Címke: Kiberfenyegetés

Phobos Ransomware: Fenyegetés az amerikai alapvető infrastruktúrákra

Phobos Ransomware fenyegetések az USA alapvető infrastruktúrái ellen

Az USA kiberbiztonsági és hírszerző szervei arra hívják fel a figyelmet, hogy a Phobos ransomware súlyos kockázatot jelent a kormányzati és alapvető infrastruktúrákra. A támadók széles körű módszereket és technikákat vetnek be a zsaroló szoftverek terjesztésére.

A RaaS (Ransomware as a Service) modell szerint működő Phobos különféle célpontra irányul, beleértve városi és megyei kormányzati intézményeket, sürgősségi szolgáltatásokat, oktatási intézeteket, közegészségügyi létesítményeket, valamint más kulcsfontosságú infrastruktúrákat. Ezek a támadások komoly anyagi veszteségeket okoznak az Egyesült Államokban.

Figyelmeztetést kiadó szervezetek
  • Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Hivatal (CISA)
  • Federal Bureau of Investigation (FBI)
  • Multi-State Information Sharing and Analysis Center (MS-ISAC)
Alkalmazott támadási stratégiák és technikák

A támadók gyakran élnek phishing technikákkal vagy sebezhetőségeket keresnek a hálózati rendszerekben. Sikeres behatolást követően többféle távoli elérésű eszközt telepítenek a malware terjesztése és rejtőzködése érdekében.

Egyedi támadások és eszközök

A támadók kihasználják a Windows rendszer integrált API funkcióit a felhasználói jogosultságok kiterjesztésére és azonosítási próbálkozásokra. Nyílt forrású szoftverek, mint a Bloodhound és Sharphound segítik őket a célpontok feltérképezésében. Az adatlopáshoz a WinSCP és a Mega.io szolgál.

Kiemelt támadások

A Bitdefender részletesen tárgyalt egy koordinált támadásról, amely egyszerre két külön vállalatot érintett, amit a CACTUS nevű zsarolóprogram csoport hajtott végre. Ez a támadás kiemelkedő, mivel a célpontok között voltak virtualizációs infrastruktúrák is.

Konklúzió és védekezési stratégiák

A zsarolóprogramok továbbra is jelentős bevételi forrásokat jelentenek a kiberbűnözők számára. A váltságdíj fizetése után az áldozatok gyakran ismételt támadások célpontjává válnak, tovább növelve a pénzügyi terheket.

Forrás: www.thehackernews.com

A Kiberfenyegetések új hulláma: Zsarolóvírusok veszélye a digitális világban

A digitális világ előretörésével párhuzamosan a kiberbűnözők is egyre fejlettebb módszereket alkalmaznak a zsákmányszerzés érdekében, zsarolóvírusok felhasználásával szedve áldozataiktól az adatokért cserébe váltságdíjat. Az elmúlt időszak tendenciái világosan mutatják, hogy ezek a támadók nem csak hogy fenntartják, de fokozzák is tevékenységük agresszivitását, ami kihívás elé állítja a kiberbiztonsági védekezési módszereket.

Az elmúlt években tapasztalható adatok egyöntetűen bizonyítják, hogy a zsarolóvírus támadások gyakorisága, valamint ezek által generált illegális jövedelem meredeken nő. Ez különösen aggasztó jelenség, mivel a kiberbiztonsági közösség által implementált ellenintézkedések egy ideig lassítani látszottak ezt a tendenciát. Ezzel szemben a Chainanalysis friss elemzése feltárja, hogy a támadások intenzitása 2022-ben ismét növekedésnek indult, aminek következtében a zsarolóvírusok által kikényszerített váltságdíjak összege is jelentős mértékben, az előző évi 567 millió dollárról 1,1 milliárd dollárra ugrott, ezzel új csúcsot állítva be.

A zsarolóvírusok alkalmazói nem tesznek különbséget a célpontok között: legyen szó nagyvállalatokról, egészségügyi intézményekről vagy oktatási intézményekről, mindegyikük potenciális áldozat. A Recorded Future és más elemző intézetek által közölt jelentések alapján a kiberbűnözők által használt új zsarolóvírus variánsok száma és ezekkel végrehajtott támadások gyakorisága folyamatosan emelkedik, ami világosan jelez, hogy a jelenlegi kiberbiztonsági védelmi stratégiák nem nyújtanak elegendő védelmet.

A 2022-es ideiglenes csökkenés után, különösen az orosz és ukrán nemzetiségű csoportok esetében, a zsarolóvírus tevékenységek újra intenzívebbé váltak. A geopolitikai helyzetek rövid távú változásai után úgy tűnik, hogy a kiberbűnözők ismét növelik támadásaik számát és erősségét.

Ez az elemzés rávilágít arra a tényre, hogy bár léteznek előrelépések a zsarolóvírusok elleni küzdelemben, a kiberbiztonsági szakembereknek továbbra is számottevő kihívásokkal kell szembenézniük. A változó kiberfenyegetések elleni hatékony fellépéshez átfogó, dinamikusan adaptálódó védelmi megközelítésekre van szükség.

Forrás: www.chainalysis.com

Kriptovaluta bányászat és 9Hits: új kiberfenyegetés a docker rendszerek ellen

Egy új kampány célba veszi a sérülékeny Docker rendszereket, ahol a támadók XMRig kriptovaluta bányász programot és a 9Hits Viewer alkalmazást telepítik, mint egy összetett monetizációs stratégia elemeit.

„A 9Hits alkalmazás kártékony szoftverként történő telepítése először dokumentálódott így,” jelentette ki a Cado, egy felhőbiztonsággal foglalkozó vállalat, kiegészítve, hogy ez a tendencia azt mutatja, az ellenséges szereplők szüntelenül keresik az új módszereket a sérült hosztokból történő pénzszerzésre.

A 9Hits saját magát mint „innovatív webforgalom-megoldást” és „automatizált forgalomcsere-szolgáltatást” mutatja be, ami lehetőséget biztosít a felhasználóknak weboldalaik látogatottságának növelésére kreditvásárlás révén.
Ezt a 9Hits Viewer nevű szoftverrel valósítják meg, amely egy fej nélküli Chrome böngészővel látogatja meg azokat a weboldalakat, amiket a többi felhasználó kér, cserébe krediteket szerezve weboldaluk forgalmának növeléséhez.

A sérülékeny Docker hosztokra elterjedő rosszindulatú szoftver terjesztésének pontos módja egyelőre homályos, azonban valószínűsítik, hogy a Shodanhoz hasonló keresőmotorokat használnak potenciális célpontok felkutatására.

Ezután a támadók behatolnak a szerverekre, hogy két kártékony konténert helyezzenek el a Docker API segítségével, valamint előre elkészített képeket töltessenek le a Docker Hub könyvtárából a 9Hits és az XMRig szoftverek számára.

„Ez egy bevett támadási módszer a Dockerhez kapcsolódó kampányok esetén, amikor nem egyedileg készített képet, hanem általánosan elérhetőt tölt le a Dockerhub-ról, amit aztán a saját céljaikra használnak,” magyarázta Nate Bill, egy biztonsági szakértő.

A 9Hits konténert ezután felhasználják a támadó kreditjeinek generálására: a 9Hits rendszerével történő azonosítás során a munkamenet-tokenjüket használják fel, és kinyerik a meglátogatandó weboldalak listáját.

A támadók úgy állították be a rendszert, hogy felnőtt tartalmú vagy felugró ablakokat tartalmazó oldalakat keressenek fel, azonban tiltották a kriptovalutákkal kapcsolatos weboldalak látogatását.
A másik konténerben egy XMRig bányászprogramot futtatnak, amely egy privát bányászcsoporttal kapcsolódik, így a kampány mérete és nyereségessége meghatározhatatlan marad.

„A támadás elsősorban a megtámadott hosztok erőforrásainak kimerülésével jár, mivel az XMRig bányászprogram minden rendelkezésre álló CPU-kapacitást felhasznál, míg a 9hits jelentős sávszélességet, memóriát és a maradék CPU-kapacitást is igénybe veszi,” mondta Bill.

„Ennek következtében a fertőzött szervereken futó hiteles munkafolyamatok nem tudnak megfelelően működni. Továbbá a kampány frissíthető, hogy távoli shellt hagyjon a rendszeren, ami súlyosabb behatoláshoz vezethet.”

Forrás:https://thehackernews.com

Sandworm kibertámadás a Kyivstar ellen: Az Ukrán kiberbiztonság legfrissebb kihívásai

Az ukrán kibervédelmi szervek nyilvánosságra hozták, hogy a Sandworm néven ismert, orosz állami támogatást élvező kibertámadó csoport már 2023 májusa óta tevékenykedik a Kyivstar távközlési vállalat rendszereiben.

E hírt elsőként a Reuters hozta le.

Az eseményt, melyet „masszív hackertámadásként” írtak körül, először az elmúlt hónapban ismertették, amikor több millió mobil- és internetfelhasználó számára szakadt meg a szolgáltatás. Röviddel az esemény után egy Oroszországhoz kötődő hackercsoport, a Solntsepyok vállalta magára a biztonsági incidens elkövetését.

A Solntsepyokot, mint orosz kibertámadó csoportot ismerik, mely összeköttetésben áll az Orosz Föderáció Fegyveres Erőinek Fő Parancsnokságával (GRU), ami a Sandworm műveleteit is irányítja.

Ez az előrehaladott állandó fenyegetési (APT) szereplő a káros kibertámadások elkövetésével szerzett hírnevet, és Dánia a múlt évben azzal vádolta meg, hogy 22 energetikai vállalatot támadtak meg.

Illia Vitiuk, az Ukrán Biztonsági Szolgálat (SBU) kiberbiztonsági részlegének vezetője elmondta, hogy a Kyivstar elleni támadás gyakorlatilag minden adatot eltüntetett több ezer virtuális szerveren és számítógépen.

Az incidens, Vitiuk szavai szerint, „a telekommunikációs vállalat központjának teljes megsemmisítését eredményezte”.

Forrás: https://thehackernews.com/

A Mustang Panda Kibertámadásai: Feszültségek a Fülöp-szigeteki Kormány és Dél-Kína Között

A Mustang Panda Hackerek: Feszültségek a Fülöp-szigeteki Kormány és a Dél-kínai-tenger Között A Mustang Panda, Kínával kapcsolatba hozható hackercsoport, a Fülöp-szigeteki kormányzati intézményeket támadta meg, kihasználva a Dél-kínai-tengeren zajló területi vitákat. A Palo Alto Networks Unit 42 szerint a csoport 2023 augusztusában három kampányt indított, amelyek elsődlegesen a Dél-Csendes-óceáni régió szervezeteire irányultak.

Ezek a támadások olyan hitelesnek tűnő szoftvereket használtak, mint a Solid PDF Creator és a SmadavProtect (egy indonéz antivírus megoldás), hogy rosszindulatú fájlokat töltsenek fel a célpontok rendszereibe. A csoport rafináltan manipulálta ezeket a szoftvereket, hogy Microsoft forgalmat imitáljanak, ezzel biztosítva a parancs-és-vezérlés (C2) kapcsolatokat.

A Mustang Pandát több néven is ismerik, köztük Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven, és mint egy kínai fejlett állandó fenyegetést (APT) jelentő csoportot azonosítják, amely 2012 óta aktív kiberspionázs kampányokat folytat a világ számos pontján.

2023 szeptemberében a Unit 42 a csoportot egy délkelet-ázsiai kormány elleni támadásokkal is összefüggésbe hozta, amelyek a TONESHELL hátsó ajtó egy változatának terjesztésével kapcsolatosak voltak.

A csoport legutóbbi támadásai dárda-phishing e-mailekkel kezdődtek, amelyek rosszindulatú ZIP archívumokat szállítottak, tartalmazva egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL). A támadás célja egy távoli szerverrel való kapcsolatfelvétel volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között.

A Mustang Panda hírhedt a SmadavProtect program használatáról, amelyet a biztonsági megoldások kijátszására fejlesztettek ki. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.

Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.

„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”