Witamy w pierwszej edycji Nomios Weekly CyberWednesday, w której przedstawiamy najważniejsze aktualizacje dotyczące cyberbezpieczeństwa i sieci z całego świata. W tym tygodniu analizujemy poważne incydenty, nowe luki w zabezpieczeniach i ewoluujące zagrożenia, które mogą mieć wpływ na specjalistów IT i duże przedsiębiorstwa w całej Europie.
1. Microsoft zmniejsza powierzchnię ataku w chmurze dzięki inicjatywie Secure Future
Microsoft podjął zdecydowane kroki w celu poprawy bezpieczeństwa swojej chmury, usuwając 730 000 nieużywanych aplikacji i dezaktywując 5,75 miliona nieaktywnych dzierżawców. Działania te są częścią inicjatywy firmy Secure Future Initiative (SFI), uruchomionej w listopadzie 2023 r. po głośnych naruszeniach ze strony chińskich i rosyjskich podmiotów stanowiących zagrożenie. W szczególności infrastruktura chmurowa Microsoftu została zinfiltrowana przez Storm-0558, umożliwiając dostęp do kont e-mail wyższych urzędników państwowych, co wywołało poważne obawy dotyczące bezpieczeństwa. Microsoft wzmocnił również zarządzanie tożsamością dzięki aktualizacjom Entra ID, wdrożył weryfikację tożsamości opartą na wideo dla 95% swoich pracowników produkcyjnych i wdrożył 15 000 wzmocnionych urządzeń dla zespołów produkcyjnych. Te szeroko zakrojone zmiany podkreślają zaangażowanie firmy Microsoft w zmniejszanie powierzchni ataków i ochronę wrażliwych środowisk chmurowych. Źródło: Dark Reading
2. MoneyGram doświadcza przerwy w usłudze po cyberataku
Gigant przekazów pieniężnych MoneyGram zmaga się z cyberatakiem, który rozpoczął się 22 września 2024 r. i spowodował znaczne przerwy w świadczeniu usług. Firma proaktywnie wyłączyła swoje systemy, aby powstrzymać incydent, co spowodowało ciągłe zakłócenia w świadczeniu usług i uniemożliwiło dostęp do strony internetowej MoneyGram przez trzy dni. Chociaż żadne szczegóły nie zostały potwierdzone, spekulacje dotyczą możliwego zaangażowania oprogramowania ransomware, chociaż żadna grupa nie przyznała się do odpowiedzialności. Atak podkreśla trwający trend, zgodnie z którym instytucje finansowe są częstym celem ataków ransomware, a takie incydenty będą kosztować sektor setki milionów dolarów na całym świecie w 2024 roku. Źródło: SecurityWeek
3. Departament Handlu USA proponuje wprowadzenie zakazu na oprogramowanie i sprzęt motoryzacyjny z Chin i Rosji
Amerykański Departament Handlu zaproponował wprowadzenie zakazu na oprogramowanie i sprzęt z Chin i Rosji wykorzystywany w pojazdach podłączonych do sieci, powołując się na obawy związane z bezpieczeństwem narodowym. Posunięcie to ma na celu zapobieganie nieautoryzowanemu nadzorowi i zdalnemu sterowaniu pojazdami na amerykańskich drogach. Zakaz dotyczyłby prawie wszystkich pojazdów wyprodukowanych w Chinach, a także zabraniałby testowania samojezdnych samochodów przez zagranicznych konkurentów. Propozycja zawiera przepisy umożliwiające zagranicznym producentom samochodów ubieganie się o specjalne wyłączenia, a zakaz ma być wprowadzany stopniowo z ograniczeniami oprogramowania począwszy od roku modelowego 2027 i ograniczeniami sprzętowymi do roku modelowego 2030. Opinia publiczna ma 30 dni na zgłoszenie uwag przed sfinalizowaniem propozycji. Źródło: Dark Reading
4. Kaspersky opuszcza USA, automatycznie migruje użytkowników do UltraAV, budząc obawy
Ze względu na obawy związane z bezpieczeństwem narodowym, Kaspersky rozpoczął wycofywanie się z rynku amerykańskiego, automatycznie przenosząc swoich użytkowników do amerykańskiej usługi antywirusowej UltraAV. Rosyjska firma, która stanęła w obliczu zakazu obowiązującego od 29 września 2024 r., ułatwiła przejście od 19 września, aby uniknąć jakiejkolwiek luki w zakresie bezpieczeństwa. Jednak niektórzy użytkownicy wyrazili obawy dotyczące nagłej zmiany oprogramowania, twierdząc, że nie zostali odpowiednio poinformowani, mimo że Kaspersky stwierdził, że wysłał komunikaty od 5 września. UltraAV, należący do Pango Group, oferuje ochronę antywirusową wraz z zabezpieczeniami przed kradzieżą tożsamości, w tym alerty o oszustwach w czasie rzeczywistym i ubezpieczenie kradzieży tożsamości o wartości 1 miliona dolarów. Źródło:The Hacker News
5. Kampania phishingowa z użyciem Windows PowerShell atakuje użytkowników GitHub, rozsyłając złośliwe oprogramowanie
Kampania phishingowa atakuje użytkowników GitHub, wysyłając fałszywe alerty bezpieczeństwa, które nakłaniają ich do uruchomienia złośliwego oprogramowania wykradającego hasła za pośrednictwem Windows PowerShell. Atak podszywa się pod test CAPTCHA, który zachęca ofiary do wykonania trzyetapowego procesu, który skutkuje wykonaniem złośliwego skryptu PowerShell. Złośliwe oprogramowanie o nazwie Lumma Stealer ma na celu kradzież danych uwierzytelniających z komputera ofiary. Chociaż programiści mogą zdawać sobie sprawę z zagrożeń, metoda ta może być bardzo skuteczna przeciwko mniej obeznanym z technologią użytkownikom. Incydent ten podkreśla potrzebę edukacji użytkowników w zakresie zagrożeń bezpieczeństwa, zwłaszcza w odniesieniu do phishingu i korzystania z narzędzi automatyzacji, takich jak PowerShell. Pomimo ryzyka, Microsoft odradza wyłączanie PowerShell, ponieważ może to zakłócić podstawowe procesy systemowe. Źródło:Krebs on Security
6. Mandiant ujawnia oszustwo Korei Północnej z fałszywymi pracownikami IT, które celuje w zachodnie firmy
Mandiant odkrył północnokoreański schemat, w ramach którego fałszywi pracownicy IT infiltrują zachodnie firmy, wykorzystując skradzione tożsamości i fałszywe CV. Pracownicy ci, wspierani przez pośredników, generowali miliony nielegalnych dochodów dla północnokoreańskiego reżimu, pomagając w finansowaniu jego programów nuklearnych i rakietowych. W operacji tej, oznaczonej jako UNC5267, brały udział osoby z Chin i Rosji, podszywające się pod zdalnych pracowników IT. Pracownicy ci często uzyskują podwyższony dostęp do systemów firmowych, stwarzając długoterminowe zagrożenia dla cyberbezpieczeństwa.
Schemat wykorzystuje wyrafinowane taktyki unikania, takie jak wykorzystanie zdjęć profilowych generowanych przez sztuczną inteligencję, sfabrykowane CV, farmy laptopów i narzędzia do zdalnego zarządzania, takie jak GoToRemote, AnyDesk i TeamViewer, aby uzyskać dostęp do urządzeń firmowych. W jednym przypadku KnowBe4 wykrył północnokoreańskiego agenta próbującego umieścić złośliwe oprogramowanie na firmowej stacji roboczej. Mandiant zaleca, aby organizacje przeprowadzały bardziej rygorystyczne kontrole przeszłości, w tym weryfikację biometryczną i rozmowy kwalifikacyjne przed kamerą, aby wykryć potencjalne sygnały ostrzegawcze w procesie rekrutacji. Źródło:SecurityWeek
7. Critical Vulnerability Found in Microchip’s Advanced Software Framework (ASF)
CERT/CC wydał komunikat ostrzegający przed poważną luką (CVE-2024-7490) w oprogramowaniu Advanced Software Framework (ASF) firmy Microchip, która może umożliwić zdalne wykonanie kodu na urządzeniach IoT. Odkryta przez Andrue Coombes z Amazon Element55 luka wynika z błędów walidacji danych wejściowych w implementacji serwera Tinydhcp. Luka ta dotyczy wszystkich wersji ASF do wersji 3.52.0.2574 i może zostać wywołana poprzez wysłanie specjalnie spreparowanego pakietu DHCP Request na adres multicast. Ponieważ ASF jest szeroko stosowany w rozwiązaniach IoT, luka może mieć znaczące konsekwencje dla systemów przemysłowych i wbudowanych.
Microchip wezwał użytkowników do migracji na nowsze oprogramowanie, ponieważ wersja, której dotyczy błąd, nie jest już obsługiwana. CERT/CC zauważa, że nie jest dostępna żadna praktyczna poprawka i zaleca się zastąpienie usługi Tinydhcp. Źródło:SecurityWeek8. Chiński APT „Earth Baxia” atakuje organizacje z regionu APAC
Chińska grupa APT Earth Baxia atakuje agencje rządowe i infrastrukturę krytyczną na Tajwanie, w Japonii, na Filipinach i w Korei Południowej. Grupa ta stosuje głównie spear-phishing i wykorzystuje lukę w platformie open-source GeoServer (CVE-2024-36401), aby skompromitować swoje cele. Earth Baxia wykorzystuje publiczne usługi w chmurze do hostowania złośliwych plików i wykorzystuje zaawansowane techniki, takie jak wstrzykiwanie GrimResource i AppDomainManager w celu dalszej infiltracji systemów. Grupa wdrożyła niestandardowe backdoory, takie jak EagleDoor i pirackie wersje narzędzia Cobalt Strike, co utrudnia konkretne przypisanie ataków. Wysiłki te są częścią szerszych chińskich działań szpiegowskich w regionie Azji i Pacyfiku, a ataki koncentrują się na rządach, telekomunikacji i sektorach energetycznych. Źródło:Dark Reading
9. Trojan Necro infekuje popularne aplikacje Google Play
Dwie aplikacje na Androida z ponad 11 milionami pobrań, w tym popularna Wuta Camera, zostały niedawno zainfekowane trojanem Necro i od tego czasu zostały usunięte ze Sklepu Google Play. Wykryte przez Kaspersky'ego złośliwe oprogramowanie pozwala atakującym na wykonywanie różnych złośliwych działań, takich jak pobieranie dodatkowych ładunków, wyświetlanie niewidocznych reklam, subskrybowanie użytkowników do płatnych usług i używanie zainfekowanych urządzeń jako serwerów proxy. Trojan zaatakował dziesiątki tysięcy użytkowników na całym świecie, zwłaszcza w Rosji, Brazylii, Wietnamie, Ekwadorze i Meksyku. Incydent ten podkreśla utrzymujące się ryzyko związane ze złośliwym oprogramowaniem, nawet w oficjalnych sklepach z aplikacjami, oraz potrzebę stosowania silniejszych środków bezpieczeństwa mobilnego. Źródło:SecurityWeek
10. Vice Society przechodzi na Inc ransomware w atakach na opiekę zdrowotną
Vice Society, rosyjskojęzyczna grupa ransomware śledzona przez Microsoft, zmieniła taktykę, aby wykorzystać oprogramowanie ransomware Inc w swoich atakach na sektor opieki zdrowotnej. Aktywna od lipca 2022 r. grupa Vice Society wykorzystywała wcześniej różne odmiany oprogramowania ransomware, ale obecnie wykorzystuje oprogramowanie ransomware Inc, które zyskuje na znaczeniu w ekosystemie ransomware-as-a-service (RaaS). Opieka zdrowotna pozostaje głównym celem ze względu na przestarzałą technologię i wysoką wartość wrażliwych danych pacjentów, co czyni ją szczególnie podatną na taktyki podwójnego wymuszenia. Ostatnie kampanie obejmowały wykorzystanie backdoora Gootloader do uzyskania początkowego dostępu, a następnie narzędzi takich jak AnyDesk i synchronizacja danych MEGA w celu skutecznego wdrożenia ransomware Inc.
Inc ransomware jest znany ze swojego ustrukturyzowanego stylu negocjacji, który minimalizuje zagrożenia i utrzymuje kontrolę nad procesami okupu, odróżniając go od innych aktorów ransomware. Mimo że niektóre organizacje są w stanie odzyskać dane bez płacenia okupu, groźba wycieku poufnych danych często zmusza ofiary do negocjacji. Ta metodologia podwójnego wymuszenia nadal sprawia, że grupy takie jak Vice Society i Inc ransomware są znaczącymi graczami w głównych cyberatakach. Źródło:Dark ReadingPotrzebujesz konsultacji eksperta?
Zapraszamy na krótką rozmowę lub wideokonferencję. Skontaktuj się z nami – porozmawiamy o wyzwaniach związanych z bezpieczeństwem, którym stawiasz czoła, przyjrzymy się bliżej dostawcom, omówimy też Twoje projekty IT. Jesteśmy po to, aby Ci pomóc.