Luca összes bejegyzése

Proaktív biztonság a digitális korszakban: Az intel figyelmeztetése és útmutatása a kiberfenyegetések elhárítására

Az Intel nemrégiben hozott nyilvánosságra egy kritikus jelentőségű információt, amely kiemeli a digitális térben való mozgás közbeni proaktív biztonsági intézkedések fontosságát. A vállalat szakértői által azonosított 34 biztonsági rés egyértelmű figyelmeztetésül szolgál arra, hogy a felhasználóknak fokozottan ébernek és előrelátónak kell lenniük. Ennek érdekében időben kell frissíteniük alkalmazásaikat és firmware-jeiket, hogy elkerüljék az adatvesztés vagy a kiber támadások kockázatát. E sebezhetőségek rávilágítanak arra is, hogy a technológiai óriások mennyire elszántak abban, hogy felhasználóik számára egy biztonságos digitális teret biztosítsanak.

Ezek a biztonsági rések az Intel által kínált széles termékskálát érintik, azaz a firmware-től kezdve a szoftveralkalmazásokig terjednek. A felfedezett sebezhetőségek között 32 a különböző szoftvertermékeket érinti, míg a fennmaradó kettő a firmware komponensekben található meg. Az érintett szoftverek között olyan kulcsfontosságú eszközök találhatók, mint a oneAPI Toolkit, az Intel Extreme Tuning Utility (XTU) és az Intel Unison alkalmazás, valamint számos chipset- és Wi-Fi driver. Továbbá néhány kevésbé ismert, esetleg már nem támogatott szoftver, mint például a Battery Life Diagnostic Tool és a System Usage Report szoftver, szintén biztonsági fenyegetést jelenthet, melyek esetében az Intel azt tanácsolja, hogy a felhasználók távolítsák el ezeket az alkalmazásokat.

Különösen érdekesek a Thunderbolt technológiával kapcsolatos megállapítások, ahol a szakemberek több mint húsz lehetséges biztonsági problémát azonosítottak. Habár ezek többsége csak helyi hozzáférés esetén jelent veszélyt, egy bizonyos sebezhetőség távolról is kiaknázható, ezzel jelentősen bővítve a lehetséges kibertámadások körét. Ezek a sebezhetőségek különböző veszélyességi szintekkel bírnak, amelyek közül három különösen nagy kockázatúnak van besorolva, míg a távolról kihasználható sebezhetőség közepes kockázatú kategóriába tartozik.

Az Intel arra ösztönzi a felhasználókat, hogy legyenek proaktívak a szoftverfrissítések alkalmazásában és a javítások telepítésében. Az érintett sebezhetőségekről szóló részletes tájékoztatás az Intel dedikált biztonsági weboldalán található, ahol a felhasználók megismerhetik a potenciális veszélyeket és azok elhárításának módjait. A legfrissebb szoftverek és driverek beszerzéséhez és a digitális eszközök biztonságának fenntartásához az Intel hivatalos weboldala kínál segítséget. A frissítési folyamat egyszerűsítése érdekében a Driver & Support Assistant (DSA) szolgáltatás is a felhasználók rendelkezésére áll, amely segítséget nyújt az eszközök naprakész állapotának fenntartásában.

A bejelentés nem csak a biztonsági rések feltárásáról szól, hanem egyúttal felhívja a figyelmet arra is, hogy a digitális korban a technológiai előrelépések mellett a biztonsági tudatosság és az elővigyázatos magatartás mennyire fontos. Az Intel által biztosított eszközök és információk felhasználásával a felhasználók lépést tarthatnak a kiberbiztonsági trendekkel, és védelmet nyújthatnak digitális identitásuk számára a különféle fenyegetésekkel szemben.

Forrás: www.intel.com

A JCDC 2024-es kiberbiztonsági terveinek kulcsszempontjai

Az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) a napokban fedte fel a Közös Kiber Védelmi Kezdeményezés (JCDC) 2024-es évre vonatkozó stratégiai irányvonalait. Ez a kezdeményezés, melyet 2021-ben hívtak életre, azért jött létre, hogy az ipari és kormányzati szféra összefogásával hatékonyabban nézzen szembe a kiberbiztonsági kihívásokkal.

Az utóbbi évek folyamán a JCDC számos sikeres kibervédelmi projektet hajtott végre, többek között az open source szoftverek biztonságának megerősítését és a kritikus infrastruktúrákat érintő incidensekre való gyorsabb és hatékonyabb reagálást.

Clayton Romans, a CISA társigazgatója által közölt információk alapján, a 2024-es év fókuszában az együttműködés további bővítése és a kibervilágban felmerülő új kihívások átfogó kezelése áll. Az irányelvek három fő területre összpontosítanak: az Advanced Persistent Threat (APT) típusú támadásokkal szembeni védekezés, a kritikus infrastruktúrák kiberbiztonsági alapszintjének megemelése, valamint az új technológiák és az ezekből fakadó kockázatok előrejelzése.

Ezen belül hat specifikus területet azonosítottak, amelyekre fokozott figyelmet fordítanak, beleértve az APT támadókkal szembeni védekezést, a jelentős kiberincidensekre való felkészülést, a választási rendszerek biztonságának további erősítését, a zsarolóvírusok okozta károk minimalizálását, a Secure by Design elvek technológiákba való integrálását, és az AI-vel kapcsolatos kihívások kezelését.

Romans külön kiemelte, hogy 2024 egyik prioritása a Kínai Népköztársasághoz köthető APT csoportok elleni védekezés lesz, mivel ezek a csoportok különösen nagy veszélyt jelentenek az amerikai infrastruktúrára. Hangsúlyozta továbbá a kormányzati és magánszektor közötti együttműködés létfontosságát a kiberbiztonsági kihívások hatékony kezelésében.

„Rendkívül büszke vagyok a JCDC által kialakított együttműködési modellre és a csapatunk által elért eredményekre. Számos kihívással szembesültünk, de sikerült felülmúlnunk azokat, hogy megfeleljünk a dinamikusan változó kiberfenyegetési környezet követelményeinek,” írta Romans.

„A JCDC-n keresztül a CISA izgatottan tekint a jövőbe, hogy tovább bővítse együttműködését kormányzati és magánszektori partnereivel, és így közösen formáljuk a jövő kiberbiztonsági stratégiáját, különös tekintettel az Egyesült Államokat 2024-ben fenyegető legnagyobb kiberkockázatokra.”

Forrás: www.infosecurity-magazine.com

A Kiberfenyegetések új hulláma: Zsarolóvírusok veszélye a digitális világban

A digitális világ előretörésével párhuzamosan a kiberbűnözők is egyre fejlettebb módszereket alkalmaznak a zsákmányszerzés érdekében, zsarolóvírusok felhasználásával szedve áldozataiktól az adatokért cserébe váltságdíjat. Az elmúlt időszak tendenciái világosan mutatják, hogy ezek a támadók nem csak hogy fenntartják, de fokozzák is tevékenységük agresszivitását, ami kihívás elé állítja a kiberbiztonsági védekezési módszereket.

Az elmúlt években tapasztalható adatok egyöntetűen bizonyítják, hogy a zsarolóvírus támadások gyakorisága, valamint ezek által generált illegális jövedelem meredeken nő. Ez különösen aggasztó jelenség, mivel a kiberbiztonsági közösség által implementált ellenintézkedések egy ideig lassítani látszottak ezt a tendenciát. Ezzel szemben a Chainanalysis friss elemzése feltárja, hogy a támadások intenzitása 2022-ben ismét növekedésnek indult, aminek következtében a zsarolóvírusok által kikényszerített váltságdíjak összege is jelentős mértékben, az előző évi 567 millió dollárról 1,1 milliárd dollárra ugrott, ezzel új csúcsot állítva be.

A zsarolóvírusok alkalmazói nem tesznek különbséget a célpontok között: legyen szó nagyvállalatokról, egészségügyi intézményekről vagy oktatási intézményekről, mindegyikük potenciális áldozat. A Recorded Future és más elemző intézetek által közölt jelentések alapján a kiberbűnözők által használt új zsarolóvírus variánsok száma és ezekkel végrehajtott támadások gyakorisága folyamatosan emelkedik, ami világosan jelez, hogy a jelenlegi kiberbiztonsági védelmi stratégiák nem nyújtanak elegendő védelmet.

A 2022-es ideiglenes csökkenés után, különösen az orosz és ukrán nemzetiségű csoportok esetében, a zsarolóvírus tevékenységek újra intenzívebbé váltak. A geopolitikai helyzetek rövid távú változásai után úgy tűnik, hogy a kiberbűnözők ismét növelik támadásaik számát és erősségét.

Ez az elemzés rávilágít arra a tényre, hogy bár léteznek előrelépések a zsarolóvírusok elleni küzdelemben, a kiberbiztonsági szakembereknek továbbra is számottevő kihívásokkal kell szembenézniük. A változó kiberfenyegetések elleni hatékony fellépéshez átfogó, dinamikusan adaptálódó védelmi megközelítésekre van szükség.

Forrás: www.chainalysis.com

Nigéria harca a kiberbűnözés ellen

A nigériai elnök határozottan cáfolja az ország mint kiberbűnözési központ képét
Bola Tinubu elnök állítása szerint nemzetünk nem szolgáltat otthont a kiberbűnözők számára, annak ellenére sem, hogy az „infámus nigériai herceg” csalás itt született meg. Az elnök egy kiemelkedő beszédében erőteljesen visszautasította azt az elterjedt felfogást, amely szerint hazánk kiberbűnözőkkel lenne tele. Ehelyett kiemelte, hogy Nigéria jelentős és értékes hozzájárulásokat tesz a globális közösséghez, és aktívan küzd a kiberbűnözés ellen.

A kiberbűnözés továbbra is súlyos kihívást jelent hazánkban, évente körülbelül 500 millió dolláros gazdasági hatással. A Nigériai Gazdasági és Pénzügyi Bűnözés Elleni Bizottság előtt nemrég elmondott beszédében Tinubu elnök rávilágított, hogy a kiberbűnözés aláássa az ország nemzetközi hírnevét, de hangsúlyozta, hogy ez a probléma nem csak Nigériára jellemző. Sőt, a csalásokat és egyéb kibertámadásokat egy „globális jelenségként” írta le, amellyel minden rendelkezésre álló eszközzel szembe kell szállni.

„A mai világunk az interneten keresztül, valós időben kapcsolódik össze. A kormányzati műveletek, üzleti tevékenységek, intézmények és még a magánháztartások is az internetre támaszkodnak” – mondta. „Így a kiberbűnözők nem csak nekünk, hanem a világ többi részére is veszélyt jelentenek. Nem engedhetjük meg magunknak, hogy takarékoskodjunk az erőfeszítéseken és a költségeken, amikor a gonosszal nézünk szembe. Szeretném biztosítani az EFCC-t, hogy a kormány továbbra is támogatni fogja misszióját, hogy megküzdjünk az internetszerte elharapózott bűncselekményekkel.”

Fontos, hogy ellentmondjunk annak a képzetnek, miszerint az afrikai ország egy „csalók földje” lenne, egy jelzőt, amelyet „megtévesztőnek, megalapozatlannak és elfogadhatatlannak” minősített. Tinubu elnök emellett kiemelte, hogy Nigéria számos kezdeményezést tett a kiberbűnözés elleni küzdelem érdekében, beleértve az oktatási programokat is, amelyek a digitális tudatosságot és a biztonságos internetezést hivatottak elősegíteni.

Fiatalok és a kiberbűnözés
Az eseményen Ola Olukoyede, az EFCC vezetője is kifejezte aggodalmát amiatt, hogy a fiatalok egyre nagyobb részt vállalnak a kiberbűnözésben. Felhívta a figyelmet arra a veszélyre, hogy „olyan jövő generációkat nevelünk, akik számára a csalás és korrupció a hírnév és jólét megszerzésének eszközeivé válnak.”

Olukoyede szerint a legjobb megoldás, ha ösztönözzük a fiatalokat arra, hogy válasszanak olyan karrierutakat, amelyek hasonló készségeket igényelnek. „Úgy vélem, az akadémiai körök nagyobb szerepet vállalhatnak a korrupció elleni harcban a mentorálás révén, mivel a mai gyorsan változó világban a fiataloknak szükségük van iránymutatásra, hogy sikeres és célratörő életet éljenek” – tette hozzá. Hangsúlyozta a pozitív példaképek és a hatékony vezetés fontosságát a fiatalok életében.

Egy nemrég az EFCC előtt tartott beszédben Chidiebere Ihediwa, egy nigériai kiberbiztonsági szakértő, ismét felvetette a kérdést, rámutatva, hogy az online csalókat és bűnözőket át kell képezni IT szakemberekké. Ihediwa azt is sürgette, hogy bővítsük a kiberbiztonsági oktatást és képzést, hogy a fiatalok jobban felkészülhessenek a digitális világ kihívásaira, és pozitív módon használhassák fel értékes képességeiket.

Annak ellenére, hogy a nigériai kormány és a kiberbiztonsági közösség jelentős erőfeszítéseket tesz, a kiberbűnözés továbbra is egy globális probléma, amely nem ismer határokat. Az ilyen típusú bűnözés elleni küzdelem nem csak technológiai megoldásokat, hanem társadalmi változások előmozdítását és a fiatal nemzedékek oktatását is magában foglalja. Az EFCC és más szervezetek tevékenysége létfontosságú a biztonságos digitális jövő felé vezető úton.

Forrás: www.darkreading.com

A biztonság mint alapvető szempont: Hogyan formálja meg a digitális fejlődést?

A digitális kor kihívásainak kezelésében kiemelkedő szerepet kap a biztonságtudatos tervezés, különösen amikor a kiberfenyegetések egyre árnyaltabbak és összetettebbek. A technológiai fejlesztések során, legyen szó szoftverről vagy hardverről, már a kezdetektől fogva esszenciális a biztonsági szempontok előtérbe helyezése. Ez lehetővé teszi a potenciális sebezhetőségek és támadási útvonalak minimálisra csökkentését.

A CISA hangsúlyozása, amely különösen a kis- és otthoni irodákban használt eszközök gyártóit célozza, felhívja a figyelmet ezeknek a speciális területeknek a sajátos kihívásaira. Ezen eszközök gyakran kimaradnak a vállalati biztonsági keretek alkalmazási köréből, ami kiemelt kockázatot jelent számukra a haladó támadási technikákkal szemben. A tervezési fázisban történő biztonsági megfontolások integrálása nem csak a felhasználók biztonságát erősíti meg, hanem az egész kiberbiztonsági ökoszisztémát is stabilizálja.

A CISA által kiadott útmutatás fontos lépést jelent a kis- és otthoni irodai eszközök biztonságának fejlesztésében, különös tekintettel az automatikus frissítések és a biztonsági beállítások kézi átállításának lehetőségére. Az ilyen típusú beépített funkciók segítségével a gyártók csökkenthetik a felhasználók felelősségét a biztonsági frissítések kezelése terén, így növelve az eszközök védelmi szintjét.

A fontos infrastruktúrák védelme érdekében kulcsfontosságú a magán- és állami szektor közötti együttműködés. A KV-botnet által szolgáltatott tanulságok világosan megmutatják, hogy a támadók hogyan használhatják ki a rendszerek gyenge pontjait, és mennyire fontos a kiberfenyegetések elleni állandó védekezés.

A kínai kormányzat cáfolata ellenére, miszerint nem állnak ilyen jellegű támadások mögött, a globális közösségnek összefogva kell fellépnie a kiberbiztonsági veszélyek ellen. A nemzetek közötti párbeszéd erősítése és a kibervédelemre vonatkozó szabályok kiépítése elengedhetetlen a digitális tér biztonságának megőrzése érdekében.

Az FBI és a DoJ által a KV-botnet ellen hozott intézkedések azt üzenik, hogy a kiberbiztonsági kihívások kezelése folyamatos odafigyelést és adaptációt igényel. Ahogyan a technológia fejlődik, úgy kell a védelmi stratégiáinknak is frissülniük az új fenyegetésekkel szemben. A tervezés során alkalmazott biztonsági intézkedések, a rendszeres frissítések és a közös kibervédelmi elköteleződés nélkülözhetetlen a jövőbeli kiberfenyegetések hatékony kezeléséhez.

Forrás: www.thehackernews.com

Kriptovaluta bányászat és 9Hits: új kiberfenyegetés a docker rendszerek ellen

Egy új kampány célba veszi a sérülékeny Docker rendszereket, ahol a támadók XMRig kriptovaluta bányász programot és a 9Hits Viewer alkalmazást telepítik, mint egy összetett monetizációs stratégia elemeit.

„A 9Hits alkalmazás kártékony szoftverként történő telepítése először dokumentálódott így,” jelentette ki a Cado, egy felhőbiztonsággal foglalkozó vállalat, kiegészítve, hogy ez a tendencia azt mutatja, az ellenséges szereplők szüntelenül keresik az új módszereket a sérült hosztokból történő pénzszerzésre.

A 9Hits saját magát mint „innovatív webforgalom-megoldást” és „automatizált forgalomcsere-szolgáltatást” mutatja be, ami lehetőséget biztosít a felhasználóknak weboldalaik látogatottságának növelésére kreditvásárlás révén.
Ezt a 9Hits Viewer nevű szoftverrel valósítják meg, amely egy fej nélküli Chrome böngészővel látogatja meg azokat a weboldalakat, amiket a többi felhasználó kér, cserébe krediteket szerezve weboldaluk forgalmának növeléséhez.

A sérülékeny Docker hosztokra elterjedő rosszindulatú szoftver terjesztésének pontos módja egyelőre homályos, azonban valószínűsítik, hogy a Shodanhoz hasonló keresőmotorokat használnak potenciális célpontok felkutatására.

Ezután a támadók behatolnak a szerverekre, hogy két kártékony konténert helyezzenek el a Docker API segítségével, valamint előre elkészített képeket töltessenek le a Docker Hub könyvtárából a 9Hits és az XMRig szoftverek számára.

„Ez egy bevett támadási módszer a Dockerhez kapcsolódó kampányok esetén, amikor nem egyedileg készített képet, hanem általánosan elérhetőt tölt le a Dockerhub-ról, amit aztán a saját céljaikra használnak,” magyarázta Nate Bill, egy biztonsági szakértő.

A 9Hits konténert ezután felhasználják a támadó kreditjeinek generálására: a 9Hits rendszerével történő azonosítás során a munkamenet-tokenjüket használják fel, és kinyerik a meglátogatandó weboldalak listáját.

A támadók úgy állították be a rendszert, hogy felnőtt tartalmú vagy felugró ablakokat tartalmazó oldalakat keressenek fel, azonban tiltották a kriptovalutákkal kapcsolatos weboldalak látogatását.
A másik konténerben egy XMRig bányászprogramot futtatnak, amely egy privát bányászcsoporttal kapcsolódik, így a kampány mérete és nyereségessége meghatározhatatlan marad.

„A támadás elsősorban a megtámadott hosztok erőforrásainak kimerülésével jár, mivel az XMRig bányászprogram minden rendelkezésre álló CPU-kapacitást felhasznál, míg a 9hits jelentős sávszélességet, memóriát és a maradék CPU-kapacitást is igénybe veszi,” mondta Bill.

„Ennek következtében a fertőzött szervereken futó hiteles munkafolyamatok nem tudnak megfelelően működni. Továbbá a kampány frissíthető, hogy távoli shellt hagyjon a rendszeren, ami súlyosabb behatoláshoz vezethet.”

Forrás:https://thehackernews.com

Az Inferno Drainer kártékony működése és a kriptovaluta biztonsági kockázatok

Az Inferno Drainer, egy már nem működő bűnözői hálózat, 2022 és 2023 közötti egy év alatt több mint 16 000 különböző káros domain nevet hozott létre. A szingapúri központú Group-IB jelentése szerint ez a csoport „minőségi adathalász oldalakkal csalogatta a tudatlan felhasználókat, hogy a támadók által kialakított infrastruktúrához csatlakoztassák kriptovaluta tárcáikat. Ez a struktúra Web3 protokollokat imitált annak érdekében, hogy átverje és tranzakciókra késztessék az áldozatokat” – írják a The Hacker News-szal megosztott beszámolójukban.

Az Inferno Drainer 2022 novemberétől egészen 2023 novemberéig működött, ebben az időszakban több mint 87 millió dollárnyi illegális profitot termelt, több mint 137 000 áldozat megtévesztésével. A kártevő egy nagyobb, hasonló funkciójú szolgáltatások csoportjának részét képezte, melyet a csalók az „átverés mint szolgáltatás” (vagy „drainer mint szolgáltatás”) modellben kínáltak, cserébe a nyereségük 20%-át kérték.

Az Inferno Drainer vásárlói dönthettek úgy, hogy a malware-t a saját adathalász oldalaikra töltik fel, vagy igénybe veszik a fejlesztők szolgáltatását, hogy létrehozzanak és tároljanak adathalász weboldalakat, néha ingyen, máskor a lopott eszközök 30%-át felszámolva.

A Group-IB szerint a művelet több mint 100 kriptopénz márkát utánozva, speciálisan kialakított oldalakon zajlott, melyek több mint 16 000 egyedi domainen kerültek tárolásra. Ezek közül 500 domain elemzése során kiderült, hogy a JavaScript alapú kártevőt kezdetben egy GitHub repóban helyezték el (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakhoz adták volna. A „kuzdaz” felhasználó jelenleg nem aktív.

Hasonlóan, további 350 oldal tartalmazta a „coinbase-wallet-sdk.js” JavaScript fájlt, egy másik GitHub repóban, a „kasrlorcian.github[.]

io”-nál. Ezek az oldalak olyan platformokon kerültek terjesztésre, mint a Discord és az X (korábban Twitter), ahol csábító ajánlatokkal, például ingyenes tokennel (azaz airdropokkal) kecsegtetve vették rá a potenciális áldozatokat, hogy kattintsanak az oldalakra. A cél az volt, hogy rábírják őket a tárcáik csatlakoztatására, ekkor, a tranzakciók elfogadása után, az eszközeiket sikeresen elszívták.

A seaport.js, coinbase.js és wallet-connect.js fájlok használatával az volt a terv, hogy népszerű Web3 protokollokat, mint a Seaport, a WalletConnect és a Coinbase imitáljanak, ezzel végrehajtva az engedély nélküli tranzakciókat. Az első ilyen szkripteket tartalmazó weboldal 2023. május 15-én jelent meg.

„Az Inferno Drainer által létrehozott adathalász oldalak egy további sajátossága az volt, hogy a felhasználók nem tudták megnyitni a weboldal forráskódját a gyorsgombok vagy az egér jobb gombjának segítségével” – jegyezte meg Viacheslav Shevchenko, a Group-IB elemzője. „Ez arra utal, hogy a bűnözők igyekeztek elrejteni a szkriptjeiket és illegális tevékenységüket az áldozatok szeme elől.”

Fontos megemlíteni, hogy a Google tulajdonában lévő Mandiant X fiókja a hónap folyamán kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalra, amely a CLINKSINK nevű kriptopénz-kiürítőt tárolta.

„Bár az Inferno Drainer már nem aktív, tevékenységének jelentősége 2023 során rávilágított a kriptopénz-tulajdonosok számára fennálló súlyos kockázatokra, hiszen a drainer típusú kártevők további fejlődésén dolgoznak” – fejtette ki Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.

Forrás: https://the hackernews.com

Albánia ellen irányuló kiberfenyegetések és a No-Justice törlő szoftver

A legfrissebb kibertámadási hullám az albán intézmények ellen a „No-Justice” elnevezésű törlő szoftver alkalmazását jelentette.

A ClearSky kiberbiztonsági cég szerint ez a Windows rendszeren működő rosszindulatú szoftver az operációs rendszert úgy teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik.

Ezeket a behatolásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, amely 2022 júliusa óta folyamatosan végrehajt pusztító akciókat Albánia ellen.

2023. december 24-én az ellenfél egy hosszabb kihagyás után ismét előtérbe került, kijelentve, hogy „ismét eljött az ideje a terroristák támogatóinak lerombolásának”, legfrissebb hadműveletüket #DestroyDurresMilitaryCamp-ként jelölve meg. Jelenleg a durrësi város ad otthont az Iráni Népi Mudzsahedin Szervezetnek, röviden a MEK-nek.

Az akcióban érintett célpontok között található az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán törvényhozás.

A hadjárat során két fő eszközt vetettek be: egy végrehajtható törlő programot és egy PowerShell szkriptet, amely a már említett programot terjeszti tovább a célhálózat többi számítógépére, miután engedélyezte a Windows Távoli Kezelést, ismertebb nevén a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB méretű bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához.

Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírást eltávolítva érik el, ami minden merevlemez első szektorát jelenti, azonosítva, hol helyezkedik el az operációs rendszer a lemezen, így lehetővé téve annak betöltését a számítógép RAM-jába.

A támadás során további érvényes eszközöket is felhasználtak, mint például a Plinket, másnéven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletét, amelyek elősegítik a felderítést, az oldalirányú manőverezést és a tartós távoli hozzáférést. Ez az esemény kapcsolatban áll az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team fokozott figyelmével Izrael és az Egyesült Államok irányába a Közel-Keleten fennálló geopolitikai feszültségek között.

„Úgy tűnik, olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra törekvő narratívát alkalmaznak kibertámadásaik során,” számolt be a Check Point a múlt hónapban.

„Az Egyesült Államok területén működő szervezetek izraeli technológiával történő célzásával ezek a hacktivista csoportok egy kettős visszavágó stratégiát igyekeznek megvalósítani, állítólag eg

yszerre Izraelt és az Egyesült Államokat érintő, összehangolt kibertámadás révén.”
A Cyber Toufan különösen több mint 100 szervezet ellen irányuló hackelési és adatszivárogtatási műveletekkel hozható összefüggésbe, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon megosztva.

„Olyan jelentős károkat okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” jelentette ki Kevin Beaumont biztonsági szakértő. „Némelyikük még több mint egy hónappal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami intézmények egyaránt megtalálhatóak.”

A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggésbe hozható hackercsoportot figyel, amelyek rosszindulatú tevékenységet folytatnak az izraeli kibertérben az izraeli-hamási háború 2023 októberi kezdete óta.

Az ügynökség megjegyezte, hogy az alkalmazott módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során használtakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny adatok megsemmisítése érdekében.

Forrás: https://thehackernews.com

Sandworm kibertámadás a Kyivstar ellen: Az Ukrán kiberbiztonság legfrissebb kihívásai

Az ukrán kibervédelmi szervek nyilvánosságra hozták, hogy a Sandworm néven ismert, orosz állami támogatást élvező kibertámadó csoport már 2023 májusa óta tevékenykedik a Kyivstar távközlési vállalat rendszereiben.

E hírt elsőként a Reuters hozta le.

Az eseményt, melyet „masszív hackertámadásként” írtak körül, először az elmúlt hónapban ismertették, amikor több millió mobil- és internetfelhasználó számára szakadt meg a szolgáltatás. Röviddel az esemény után egy Oroszországhoz kötődő hackercsoport, a Solntsepyok vállalta magára a biztonsági incidens elkövetését.

A Solntsepyokot, mint orosz kibertámadó csoportot ismerik, mely összeköttetésben áll az Orosz Föderáció Fegyveres Erőinek Fő Parancsnokságával (GRU), ami a Sandworm műveleteit is irányítja.

Ez az előrehaladott állandó fenyegetési (APT) szereplő a káros kibertámadások elkövetésével szerzett hírnevet, és Dánia a múlt évben azzal vádolta meg, hogy 22 energetikai vállalatot támadtak meg.

Illia Vitiuk, az Ukrán Biztonsági Szolgálat (SBU) kiberbiztonsági részlegének vezetője elmondta, hogy a Kyivstar elleni támadás gyakorlatilag minden adatot eltüntetett több ezer virtuális szerveren és számítógépen.

Az incidens, Vitiuk szavai szerint, „a telekommunikációs vállalat központjának teljes megsemmisítését eredményezte”.

Forrás: https://thehackernews.com/

Az X közösségi média gold fiókjainak védelme: digitális biztonság és online integritás

A kiberbűnözők átveszik a megerősített „Arany” fiókokat az X nevű közösségi médiaszolgáltatáson, amelyet korábban Twitternek hívtak, majd eladják őket a Dark Weben akár 2 000 dollárért is egy darabonként.

Ezt a jelenséget a CloudSEK kutatása tárt fel, amely felfedezett egyfajta „Arany Lázat”, amelyben ezek a fiókok az underground piacokon bukkannak fel.

Az X-en a „Gold” jelzés azt jelenti, hogy a szolgáltatás függetlenül megerősítette, hogy a fiók valóban egy hírhedt szervezethez vagy hírességhez tartozik. Ezt az opciót egy évvel ezelőtt vezették be fizetős lehetőségként, miután az X a kék pipát – amely korábban a hitelesség jele volt – olyanná tette, hogy bárki hozzáadhatja a profiljához, anélkül, hogy validációt igényelne.

A CloudSEK kutatói szerint a kiberbűnözők most brutális erőszakkal próbálják feltörni a jelszavakat és eltulajdonítani az azonosítókat malware segítségével annak érdekében, hogy hozzáférést szerezzenek meglévő Gold fiókokhoz. Gyakran előfordul az is, hogy átveszik olyan nem-Gold fiókokat is, amelyek valódi szervezetekhez tartoznak, és már hónapok óta nem használták, majd megerősített státuszra emelik azokat. Összességében százak számára kínálnak fiókokat, amelyeknek tízezres követői vannak az underground fórumokon.

Azok a gonosz szándékú személyek, akik hajlandóak fizetni, ezeket a fiókokat használhatják phishing hivatkozások terjesztésére, dezinformációs kampányok és pénzügyi csalások indítására, vagy akár a márkaimázst is károsíthatják, olyan tartalmak közzétételével, amelyek kárt okoznak.

„A Dark Web piacokat elárasztják a Twitter Gold fiókokat kínáló hirdetések” – állapította meg a cég kutatása, amelyet ezen a héten tettek közzé. „Az árak 35 dollártól indulnak egy alap fióknál, és akár 2 000 dollárig terjednek a nagy követői bázissal rendelkező fiókok esetében.”

A kutatók bemutatták a szervezetekre leselkedő veszélyt egy szeptemberi példával: Kiber-támadók sikerrel vették át egy X fiókot, amely Vitalik Buterin, az Ethereum társalapítójáé volt. Ezután tweeteltek egy olyan ajánlatot, amelyben ingyenes nem fungálható tokenek (NFT) állítólagosan elérhetőek voltak, egy rosszindulatú linkkel ellátva, amely átirányította a felhasználókat egy hamis weboldalra, hogy kriptovalutát szivattyúzzanak ki az érintett pénztárcájukból.

„Annak ellenére, hogy körülbelül 20 percig voltak aktívak, a hackerek hihetetlenül 691 000 dollárt szivattyúztak ki digitális eszközökben az átverős poszt eltávolítása előtt” – áll az elemzésben.

Hogyan védekezhetünk az X fiókok átvételével szemben

A nagy fiókokba való beszivárgás értéke már legalább 2020 óta ismert, amikor a hackerek képesek voltak feltörni az akkor még Twitternek nevezett platform belső hálózatait, hozzáférést szerezve megerősített fiókokhoz és tweetek küldéséhez több híresség nevében.

Az intézkedések érdekében a szervezeteknek „rendszeresen figyelniük kell a Twitteren a márka említéseket, és erős jelszópolitikát kell bevezetniük a fiókok átvételének megakadályozására” – ajánlja a CloudSEK. Hatékony márkafigyelés azt jelenti, hogy felismerik a hamis profilokat, az engedély nélküli termékhirdetéseket, a félrevezető hirdetéseket és a rosszindulatú tartalmakat.

Forrás:https://www.darkreading.com