Noutățile săptămânii din cybersecurity (28.01.2022)
Microsoft a atenuat atacul DDoS de 3,47 Tbps asupra clienților Azure
Microsoft a dezvăluit săptămâna aceasta că a respins un număr record de atacuri distribuite de tip distributed denial-of-service (DDoS) ce vizează clienții săi în 2021, dintre care trei au depășit 2,4 terabit pe secundă (Tbps). Unul dintre atacurile DDoS a avut loc în noiembrie, vizând un client Azure fără nume din Asia și a durat în total 15 minute. A atins o capacitate de banda maxim de 3,47 Tbps și o rată a pachetelor de 340 de milioane de pachete pe secundă (pps), ceea ce îl face cel mai mare atac raportat vreodată în istorie.
https://thehackernews.com/2022/01/microsoft-mitigated-record-breaking-347.html
Google Drive avertizează despre documente suspecte de phishing și malware
Google a lansat noi bannere de avertizare în Google Drive pentru a alerta utilizatorii cu privire la fișierele suspecte pe care actorii amenințărilor le-ar putea folosi pentru livrarea de programe malware și în atacurile de phishing. Compania explică că, dacă un utilizator deschide un fișier suspect sau periculos în Google Drive, va fi afișat un banner de avertizare pentru a-l ajuta să-l protejeze pe el și organizația sa de malware, phishing și ransomware.
Guvernul britanic propune modificarea legislației privind securitatea cibernetică
Guvernul Regatului Unit al Marii Britanii a propus reformarea legislației cu referire la securitatea cibernetică pentru a spori rezistența în domeniu a întreprinderilor britanice, inclusiv, pentru ca instituțiile responsabile să reușească să acționeze în ritm cu schimbarea tehnologică. De asemenea, au fost propuse noi competențe pentru Consiliul de Securitate Cibernetică, cu scopul de a crea un set de calificări și certificări, astfel încât cei care lucrează în securitatea cibernetică să poată dovedi că sunt echipați corespunzător pentru a proteja afacerile online.
Microsoft avertizează cu privire la campania de phishing
Analiștii amenințărilor Microsoft au descoperit o campanie de phishing desfășurată intens, ce folosește acreditări furate pentru a înregistra dispozitivele în rețeaua țintă și le folosește pentru a distribui e-mailuri de phishing. Potrivit analiștilor Microsoft, atacurile s-au manifestat doar prin conturi ce nu aveau protecție cu autentificare multifactor (MFA). Într-o primă etapă intenția era de a fura acreditările de e-mail ale destinatarului, atrăgându-i printr-un e-mail cu tematică DocuSign, ce îi îndemna să revizuiască și să semneze un document.
Analiză a malware-ului utilizat împotriva organizațiilor ucrainene
Cercetătorii de la Netskope au publicat o analiză a malware-lui WhisperGate, descoperit la mijlocul lunii ianuarie 2022, ce a atacat mai multe site-uri guvernamentale din Ucraina. Conform studiului, WhisperGate este „camuflat” ca ransomware, însă are un caracter mult mai distructiv, fiind capabil de ștergerea fișierelor și coruperea disk-urilor pentru a bloca sistemul de operare din a se încărca. Grupul de atacatori ce operează WhsiperGate este numit DEV-0586 și, în prezent, nu au fost descoperite asocieri cu alte grupuri APT.
https://www.netskope.com/blog/netskope-threat-coverage-whispergate
Avertizare din partea QNAP cu privire la DeadBolt
QNAP a publicat o avertizare referitoare la DeadBolt, un ransomware ce vizează dispozitivele NAS expuse în internet fără vreun tip de protecție. DeadBolt criptează datele utilizatorilor, cerând o răscumpărare în Bitcoin. QNAP îndeamnă utilizatorii NAS să actualizeze QTS la cea mai nouă versiune disponibilă și să aplice o serie de instrucțiuni de securitate, detaliate în cadrul avertizării: verificarea dacă NAS este conectat la internet și determinarea port-urile expuse; dezactivarea funcției Port Forwarding a router-ului; deazctivarea funcției UPnP.
Vulnerabilitate Local Privilege Escalation a polkit pkexec
Cercetătorii de la Qualys au identificat o vulnerabilitate memory corruption a polkit pkexec, un program SUID-root instalat by-default pe toate distribuțiile majore ale Linux (ex. Ubuntu, Debian, Fedora, CentOS etc.). Deși „ascunsă la vedere”, vulnerabilitatea, cunoscută ca PwnKit sau CVE-2021-4034, a rămas nedetectată peste 12 ani, afectând toate versiunile pkexec, inclusiv, prima versiune ce a fost lansată în mai 2009. Exploatarea nu poate fi realizată remote, dar vulnerabilitatea permite unui utilizator, fără privilegii să obțină cu ușurință privilegii root pe host-ul vulnerabil.
Analiză a unei campanii „watering-hole” ce vizează indivizi pro-democrație din Hong Kong
În urma unui blogpost al Google Threat Analysis Group, cercetătorii de la ESET au realizat o investigație a unei campanii cu atacuri „watering-hole” ce implică exploit-uri pentru browser-ul Safari pentru macOS. Pentru distribuirea atacurilor au fost utilizate site-uri care atrag în mod special vizitatori din Hong Kong, activi politic și cu opinii pro-democrație. Conform cercetătorilor, membrii grupului din spatele campaniei au „puternice capabilități tehnice”. Aceștia au utilizat un nou tip de malware pentru macOS, numit DazzleSpy, un backdoor ce oferă atacatorilor multiple funcții pentru a controla un dispozitiv compromis și pentru a exfiltra fișiere de pe acesta.
https://www.welivesecurity.com/2022/01/25/watering-hole-deploys-new-macos-malware-dazzlespy-asia/
Un nou malware packer utilizat pentru evitarea analizei și detecției
Un nou malware packer, numit DTPacker, a fost observat distribuind multipli remote access trojans (RATs) și information stealers, precum Agent Tesla, Ave Maria, AsyncRAT sau FormBook, cu rolul de a obține informații și de a facilita alte atacuri. Vectorii de infecție inițială sunt email-urile de phising care conțin documente sau atașamente executabile care, odată deschise, lansează packer-ul care este urmat de alte tipuri de malware. Conform unei analize a Proofpoint, mawlare-ul utilizează multiple tehnici pentru evitarea soluțiilor de antivirus, sandboxing și analiză. DTPacker este asociat cu zeci de campanii și mai multe grupuri de atacatori, inclusiv APT și criminali cibernetici.
https://thehackernews.com/2022/01/hackers-using-new-malware-packer.html
Exploatarea Log4Shell continuă: peste 30.000 de scanări raportate în luna ianuarie (Kaspersky)
Descoperit în decembrie 2021, Log4Shell a devenit rapid popular ca fiind vulnerabilitatea anului. Deși Apache Foundation a lansat un patch pentru acesta la scurt timp după descoperirea sa, vulnerabilitatea continuă să reprezinte o amenințare imensă pentru indivizi și organizații. În primele trei săptămâni din ianuarie, Kaspersky anunță că produsele sale au blocat 30.562 de încercări de a ataca utilizatorii, folosind exploit-uri ce vizează vulnerabilitatea Log4Shell.
Antifake, proiectul Amprenta Digitală: Anatomia unui atac cibernetic avansat bazat pe inteligență artificială
Atacurile cibernetice avansate se află la intersecția noilor tehnologii cu tacticile, tehnicile și metodele tradiționale. Un studiu realizat de Darktrace demonstrează modul în care inteligența artificială (IA) modifică fiecare etapă din derularea unui atac cibernetic avansat, în sensul în care algoritmii preiau din eforturile atacatorilor, amplifică acțiunile, rafinează tehnicile și garantează îndeplinirea rapidă a misiunii, fără posibilitatea de detectare.
Incident de securitate cibernetică la Ministerul Afacerilor Externe din Canada
La 19 ianuarie 2022, departamentul pentru relații externe și consulare al Guvernului Canadian, Global Affairs Canada, a fost ținta unui atac cibernetic. În urma atacului, au fost implementate măsuri pentru ameliorarea situației, iar în prezent serviciile critice sunt accesibile, însă anumite servicii online nu sunt disponibile. Conform Guvernului Candian, nu există indicii conform cărora alte departamente guvernamentale au fost afectate de atac.
Referințe: www.dnsc.ro
