szept 16, 2024 | Blog
Adatbiztonsági incidens Fortinet vállalatnál
A Fortinet, a kiberbiztonsági óriás, megerősítette, hogy adatbiztonsági incidens érte őket, miután egy fenyegető személy állította, hogy 440GB fájlt lopott el a cég Microsoft Sharepoint szerveréről.
Fortinet a világ egyik legnagyobb kiberbiztonsági vállalata, biztonságos hálózati termékeket, mint tűzfalak, routerek és VPN eszközök forgalmazása mellett, SIEM, hálózatmenedzsment és EDR/XDR megoldásokat, valamint tanácsadási szolgáltatásokat is kínál.
Korai reggel egy fenyegető személy egy hacker fórumon közzétette, hogy 440GB adatot lopott el a Fortinet Azure Sharepoint példányából. A fenyegető személy azt is állította, hogy megosztott hitelesítési adatokat egy állítólagos S3 tárolóhoz, ahol az ellopott adatok tárolva vannak, más fenyegető személyek számára elérhetővé téve azok letöltését.
A BleepingComputer nem fér hozzá a tárolóhelyhez, így nem erősítheti meg, hogy az tényleg tartalmazza-e a Fortinet ellopott fájljait.
A fenyegető személy, akit „Fortibitch” néven ismernek, állítja, hogy megpróbálta zsarolni a Fortinetet egy váltságdíj fizetésére, valószínűleg az adatok közzétételének megakadályozása érdekében, de a cég nem volt hajlandó fizetni.
A Fortinet válaszul megerősítette, hogy ügyféladatokat loptak el egy „harmadik fél által kezelt felhő alapú megosztott fájlmeghajtóról”.
„Egy személy jogosulatlanul hozzáférhetett korlátozott számú fájlhoz, amelyek a Fortinet egy harmadik fél által kezelt felhő alapú megosztott fájlmeghajtójának egy példányán voltak tárolva, ezek korlátozott adatokat tartalmaztak egy kis számú Fortinet ügyfélről,” – mondta a cég a BleepingComputer-nek.
Korábban ma a Fortinet nem tette közzé, hogy hány ügyfelet érintett az incidens, vagy milyen típusú adatok kerültek kompromittálásra, de jelezték, hogy „megfelelő módon közvetlenül kommunikáltak az ügyfelekkel”.
Egy későbbi frissítés, amelyet a Fortinet weboldalán osztottak meg, azt mondja, hogy az incidens kevesebb mint 0,3%-át érintette az ügyféladatoknak, és hogy ez nem eredményezett semmilyen rosszindulatú tevékenységet az ügyfelekkel szemben.
A kiberbiztonsági cég továbbá megerősítette, hogy az incidens nem járt adatok titkosításával, zsarolóvírussal vagy a Fortinet vállalati hálózatának hozzáférésével.
A BleepingComputer további kérdésekkel kereste meg a Fortinetet a biztonsági incidenssel kapcsolatban, de jelenleg még nem kapott választ.
2023 májusában egy fenyegető személy állította, hogy feltörte a Panopta GitHub tárházait, amelyet a Fortinet 2020-ban vásárolt meg, és kiszivárogtatott adatokat egy orosz nyelvű hacker fórumon.
Forrás:
aug 21, 2024 | Blog
Új macOS malware-t azonosítottak, mely észak-koreai hackercsoportokhoz köthető. A TodoSwift nevű új macOS malware felfedezéséről számoltak be kiberbiztonsági kutatók, amely számos hasonlóságot mutat más Észak-Koreából származó, ismert malware-ekkel.
„Az alkalmazás több olyan dolgot is mutat, amelyet korábban Észak-Koreából (KNDK) származó malware-eknél láttunk – különösen a BlueNoroff hacker csoporttól ismert KANDYKORN és RustBucket esetében” – mondta Christopher Lopez, a Kandji biztonsági kutatója.
A RustBucket, amely először 2023 júliusában tűnt fel, egy AppleScript-alapú hátsó ajtót jelöl, amely képes parancs- és vezérlő (C2) szerverről további terheléseket beolvasni. Az előző év végén az Elastic Security Labs szintén felfedezett egy másik macOS malware-t, a KANDYKORN-t, amelyet egy nevesítetlen kriptovaluta-tőzsde blockchain mérnökeit célzó kibertámadás során vetettek be.
A KANDYKORN egy kifinomult, több lépésből álló támadási mechanizmus révén kerül telepítésre, amely lehetővé teszi az adatok elérését és kiszivárogtatását az áldozat számítógépéről. Emellett képes bármilyen folyamat leállítására és parancsok végrehajtására a célgépen. Ez a támadási módszer jól mutatja a KANDYKORN fejlettségét, és az általa jelentett komoly kiberbiztonsági fenyegetést.
A két malware-családot összekötő közös jellemző a linkpc[.]net domainek használata a C2 céljaira. Mind a RustBucket, mind a KANDYKORN a Lazarus csoport (és annak egyik al-csoportja, a BlueNoroff) munkájának tekinthető.
„A KNDK, mint a Lazarus csoporton keresztül, folyamatosan kriptoipari cégeket céloz meg azzal a szándékkal, hogy kriptovalutát lopjanak, ezzel is kijátszva a gazdasági növekedésüket és ambícióikat gátló nemzetközi szankciókat” – állapította meg az Elastic abban az időben.
„Ebben a behatolásban a blockchain mérnököket célzó, nyilvános csevegőszerveren keresztül csalták csapdába, kifejezetten a képességeikre és érdeklődési körükre szabott csalétekkel, anyagi nyereség ígéretével.”
A legfrissebb eredmények szerint a TodoSwift a TodoTasks nevű formában terjed, amely egy cseppentő komponenst tartalmaz. Ez a modul egy SwiftUI-ben írt GUI alkalmazás, amely egy fegyverzett PDF dokumentumot jelenít meg az áldozatnak, miközben titokban letölti és végrehajtja a második szakasz binárisát, egy olyan technikát, amelyet a RustBucket is alkalmaz.
A „csali” PDF egy ártalmatlan, Bitcoin-nal kapcsolatos dokumentum, amely a Google Drive-on található, míg a rosszindulatú terhelés egy színész által irányított domainről („buy2x[.]com”) származik. A bináris pontos részleteinek további vizsgálata folyamatban van.
„A Google Drive URL használata és a C2 URL átadása indítási argumentumként a második szakasz binárisához összhangban van az előző, macOS rendszereket érintő KNDK malware-ekkel” – mondta Lopez.
Forrás: www.thehackernews.com
febr 12, 2024 | Blog
Ahogy a digitális világ rohamos fejlődésen megy keresztül, úgy válnak a kiberbűnözők módszerei is egyre rafináltabbá, különösen a zsarolóvírusok felhasználásával, amelyekkel váltságdíj fejében szereznek hozzáférést az áldozataik adatához. Az utóbbi évek trendjei egyértelműen jelzik, hogy ezek a támadók nem csak megőrzik, hanem fokozzák is műveleteik agresszivitását, ami komoly kihívást jelent a kiberbiztonsági védekezési taktikáknak.
Az elmúlt időszakban gyűjtött adatok konzisztensen azt mutatják, hogy a zsarolóvírus támadások gyakorisága és ezáltal generált illegális bevételük meredeken emelkedett. Ez aggodalomra ad okot, mivel a kiberbiztonsági közösség által bevezetett ellenintézkedések kezdetben úgy tűnt, hogy lassítják ezt a növekedést. Viszont a Chainanalysis legújabb elemzése szerint a 2022-es évben a támadások intenzitása újra növekedésnek indult, és a zsarolóvírusok által erőltetett váltságdíjak összege is jelentősen megugrott, az előző évi 567 millió dollárról 1,1 milliárd dollárra emelkedve, ezzel új mérföldkövet állítva fel.
A zsarolóvírusokat alkalmazó bűnözők nem különböztetnek meg a potenciális célpontokat, így nagyvállalatok, egészségügyi intézmények és oktatási intézmények egyaránt az áldozatok között lehetnek. A Recorded Future és más elemző cégek jelentései alapján az új zsarolóvírus variánsok száma és ezek alkalmazásának gyakorisága folyamatosan nő, ami arra utal, hogy a jelenleg alkalmazott kiberbiztonsági védekezési módszerek nem nyújtanak kielégítő védelmet.
A 2022-es ideiglenes visszaesés után, különösen az orosz és ukrán csoportok esetében, a zsarolóvírus műveletek ismét intenzívebbé váltak. A geopolitikai helyzetek átmeneti változásai nem akadályozták meg, hogy a kiberbűnözők fokozzák támadásaikat mind szám, mind erősség tekintetében.
Ez az elemzés kiemeli, hogy bár vannak előrelépések a zsarolóvírusok elleni küzdelemben, a kiberbiztonsági szakértők továbbra is jelentős kihívásokkal néznek szembe. A dinamikusan változó kiberfenyegetések elleni védekezéshez szükség van átfogó és folyamatosan fejlődő védelmi stratégiákra, amelyek képesek alkalmazkodni az új kihívásokhoz.
Forrás:
nov 22, 2023 | Blog
A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok
A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.
A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.
A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.
2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.
A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.
A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.
Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.
„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”
