Noutățile săptămânii din cybersecyrity (18.03.2022)
Avertizare emisă de CISA și FBI referitor la atacatori cibernetici sponsorizați de Rusia
Cybersecurity and Infrastructure Security Agency (CISA) și Federal Bureau of Investigation (FBI) au emis o avertizare comună cu privire la actori sponsorizați de Rusia, care obțin acces la rețele prin exploatarea protocoalelor standard de autentificare prin mai mulți factori (MFA) și a vulnerabilității „PrintNightmare” (CVE-2021-34527).
https://www.cisa.gov/uscert/ncas/alerts/aa22-074a
O nouă amenințare: B1txor20, „ușa din spate” pentru Linux folosind tunelul DNSU
Sistemul honeypot al cercetătorilor de la 360Netlab a capturat un fișier .elf propagat prin intermediul vulnerabilității Log4J. În urma unei analize, cercetătorii au determinat că este vorba de un nou backdoor pentru Linux, ce utilizează tehnologia DNS Tunnel pentru a realiza canale de comunicare C2. Denumit „B1txor20”, pe lângă funcțiile tradiționale ale unui backdoor, acesta include funcții pentru deschiderea unui proxy Socket5 și descărcarea și instalarea unui rootkit. Conform cercetătorilor, anumite funcții au bug-uri, ceea ce sugerează posibilitatea apariției unor noi versiuni îmbunătățite ale B1txor20.
https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/
Atac DDoS împotriva unor site-uri guvernamentale din Israel
O serie de site-uri web ale guvernului israelian au fost ținta unui atac cibernetic, ceea ce a condus la inactivitatea temporară a acestora. Printre acestea, au fost incluse site-urile ministerelor de interne, sănătate, justiție și asistență socială și cel al biroului primului ministru din Israel. Autoritatea cibernetică din Israel a confirmat că a fost un atac distribuit de refuzare a serviciului (DDoS) ce a blocat accesul la site-urile web guvernamentale și că toate site-urile au fost readuse online.
Instagram a fost blocat în Rusia
Interdicția promisă de Rusia asupra Instagram a intrat în vigoare în săptămâna curentă, platforma de socializare fiind inaccesabilă pentru circa 80 de milioane utilizatori din țără, potrivit serviciului de monitorizare a internetului GlobalCheck. Țara a anunțat interzicere Instagram săptămâna trecută, ca răspuns la decizia companiei-mamă Meta de a permite utilizatorilor Facebook și Instagram din unele țări să promoveze violența împotriva soldaților ruși după invazia în Ucraina. Rusia a restricționat în mod constant accesul la platformele online în încercarea de a controla fluxul de informații despre război și a interzis deja Facebook și Twitter.
https://alienskills.com/contents/Instagrambanne_1358469347512.html
Atac cibernetic asupra organizațiilor guvernamentale din Ucraina
Conform Computer Emergency Response Team din Ucraina (CERT-UA), grupul UAC-0056 ar fi responsabil pentru distribuirea masivă a unor email-uri ce conțin instrucțiuni pentru îmbunătățirea nivelului de securitate cibernetică și care par să provină de la entități guvernamentale din Ucraina.
Mail-urile conțin un link către site-ul web hxxps: // forkscenter [.] Fr /, de pe care se propune descărcarea „actualizărilor critice” sub forma unui fișier „BitdefenderWindowsUpdatePackage.exe” de aproximativ 60 MB. Accesarea fișierului duce la instalarea Cobalt Strike Beacon, GraphSteel și GrimPlant.
https://cert-gov-ua.translate.goog/article/37704?_x_tr_sl=uk&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp
CISA, FBI avertizează organizațiile critice din SUA cu privire la amenințările la adresa rețelelor SATCOM
CISA și FBI au informat despre „posibile amenințări” la adresa rețelelor de comunicații prin satelit (SATCOM) din SUA și din întreaga lume. Notificarea de securitate a alertat, de asemenea, organizațiile de infrastructură critică din SUA cu privire la riscurile pentru clienții furnizorilor SATCOM în urma întreruperilor rețelei.
Noul rootkit Unix folosit pentru a fura date bancare ATM
Analiștii de amenințări care monitorizează grupul de hackeri motivați financiar LightBasin raportează descoperirea unui rootkit Unix necunoscut anterior, ce este folosit pentru a fura date bancare ATM și pentru a efectua tranzacții frauduloase.
https://www.bleepingcomputer.com/news/security/new-unix-rootkit-used-to-steal-atm-banking-data/
Google dezvăluie tacticile ransomware-ului brokerului de acces Conti
Echipa Google Threat Intelligence a expus operațiunile unui grup de amenințări numit „EXOTIC LILY”, un broker de acces inițial asociat cu operațiunile ransomware-ului Conti și Diavol. Acest grup special a fost văzut pentru prima dată exploatând vulnerabilitatea Microsoft MSHTML zero-day (CVE-2021-40444), astfel, atrăgând interesul cercetătorilor Google ca un actor potențial de amenințare sofisticat.
ASUS avertizează asupra atacurilor malware Cyclops Blink ce țintește routerele
Mai multe modele de routere ASUS sunt vulnerabile la amenințarea malware Cyclops Blink, legată de Rusia, determinând furnizorul să publice recomandări pentru a reduce riscul de securitate. Cyclops Blink este un malware asociat grupului de hackeri Sandworm susținut de Rusia, care a vizat în trecut WatchGuard Firebox și alte dispozitive de rețea SOHO. Rolul lui Cyclops Blink este de a stabili persistența pentru actorii amenințărilor de pe dispozitiv, oferindu-le un punct de acces la distanță la rețelele compromise.
Microsoft creează un instrument pentru a scana routerele MikroTik pentru infecția TrickBot
Microsoft a lansat un scanner ce detectează routerele MikroTik piratate de banda TrickBot ca servere proxy pentru serverele de comandă și control. TrickBot este o rețea botnet rău intenționată distribuită prin e-mailuri de phishing sau eliminată de alt program malware care a infectat deja dispozitivul. Odată executat, TrickBot se conectează la un server de comandă și control de la distanță pentru a primi comenzi și a descărca încărcături utile suplimentare pentru a rula pe mașina infectată.
CISA adaugă 15 vulnerabilități la lista punctelor slabe utilizate în atacuri
Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) a adăugat cincisprezece vulnerabilități suplimentare la lista sa de vulnerabilități exploatate activ despre care se știe că sunt exploatate în atacurile cibernetice. Aceste alerte publice sunt menite să sensibilizeze administratorii de sistem care nu au aplicat încă actualizările de securitate adecvate și să îi încurajeze să își prioritizeze acțiunile.
Noul botnet Linux ce exploatează Log4J, folosește tunelul DNS pentru comunicații
O rețea botnet descoperită recent în dezvoltare activă vizează sistemele Linux, încercând să le atragă într-o armată de roboți gata să fure informații sensibile instalând rootkit-uri, creând shell-uri inverse și acționând ca proxy de trafic web. Malware-ul denumit B1txor20 de cercetătorii de la Qihoo 360 Network Security Research Lab (360 Netlab), își concentrează atacurile asupra dispozitivelor cu arhitectură CPU ARM Linux, X64.
Ghid de securitate 2022-01 - Măsuri de atenuare a securității cibernetice împotriva amenințărilor critice Link extern
ENISA și CERT-EU au publicat un ghid prin care îndeamnă toate organizațiile Uniunii Europene să implementeze un set de cele mai bune practici de securitate cibernetică. Pe baza acestei publicații comune, CERT-EU oferă următoarele recomandări specifice de implementare. Aplicându-le sistematic, organizațiile își pot crește apărarea și rezistența în securitatea cibernetică. Acest lucru le va permite: să-și îmbunătățească postura de securitate cibernetică pentru a evita o gamă largă de atacuri și pentru a limita numărul de incidente de securitate cibernetică.
https://media.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf
Microsoft Defender semnalează actualizările Office ca activitate de ransomware
Administratorii Windows au fost uimiți de valul actualizări false de la Microsoft Defender pentru Endpoint, unde actualizările Office au fost semnalate ca fiind rău intenționate în avertismente ce subliniau comportamentul ransomware găsit pe sistemele lor. După o serie de rapoarte, Microsoft a confirmat că actualizările Office au fost marcate în mod eronat ca activitate de ransomware.
Microsoft reamintește despre eliminarea browserului web Internet Explorer, în iunie
Microsoft le-a reamintit clienților Windows că în sfârșit vor elimina browserul web Internet Explorer 11 din unele versiuni de Windows 10 în iunie și îl vor înlocui cu noul Microsoft Edge bazat pe Chromium. După retragerea Internet Explorer, Microsoft va continua să accepte site-uri web și aplicații vechi bazate pe Internet Explorer în Microsoft Edge prin funcția încorporată în modul Internet Explorer (mod IE).
Referințe: www.dnsc.ro; www.bleepingcomputer.com
