Noutățile săptămânii din cybersecurity (15.04.2022)
Programul malware Qbot trece la noul vector de infecție Windows Installer
Rețeaua botnet Qbot distribuie malware prin e-mailuri de phishing cu atașamente de arhivă ZIP protejate prin parolă, ce conțin pachete malițioase MSI Windows Installer. Este pentru prima dată când operatorii Qbot folosesc această tactică, trecând de la modul lor standard de a furniza malware prin e-mailuri de phishing, aruncând documente Microsoft Office cu macrocomenzi rău intenționate pe dispozitivele țintelor. Cercetătorii în domeniul securității bănuiesc că acțiunea ar putea fi o reacție directă la anunțarea de către Microsoft a planurilor de a elimina livrarea de programe malware prin macrocomenzile VBA Office în februarie, după dezactivarea implicită a macrocomenzilor Excel 4.0 (XLM) în ianuarie.
CISA avertizează organizațiile cu privire la bug-ul WatchGuard exploatat de hackerii de stat rusi
Agenția de securitate cibernetică și a infrastructurii (CISA) a ordonat agențiilor civile federale și a îndemnat toate organizațiile din SUA să corecteze o eroare exploatată în mod activ ce afectează dispozitivele de firewall WatchGuard Firebox și XTM. Autoritatea explică că dispozitivele nominalizate permit unui atacator de la distanță, cu acreditări neprivilegiate, să acceseze sistemul cu o sesiune de management privilegiată prin acces de management expus.
Sandworm, este un grup de hacking sponsorizat de Rusia, despre care se crede că face parte din agenția rusă de informații militare GRU și care a exploatat și acest defect de escaladare a privilegiilor de mare severitate (CVE-2022-23176) pentru a construi o nouă rețea botnet numită Cyclops Blink din biroul mic WatchGuard compromis.
Banda de ransomware LockBit a filat luni de zile într-o rețea guvernamentală din SUA
O agenție guvernamentală regională din SUA a fost compromisă cu ransomware-ul LockBit, iar actorul amenințării s-a aflat în rețeaua sa timp de cel puțin cinci luni, fiind descoperit de cercetătorii de securitate înainte ca sarcina utilă să fie implementată. Atacatorii au încercat să-și îndepărteze urmele ștergând jurnalele de evenimente. Părți din fișiere au rămas, totuși, permise analiștilor de amenințări pentru a identifica actorii malițioși și tacticile lor.
Microsoft: Noul malware folosește bug-ul Windows pentru a ascunde sarcinile programate
Microsoft a descoperit un nou malware folosit de grupul de hacking Hafnium, susținut de chinezi, pentru a menține persistența pe sistemele Windows compromise prin crearea și ascunderea sarcinilor programate. Grupul de amenințări Hafnium a vizat anterior companii de apărare, grupuri de reflecție și cercetători din SUA în atacuri de spionaj cibernetic. Este, de asemenea, unul dintre grupurile sponsorizate de stat legate de Microsoft la exploatarea la scară globală, de anul trecut, a defectelor ProxyLogon zero-day, care afectează toate versiunile Microsoft Exchange acceptate.
Atacurile DDoS în scădere în anul curent
Potrivit statisticilor recente de la Cloudflare, așa-numitele atacuri RDDoS (răscumpărare distribuită de denial-of-service) au înregistrat o scădere în primul trimestru al anului curent.
Microsoft: Windows Server acceptă acum actualizări automate .NET
Microsoft informează că, administratorii Windows pot opta acum pentru actualizările automate pentru .NET Framework și .NET Core prin Microsoft Update (MU) pe sistemele Windows Server. Noua opțiune a fost lansată la început de aprilie și, odată ce vă înscrieți, va adăuga .NET Core 3.1, .NET 5.0 și .NET 6.0 la canalul Actualizări automate ca a treia opțiune pe lângă Windows Server Update Services (WSUS) și Microsoft Update CCatalog. Actualizările pentru .NET modern (.NET Core) vor avea loc lunar și vor fi disponibile pentru sistemele de operare pentru server prin Microsoft Update (MU) pe bază de opt-in.
Microsoft perturbă programul malware Zloader ce funcționa în întreaga lume
O operațiune globală de luni de zile condusă de Digital Crimes Unit (DCU) a Microsoft a desființat zeci de domenii utilizate ca servere de comandă și control (C2) de celebrul botnet ZLoader. Ordonanța judecătorească obținută de Microsoft i-a permis să elimine 65 de domenii hardcoded utilizate de banda criminală ZLoader, pentru a controla botnet-ul, și alte 319 domenii înregistrate, folosind algoritmul de generare a domeniilor folosit, pentru a crea canale de comunicare de rezervă și de rezervă.
SUA avertizează că hackerii guvernamentali atacă sistemele de control din sectorul industrial
Un aviz comun de securitate cibernetică emis de CISA, NSA, FBI și Departamentul de Energie (DOE) avertizează că, grupurile de hacking susținute de guvern pot deturna mai multe dispozitive industriale, folosind un nou set de instrumente malware centrat pe ICS. Agențiile federale au spus că actorii amenințărilor ar putea folosi programe malware modulare personalizate pentru a scana, compromite și prelua controlul asupra sistemelor de control industrial (ICS) și a dispozitivelor de control și achiziție de date (SCADA).
Noua rețea botnet Fodcha DDoS atacă peste 100 de victime în fiecare zi
O rețea botnet în creștere rapidă captează routere, DVR și servere de pe internet pentru a viza peste 100 de victime în fiecare zi în atacuri distribuite de refuz de serviciu (DDoS).Acest malware recent descoperit, denumit Fodcha de cercetătorii de la Laboratorul de cercetare pentru securitatea rețelei Qihoo 360 (360 Netlab), s-a răspândit în peste 62.000 de dispozitive, în doar câteva săptămâni.
CISA avertizează organizațiile să corecteze bug-ul Windows LPE exploatat în mod activ
Agenția de securitate cibernetică și a infrastructurii (CISA) a adăugat zece noi erori de securitate la lista sa de vulnerabilități exploatate activ, inclusiv o eroare de escaladare a privilegiilor locale de mare severitate în driverul Windows Common Log File System. Această defecțiune de securitate de înaltă severitate (urmărită ca CVE-2022-24521) a fost raportată de CrowdStrike și de Agenția de Securitate Națională a SUA (NSA) și a fost remediată de Microsoft în patch-ul de marți din această lună.
Hackerii atacă guvernul ucrainean cu malware IcedID, ce exploatează Zimbra
Hackerii atacă agențiile guvernamentale ucrainene cu noi atacuri ce utilizează exploatările Zimbra și atacuri de tip phishing, care împinge malware-ul IcedID. Computer Emergency Response Team of Ukraine (CERT-UA) a detectat noile campanii și a atribuit atacul de phishing IcedID clusterului de amenințări UAC-0041, conectat anterior cu distribuția AgentTesla, iar al doilea UAC-0097, un actor momentan necunoscut.
FBI leagă cel mai mare hack criptografic vreodată de hackeri nord-coreeni
Biroul Federal de Investigații (FBI) a declarat că două grupuri nord-coreene de hacking, Lazarus și BlueNorOff (alias APT38), s-au aflat în spatele hack-ului Ronin de luna trecută. Prin ancheta desfășurată, s-a confirmat că acești actori cibernetici asociați cu RPDC, sunt responsabili pentru furtul a 620 de milioane de dolari în Ethereum, raportat pe 29 martie.
FBI: Utilizatorii aplicațiilor de plată vizați de atacuri de inginerie socială
Infractorii cibernetici încearcă să păcălească utilizatorii americani de aplicații de plată digitală pentru a face transferuri instantanee de bani în atacuri de inginerie socială, folosind mesaje text cu alerte false de fraudă bancară. Avertismentul, publicat joi de Biroul Federal de Investigații, ca un anunț de serviciu public, spune că atacatorii vor suna victimele care răspund la mesajele lor de phishing de la numerele de telefon care falsifică numărul de asistență 1-800 legitim al băncilor.
Defecțiunea critică Windows RPC CVE-2022-26809 ridică îngrijorări – Patch
Microsoft a remediat o nouă vulnerabilitate Windows RPC CVE-2022-26809, care stârnește îngrijorări în rândul cercetătorilor în domeniul securității, din cauza potențialului său de atacuri cibernetice larg răspândite și semnificative, odată ce un exploit este dezvoltat. Prin urmare, întreaga entitate trebuie să aplice actualizările de securitate Windows cât mai curând posibil.
Referințe: www.bleepingcomputer.com
