Noutățile Săptămânii din Securitate Cibernetică 23.04.2021
Vulnerabilități zero-day la nivelul unei soluții de securitate a e-mail-ului de la SonicWall
SonicWall își îndeamnă clienții să aplice actualizările necesare pentru ameliorarea a trei vulnerabilități noi (CVE-2021-20021, CVE-2021-20022, CVE-2021-20023), specifice soluției de protejare a email-ului SonicWall Email Security. Pentru evitarea pagubelor produse de exploatarea activă a vulnerabilităților, este recomandată actualizarea Email Security la versiunile 10.0.9.6173 (Windows) și 10.0.9.6177 (Hardware/ESXi Virtual Appliance).
Atac cibernetic la nivelul lanțului de furnizare al Codecov
În urma unui incident de securitate cibernetică, nedetectat timp de două luni, există posibilitatea ca rețelele a sute de clienți ai Codecov să fi fost compromise. Începând cu 31 ianuarie 2021, atacatorii au identificat o cale de alterare neautorizată a scriptului Bash Uploader al Codecov, ceea ce a condus către posibilitatea exfiltrării informațiilor stocate de utilizatori în mediile „continuous integration (CI)”.
În prezent, Codecov și autoritățile americane desfășoară o investigație pentru evaluarea impactului. Clienții Codecov, care au utilizat un uploader al companiei, sunt sfătuiți să modifice datele de logare și cheile care ar fi putut fi expuse, și să verifice sistemele pentru posibile activități malițioase.
Operatorii ransomware-ului REvil șantajează compania Apple
În urma îndeplinirii unui atac cu ransomware împotriva companiei Quantum Computer, un producător de hardware din Taiwan având printre clienți și Apple, gruparea de infracționalitate cibernetică REvil a obținut date personale și blueprints referitoare la noile produse Apple.
În acest context, gruparea solicită companiei efectuarea unei plăți pentru restituirea documentelor, până la 1 mai 2021. În caz contrar, REvil anunță că fișierele vor fi publicate, iar ca dovadă, au dezvăluit deja o schiță a componentelor MacBook.
Sursa: https://thehackernews.com/2021/04/hackers-threaten-to-leak-stolen-apple.html
Telegram Messenger utilizat pentru a controla malware-ul ToxicEye
Infractorii cibernetici abuzează aplicația Telegram ca pe sistem de comandă și control pentru a distribui malware. Cercetătorii de securitate cibernetică de la Check Point au identificat aproximativ 130 de atacuri în ultimele trei luni, care utilizează un nou troian multifuncțional de acces de la distanță (RAT) numit ToxicEye.
Lanțul de atac începe cu crearea unui bot Telegram de către atacator, care este apoi încorporat în fișierul de configurare al RAT, înainte de a-l compila într-un executabil. Acest fișier .EXE este apoi injectat într-un document Word înșelător („solution.doc”) care, atunci când este deschis, descarcă și rulează Telegram RAT („C: \ Users \ ToxicEye \ rat.exe”).
Sursa: https://thehackernews.com/2021/04/cybercriminals-using-telegram-messenger.html
Multiple vulnerabilități exploatate în software-ul Cellebrite
Fondatorul aplicației de mesagerie Signal, Moxie Marlinspike, a dezvăluit că a reușit să găsească și totodată să exploateze în software-ul Cellebrite, mai multe vulnerabilități. Această companie este specializată în instrumente de criminalistică digitală, programul fiind folosit de către autoritățile din întreaga lume în scopul de a extrage date de pe telefoanele infractorilor.
În cadrul unei postări de pe blogul său, Marlinspike a afirmat că a găsti unul dintre dispozitivele companiei, într-un pachet căzut dintr-un camion. Acesta a mai adăugat că dispozitivul Cellebrite deține mai multe erori care ar putea fi utilizate chiar împotriva acestuia, care ar ajuta atacatorul să preia sistemul.
Modul cum au operat, a fost relativ simplu. Aceștia au plasat pe dispozitiv un fișier cu aspect inofensiv, deși a fost special formatat, pe care software-ul Cellebrite îl va scana în cele din urmă. După aceea, atacatorii puteau executa de la distanță orice cod malițios la alegere, care ar putea modifica raportul dispozitivului de deblocare.
