartalmaznak, amelyek megnyitásakor vagy kattintásakor a malware telepítéséhez vezetnek, ami ezután kapcsolatot létesít egy parancs- és vezérlő (C&C) szerverrel, hogy távolról manuálisan irányítsa a gépet.
„A Grandoreiro rendszeresen figyeli az előtérben lévő ablakot, hogy megtaláljon egyet, amely egy webböngésző folyamathoz tartozik,” mondta az ESET. „Amikor egy ilyen ablakot talál, és annak neve egyezik bármelyik, a bankkal kapcsolatos szavakból álló, előre meghatározott listán szereplő szóval, akkor és csak akkor kezdi meg a kommunikációt a C&C szerverrel, legalább másodpercenként küldve kéréseket, amíg azok be nem fejeződnek.”
A malware mögött álló fenyegetők egy domain generáló algoritmust (DGA) is alkalmaznak 2020 októbere óta a C&C forgalom cél-domainjének dinamikus azonosítására, ami megnehezíti a hálózat blokkolását, nyomon követését vagy átvételét.
A C&C IP-címek túlnyomó többségét elsősorban az Amazon Web Services (AWS) és a Microsoft Azure szolgáltatja, az IP-címek élettartama 1 naptól 425 napig terjed. Átlagosan naponta 13 aktív és három új C&C IP-cím található.
Az ESET azt is elmondta, hogy a Grandoreiro hibás RealThinClient (RTC) hálózati protokoll implementációja a C&C-n lehetővé tette az információgyűjtést a C&C szerverhez csatlakozó áldozatok számáról, ami átlagosan naponta 551 egyedi áldozatot jelent, főként Brazíliából, Mexikóból és Spanyolországból.
További vizsgálatok szerint naponta átlagosan 114 új egyedi áldozat csatlakozik a C&C szerverekhez.
„A Brazil Szövetségi Rendőrség vezette felszámoló művelet azokra az egyénekre irányult, akiket a Grandoreiro művelet hierarchiájának magas rangú tagjainak tartanak,” tette hozzá az ESET.
Forrás: www.thehackernews.com
jan 29, 2024 | Adatbiztonsági cikkek, hírek
Az innováció létfontosságú a technológia minden területén, de a mesterséges intelligencia (AI) esetében ez még inkább igaz. Az AI világ gyorsan fejlődik, és számos ország – különösen Kína és Európa – verseng az USA-val az ezen a területen való vezetésért. A verseny győztesei hatalmas előnyöket látnak majd a gyártás, oktatás, orvostudomány és sok más területen, míg a lemaradottak függő helyzetbe kerülnek a vezető nemzetektől, amelyektől a technológiai fejlődésükhöz szükséges eszközöket kell kérniük.
Azonban a Fehér Ház által kiadott új szabályok gátolhatják az innovációt, beleértve a kis- és középvállalkozások által hozott újításokat is. Október 30-án a Fehér Ház egy „Végrehajtói Rendelkezést a Mesterséges Intelligencia Biztonságos, Biztonságos és Megbízható Fejlesztéséről és Használatáról” adott ki, amely számos AI-vel kapcsolatos kérdésre kíván politikát kialakítani. Sokan érvelhetnek amellett, hogy valóban szükség van szabályokra az AI biztonságos és biztonságos használatának biztosítására, de az EO, amely a kormányzati ügynökségeket hívja fel az AI politikájával kapcsolatos ajánlások megtételére, valószínűsíti, hogy az AI cégek közül csak a piacvezetők – mint a Microsoft, az IBM, az Amazon, az Alphabet (Google) és néhány másik – fognak beleszólni ezekbe az ajánlásokba. Az AI egy olyan hatalmas technológia, amely rendkívül fontos a jövő szempontjából, így természetes, hogy a kormányok be akarnak szállni – és az USA éppen ezt tette. De az elnök által javasolt út valószínűleg gátolni fogja, sőt, akár meg is állíthatja az AI innovációját.
Fontos célok rossz megközelítéssel
A 110 oldalas, terjedelmes dokumentum, az EO többek között azt kívánja biztosítani, hogy az AI „biztonságos és biztonságos” legyen, „felelős innovációt, versenyt és együttműködést ösztönözzön”, „támogassa az amerikai munkavállalókat”, „védje az amerikaiak magánéletét és polgári szabadságjogait”, és legyen elkötelezve „az egyenlőség és a polgárjogok előmozdítására”. Az EO bizottságokat állít ki és helyzetjelentéseket ad ki a következő hónapokban, amelyek elősegítik az AI politikájának kialakítását – és ami lényeges, korlátozásokat szab arra, hogy mit fejleszthetnek vagy mit kellene fejleszteniük az AI kutatóknak és vállalatoknak.
Ezek kétségtelenül kívánatos célok, és válaszként születtek az AI közösségen belül és kívül megfogalmazott érvényes aggodalmakra. Senki sem akar olyan AI modelleket, amelyek hamis videókat és képeket generálhatnak, amelyeket a valóditól megkülönböztethetetlenek, mert hogyan hihetnél bármit is? A tömeges munkanélküliség, amelyet az új technológiák okozhatnak, nemkívánatos lenne a társadalom számára, és valószínűleg társadalmi zavargásokhoz vezetne – ami rossz lenne a gazdagok és a szegények számára egyaránt. És az a tény, hogy a javaslatokat tucatnyi bürokratának kell jóváhagynia, semmiképpen sem segít.
Ha a Fehér Ház úgy érzi, szükséges ezeket a szabályokat kivetni az AI iparra, akkor felelőssége biztosítani, hogy minden hangot – nemcsak az iparági vezetőkét – meghallgassanak. Ennek elmulasztása olyan politikákhoz vezethet, amelyek figyelmen kívül hagyják, vagy kifejezetten betiltják azokat a fontos területeket, ahol a kutatásoknak zajlania kellene – területeket, amelyeket versenytársaink nem fognak habozni felfedezni és kiaknázni. Ha előttük akarunk maradni, nem engedhetjük meg az innováció gátlását – és biztosítanunk kell, hogy a startupok hangjai, az innováció motorjai, szerepet kapjanak a politikai ajánlásokban.
Forrás: insidebigdata.com (a hivatkozott cikk már nem elérhető)
jan 22, 2024 | Adatbiztonsági cikkek, hírek
jan 18, 2024 | Adatbiztonsági cikkek, hírek
Sebezhető Docker szolgáltatásokat céloznak meg egy új kampányban, ahol a fenyegető szereplők XMRig kriptovaluta bányász szoftvert és a 9Hits Viewer alkalmazást telepítik, mint egy többágú pénzszerzési stratégia részét.
„Ez az első dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.
A 9Hits magát egy „egyedi webes forgalom-megoldásként” és „automatikus forgalomcserélőként” hirdeti, amely lehetővé teszi a szolgáltatás tagjainak, hogy forgalmat irányítsanak az oldalaikra kreditek vásárlásával. Ezt egy 9Hits Viewer nevű szoftverrel érik el, amely egy fej nélküli Chrome böngésző példányt futtat a többi tag által kért weboldalak meglátogatásához, amivel krediteket szereznek az oldalaikra irányuló forgalom generálásához.
A sebezhető Docker gazdagépekre terjedő kártékony szoftver pontos terjedési módja jelenleg nem világos, de feltételezik, hogy keresőmotorok, mint például a Shodan használatát foglalja magába potenciális célpontok keresésére. A szervereket ezután megtámadják, hogy két rosszindulatú konténert telepítsenek a Docker API-n keresztül, és lehívjanak kész képeket a Docker Hub könyvtárból a 9Hits és XMRig szoftverekhez.
„Ez egy gyakori támadási vektor a Docker célpontokra irányuló kampányokban, ahol az egyedi célra szánt kép helyett általános képet húznak le a Dockerhub-ról (ami majdnem mindig elérhető) és felhasználják a saját céljaikra,” mondta Nate Bill biztonsági kutató.
A 9Hits konténert aztán arra használják, hogy kódot hajtsanak végre a támadó számára kreditek generálásához, a 9Hits-szel való azonosítással a munkamenet-tokenjük használatával és a meglátogatandó oldalak listájának kinyerésével.
A fenyegető szereplők a rendszert úgy konfigurálták, hogy felnőtteknek szóló oldalakat vagy popupokat megjelenítő oldalakat látogassanak, de megakadályozzák a kriptovalutákkal kapcsolatos oldalak látogatását. A másik konténert XMRig bányász szoftver futtatására használják, amely egy privát bányászmedencéhez csatlakozik, ezáltal lehetetlenné téve a kampány méretének és jövedelmezőségének megállapítását.
„A kampány kompromittált gazdagépekre gyakorolt fő hatása az erőforrások kimerülése, mivel az XMRig bányász szoftver minden elérhető CPU erőforrást felhasznál, míg a 9hits nagy mennyiségű sávszélességet, memóriát és a maradék kis CPU-t használja fel,” mondta Bill.
„Ennek eredményeként a fertőzött szervereken futó legitim munkafolyamatok nem tudnak a várt módon teljesíteni. Ezen kívül a kampány frissíthető úgy, hogy távoli shellt hagyjon a rendszeren, ami potenciálisan komolyabb behatolást okozhat.”
Forrás: https://thehackernews.com
A Cluster25, egy fenyegetéseket elemző cég nemrég felfedte a „Medve és a Shell” nevű spear-phishing kampányt. Ez a kampány elsősorban az orosz kormányt bíráló szervezetekre és az ellenzéki mozgalmakhoz köthető csoportokra irányul. A támadás során a társadalmi mérnökség módszereit alkalmazva látszólag hitelesnek tűnő csalétekkel csapják be az áldozatokat.
Hackerek megbízható platformok átirányítási hibáit kihasználva hajtanak végre phishing támadásokat
A brazil rendvédelmi hatóságok sikeresen letartóztattak több, a Grandoreiro malware mögött álló brazil operatívot.
Az innováció létfontosságú a technológia minden területén, de a mesterséges intelligencia (AI) esetében ez még inkább igaz. Az AI világ gyorsan fejlődik, és számos ország – különösen Kína és Európa – verseng az USA-val az ezen a területen való vezetésért. A verseny győztesei hatalmas előnyöket látnak majd a gyártás, oktatás, orvostudomány és sok más területen, míg a lemaradottak függő helyzetbe kerülnek a vezető nemzetektől, amelyektől a technológiai fejlődésükhöz szükséges eszközöket kell kérniük.
ső dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.