+36304177429 info@datad.hu

Intenzív lépések a Scattered Spider hacker csoport ellen az FBI részéről

Az Egyesült Államok Szövetségi Nyomozóirodája, az FBI egyre intenzívebben lép fel a Scattered Spider hacker csoport ellen, amely az elmúlt évek során számos amerikai intézmény ellen hajtott végre sikeres támadásokat, mondta egy magas rangú tisztviselő.

Az elmúlt év során a Scattered Spider csoport neve világszerte ismertté vált, miután sikeresen behatoltak az MGM Resorts International (MGM.N) és a Caesars Entertainment (CZR.O) kaszinóüzemeltetők rendszereibe, ahol a rendszereket lezárták és nagy összegű váltságdíjat követeltek. Az egészségügyi, telekommunikációs és pénzügyi szektorokat érintő támadásaik számos kihívást jelentettek a törvényvégrehajtó hatóságok számára.

„Ott, ahol lehetséges, bűncselekmény miatt vádoljuk meg az érintetteket, különösen a Számítógépes Csalás és Visszaélés Törvénye alapján,” mondta Brett Leatherman, az FBI kiberbiztonsági helyettes igazgatója egy interjúban a Reutersnek.

A banda a nyugati hackerek és a kelet-európai kiberbűnözők ritkán látott együttműködését jelenti, tette hozzá Leatherman az RSA Konferencián San Franciscóban.

„Nem gyakori, hogy különböző földrajzi területekről érkező hackerek együtt dolgoznak a hacktivizmuson túl,” említette.

A biztonsági elemzők már 2022 óta figyelemmel kísérik a Scattered Spider tevékenységét, és megállapították, hogy ez a csoport jelentősen agresszívebb, mint a többi hasonló csoport. Különösen ügyesek az IT segítségnyújtó személyek azonosságának ellopásában, amellyel bejutnak a vállalati hálózatokba. A Caesars körülbelül 15 millió dollárt fizetett a rendszereik felszabadításáért.

Beszélgetéseikben a csoport néha fizikai erőszak alkalmazásával fenyegetőzött, ami növelte a kutatók aggodalmát.

Az év elején a banda tevékenysége csökkent, azonban jelenleg „erősen aktívak,” mondta Charles Carmakal, a Google Mandiant biztonsági részlegének technológiai igazgatója, aki több áldozattal is együttműködött.

A banda az elmúlt két év során több mint 100 szervezetet támadott meg, mindegyikbe sikerült valamilyen szintű behatolást végrehajtaniuk, és rendszeresen sikeresen végeztek phishing támadásokat.

A támadások gyakorisága és súlyossága miatt számos szakértő bírálta a letartóztatások hiányát, különösen, mivel a csoport tagjai főként nyugati országokban tevékenykednek.

Leatherman elmondta, hogy magánbiztonsági cégek támogatják az FBI-t a bizonyítékok összegyűjtésében.

„Ez a csoport kulcsfontosságú számunkra, hogy folyamatosan kutassuk azokat a módszereket, amelyekkel megzavarhatjuk tevékenységüket,” mondta.

„Egy bizonyos bizonyítási szintet kell elérnünk a jogi intézkedések végrehajtásához, és e felé haladunk,” fűzte hozzá.

Egy már ismert letartóztatás történt. Januárban az FBI vádat emelt a 19 éves floridai Noah Urban ellen, akit a Scattered Spider egyik tagjaként azonosítottak.

További letartóztatások várhatóak. Mivel a csoport tagjai közül néhány még kiskorú, az FBI állami és helyi törvények segítségével hajthatja végre a felelősségre vonást, mondta Leatherman.

„Ez a megközelítés történelmileg nagyon hatékony volt,” zárta le a beszélgetést Leatherman.

Forrás: www.reuters.com

A LockBit vezetőjének leleplezése és a potenciális büntetés kihirdetése

A LockBit csoport vezetőjére akár 185 év börtön is várhat.

Egy jelentős fejlemény történt a LockBit ransomware csoport elleni nemzetközi nyomozásban, amikor az amerikai igazságügyi minisztérium (DOJ) vádat emelt egy 31 éves orosz állampolgár ellen, Dmitrij Jurjevics Horosev ellen, akit az iparágban „LockBitSupp” néven ismernek. Horosev az állítások szerint kulcsszerepet játszott a „világ egyik legkárosabb zsarolóvírus csoportjának” létrehozásában és működtetésében.

Az igazságügyi minisztérium szerint a LockBit támadások globálisan több mint 2500 áldozatot érintettek, és az elkövetők összesen legalább 500 millió dollár váltságdíjat szedtek be. Horosev ellen összesen 26 vádpontot emeltek, melyek között szerepel csalási összeesküvés és több rendbeli zsarolás védett számítógépek megrongálásával, amiért akár 185 évig terjedő börtönbüntetés is kiszabható.

A DOJ továbbá 10 millió dollár jutalmat hirdetett azoknak, akik értékes információkkal tudják segíteni Horosev letartóztatását. A LockBit, mint sok más ransomware csoport, egy ransomware-as-a-service üzleti modelt követ, ahol a fejlesztők a kártékony szoftvert bérbe adják partnereiknek, akik aztán különböző szervezetek ellen használják.

2023 februárjában egy nemzetközi művelet során sikerült átvenni a csoport weboldalának irányítását és feltárni az infrastruktúráját. A hatóságok 34 szervert foglaltak le és hozzáfértek dekódoló kulcsokhoz, ami jelentős csapást mért a csoport működésére. Ennek ellenére a LockBit hamarosan újra aktivizálódott, jelezve, hogy a küzdelem még korántsem ért véget.

Horosev állítólag a kicsalt váltságdíjak 20 százalékát kapta meg, és ő üzemeltette a csoport weboldalát is. A büntetőeljárás során öt másik LockBit tag ellen is emeltek vádat, közülük ketten jelenleg is őrizetben várják a tárgyalásukat.

Forrás: www.wired.com

A Web3 protokollokat utánzó Inferno Drainer csapat: adathalászati siker és jelentős kockázatok

Az Inferno Drainer nevű, immár megszűnt csalói csoport egy év alatt, 2022 és 2023 között több mint 16 000 egyedi kártékony domain nevet hozott létre. A szingapúri székhelyű Group-IB szerint a szervezet „magas minőségű adathalász oldalak segítségével csábította gyanútlan felhasználókat arra, hogy kriptopénz tárcájukat az elkövetők által létrehozott infrastruktúrához kapcsolják, ami Web3 protokollokat utánzott annak érdekében, hogy az áldozatokat megtévessze és tranzakciók jóváhagyására bírja” – áll a The Hacker News-szal megosztott jelentésükben.

Az Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.

Ráadásul az Inferno Drainer ügyfelei választhatnak, hogy feltöltsék a malware-t a saját adathalász oldalaikra, vagy használják a fejlesztő szolgáltatását az adathalász weboldalak létrehozására és tárolására, néhány esetben ingyen, vagy a lopott eszközök 30%-ának díjazásával.

A Group-IB szerint a tevékenység több mint 100 kriptopénz márkát utánzott, különlegesen kialakított oldalakon, amelyeket több mint 16 000 egyedi domainen tároltak. Az ilyen domainek közül 500 elemzése során kiderült, hogy a JavaScript-alapú drainer kezdetben egy GitHub tárházban volt tárolva (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakra illesztették volna. A „kuzdaz” felhasználó jelenleg nem létezik.

Hasonló módon, további 350 oldal tartalmazott egy „coinbase-wallet-sdk.js” nevű JavaScript fájlt, egy másik GitHub tárházban, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat olyan helyeken terjesztették, mint a Discord és az X (korábban Twitter), ahol potenciális áldozatokat csábítottak rá, hogy kattintsanak rájuk, azzal a csellel, hogy ingyenes tokeneket (úgynevezett airdropokat) kínáltak, és arra bírták őket, hogy csatlakoztassák a tárcáikat, amikor a tranzakciók jóváhagyása után az eszközeiket elcsatornázták.

A seaport.js, coinbase.js és wallet-connect.js nevű fájlok használatával a cél az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase álruhájába bújjanak, hogy végrehajtsák az engedély nélküli tranzakciókat. Az első ilyen scriptet tartalmazó weboldal 2023. május 15-én jelent meg.

„Az Inferno Drainerhez tartozó adathalász oldalak egy másik jellemzője az volt, hogy a felhasználók nem nyithatták meg a weboldal forráskódját a gyorsbillentyűk vagy az egér jobb gombjának használatával” – mondta Viacheslav Shevchenko, a Group-IB elemzője. „Ez azt jelenti, hogy a bűnözők megpróbálták elrejteni a scriptjeiket és illegális tevékenységüket az áldozataik elől.”

Megjegyzendő, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy adathalász oldalhoz, amely egy CLINKSINK nevű kriptopénz-drainert tárol.

„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023 folyamán kiemeli a kriptopénz tulajdonosok számára jelentkező súlyos kockázatokat, mivel a drainerek tovább fejlődnek” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.

Forrás: https://thehackernews.com

Fülöp-szigeteki Kormány Célkeresztben: A Mustang Panda Kibertámadásai

A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok

A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.

A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.

A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.

2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.

A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.

A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”

Az Új Kihívások a Digitális Biztonságban: Egy Magyar Ügynökség Tapasztalatai

Digitális csalások elleni harcban gyakran kiemelik a kétlépcsős azonosítás és bonyolult jelszavak fontosságát. Azonban ezek az intézkedések sem nyújtanak teljes körű védelmet az agyafúrt hackerekkel szemben, akik rafinált módszereket alkalmaznak. Egy apró figyelmetlenség is elegendő lehet a bajhoz, amit egy magyar marketingügynökség dolgozója is megtapasztalt. A kiberbiztonsággal foglalkozó G Data vállalattal szoros kapcsolatot ápoló személy esete komoly figyelmeztetést jelent. A probléma felmerülésekor az illető azonnal értesítette a G Data-t, aki részletesen elemezte és publikálta az eseményeket, rámutatva a Facebook biztonsági réseire is.

 

 

A csapda

A közösségi média, különösen a Facebook, fontos szerepet játszik a reklámszakmában. Marketingügynökségek gyakran használják ezeket a platformokat, vállalati bankkártyáikat összekapcsolva a hirdetésekkel. Így nem meglepő, hogy adathalászok gyakran célozzák meg ezeket a cégeket, ügyfeleknek álcázva magukat.

Egy nyári esetben a csalók egy magyar ügynökséget vettek célba, látszólag több létező ruhamárka nevében felkeresve őket. Egy kommunikációs kampányhoz kerestek partnert, információs anyagokat küldve részben emailben, részben az ügynökség online felületén keresztül. Gyanút keltő jel volt, hogy a céges domain nem szerepelt a levelekben. Például az „O My Bag” táskagyártó nevében küldött email nem a cég hivatalos email címéről, hanem egy Gmail-es fiókból érkezett, az anyagok pedig OneDrive-ra lettek feltöltve. A csalók hitelesnek tűnő levelet és jelszóval védett .zip fájlt küldtek, amely 11 ártalmatlan médiafájlt és egy kártékony .scr fájlt tartalmazott. Az ügynökség dolgozója megnyitotta a fájlt, aktiválva ezzel a malware-t.

A betörés

A kártevő első lépése a Windows rendszerben egy indítófájl létrehozása volt, hogy minden indításkor aktív legyen. Ez lehetővé tette a böngészőben tárolt session tokenek és a Facebook-fiókhoz való hozzáférést. Az adathalászok hamarosan hozzájutottak a munkatárs Facebook-fiókjának és hirdetéskezelési felületének adataihoz, így saját hirdetéseiket indítva el a magyar ügynökség fiókjából.

A megoldás

A G Data szakértői szerint a legfontosabb védekezés a gyanakvás és az alapos figyelem. A kétlépcsős azonosítás segíthet, de ha a gép már fertőzött, nem nyújt teljes védelmet. Javasolt a gyanús email-ek és fájlok azonnali törlése, valamint egy megbízható víruskereső használata.

A következmények

A magyar ügynökség esete nem egyedülálló, az internetes csalások világszerte növekvő tendenciát mutatnak. A legjobb védekezés a folyamatos tájékozódás és a kiberbiztonsági megoldások használata. Fontos, hogy minden internetező tudatában legyen a digitális világ veszélyeinek és mindig éber maradjon az új fenyegetésekkel szemben.

Forrás: www.telex.hu