Witamy w cotygodniowym wydaniu Nomios Weekly CyberWednesday! Jak zawsze, przedstawiamy kompleksowe, ale zwięzłe spojrzenie na najważniejsze wydarzenia związane z cyberbezpieczeństwem i siecią na całym świecie. W tym tygodniu zajmujemy się pilnymi aktualizacjami, od aktywnie wykorzystywanych luk zero-day w systemie Android i skoordynowanych ataków na zapory sieciowe wspieranych przez chińskie państwo, po współpracę Korei Północnej w zakresie oprogramowania ransomware i wyrafinowaną kampanię phishingową podszywającą się pod OpenAI. Naszym celem jest informowanie i przygotowywanie specjalistów IT i przedsiębiorstw w stale ewoluującym świecie cyfrowych zagrożeń, pomagając wyprzedzać potencjalne zagrożenia i pojawiające się wyzwania
1. Luki w zabezpieczeniach Androida typu zero-day wykorzystane, potrzebna pilna poprawka
Dwie krytyczne luki typu zero-day, CVE-2024-43047 i CVE-2024-43093, zostały odkryte w chipsetach Qualcomm używanych w milionach urządzeń z Androidem. Luki te są aktywnie wykorzystywane, umożliwiając atakującym wykonanie dowolnego kodu i eskalację uprawnień. Dziury dotyczą kilku popularnych modeli urządzeń z Androidem takich producentów jak Samsung, OnePlus, Oppo i Xiaomi. Qualcomm i Google wydały łatki, a eksperci wzywają użytkowników do natychmiastowej aktualizacji swoich urządzeń, aby uniknąć poważnych zagrożeń bezpieczeństwa. Terminowe działanie ma kluczowe znaczenie dla złagodzenia zagrożenia, ponieważ atakujący coraz częściej atakują mobilne punkty końcowe. (Źródło: Cybersecuritynews)
2. NCSC, Sophos i FBI ujawniają wyrafinowane chińskie ataki
Skoordynowany wysiłek NCSC, Sophos i FBI ujawnił serię wyrafinowanych ataków hakerów wspieranych przez chińskie państwo, których celem były zapory sieciowe Sophos XG i FortiGate. Wykorzystując zaawansowane exploity zero-day, ci aktorzy zagrożeń przeprowadzali ataki przez kilka lat. Sophos podzielił się szczegółami na temat swojej długotrwałej walki, w tym wdrażania środków zaradczych w celu śledzenia i łagodzenia zagrożeń. FBI poszukuje teraz pomocy publicznej w celu zidentyfikowania tych napastników, podkreślając powagę i uporczywość tych zagrożeń dla infrastruktury krytycznej. (Źródło: SecurityWeek)
3. Microsoft ostrzega przed chińskim botnetem atakującym routery
Microsoft ogłosił alarm w sprawie sponsorowanego przez chińskie państwo botnetu CovertNetwork-1658, który jest koordynowany przez aktora Storm-0940. Botnet ten wykorzystuje rozpylanie haseł i ataki siłowe w celu kradzieży danych uwierzytelniających, atakując luki w routerach domowych i korporacyjnych, w tym popularnych marek, takich jak TP-Link, D-Link i NETGEAR. Infrastruktura botnetu wykorzystuje luki w routerach do wykonywania nieuczciwych operacji, a atakujący dążą do złamania zabezpieczeń kont Microsoft 365. Sytuacja ta podkreśla znaczenie zabezpieczania urządzeń brzegowych sieci w celu zapobiegania kradzieży danych uwierzytelniających i ruchów bocznych. (Źródło: The Hacker News)
4. Masowe naruszenie konfiguracji Git ujawnia 15 000 danych uwierzytelniających
Badacze odkryli naruszenie na dużą skalę, nazwane EMERALDWHALE, polegające na kradzieży ponad 15 000 danych uwierzytelniających z odsłoniętych konfiguracji Git. Atakujący wykorzystali narzędzia skanujące, takie jak MASSCAN, do znalezienia błędnie skonfigurowanych repozytoriów Git, sklonowania 10 000 prywatnych repozytoriów i wyodrębnienia poufnych informacji, w tym danych uwierzytelniających usługi w chmurze. Kampania była również ukierunkowana na pliki środowiska Laravel, co prowadziło do znacznego ryzyka ujawnienia danych uwierzytelniających. Naruszenie to zwróciło uwagę na znaczenie właściwego zarządzania tajnymi danymi i zabezpieczania środowisk programistycznych przed atakami opartymi na konfiguracji. (Źródło: The Hacker News)
5. Firmy na celowniku szeroko zakrojonego phishingu z użyciem ChatGPT
Barracuda Networks zidentyfikowała zaawansowaną kampanię phishingową podszywającą się pod OpenAI. Atak polega na wysyłaniu fałszywych e-maili, informujących o problemach z płatnością za subskrypcję ChatGPT i skłaniających do kliknięcia złośliwego linku w celu "aktualizacji" danych płatniczych. Wiadomości te omijają standardowe zabezpieczenia, takie jak DKIM i SPF, i są skierowane do firm na całym świecie. Linki przenoszą użytkowników na fałszywą stronę logowania OpenAI, aby wyłudzić dane logowania. (Źródło: SecurityWeek)
6. Północnokoreańska grupa współpracuje z ransomware Play
Grupa APT z Korei Północnej o nazwie Jumpy Pisces (znana także jako Andariel) rozpoczęła współpracę z grupą ransomware Play, co jest pierwszym udokumentowanym przypadkiem współdziałania państwowej organizacji z przestępczym ugrupowaniem ransomware. Atakujący uzyskali dostęp do systemów dzięki przejętym danym uwierzytelniającym, po czym wdrożyli ransomware, uprzednio dezaktywując zabezpieczenia. Ten przypadek wskazuje na nową strategię, gdzie państwowi aktorzy wykorzystują ransomware do pozyskiwania funduszy, co dodatkowo komplikuje sytuację globalnego cyberbezpieczeństwa. (Źródło: The Hacker News)
7. Hakowanie za pomocą AI przy użyciu WhiteRabbitNeo
WhiteRabbitNeo, nowe ofensywne narzędzie bezpieczeństwa oparte na sztucznej inteligencji, zmienia krajobraz wykrywania luk w zabezpieczeniach i testów penetracyjnych. Narzędzie AI symuluje rzeczywiste taktyki przeciwników z dużą szybkością i wydajnością, automatyzując wykrywanie i wykorzystywanie słabych punktów. Nieocenzurowany charakter narzędzia budzi jednak obawy natury etycznej, ponieważ może ono zostać niewłaściwie wykorzystane przez złośliwe podmioty. Pomimo ryzyka, eksperci ds. cyberbezpieczeństwa widzą potencjał WhiteRabbitNeo we wzmacnianiu obrony poprzez usprawnianie operacji czerwonego zespołu i automatyzację środków zaradczych. Twórcy narzędzia podkreślają jego odpowiedzialne użytkowanie, porównując je do frameworków open-source, takich jak Metasploit. (Źródło: SecurityWeek)
8. OWASP ulepsza wytyczne dotyczące bezpieczeństwa GenAI w obliczu wzrostu Deepfake
Organizacja Open Worldwide Application Security Project (OWASP) opublikowała zaktualizowane wytyczne, które mają pomóc organizacjom w zwalczaniu zagrożeń opartych na sztucznej inteligencji, w tym oszustw typu deepfake. Nowe ramy obejmują praktyczne kroki dla zespołów bezpieczeństwa, takie jak tworzenie centrów doskonałości w zakresie bezpieczeństwa AI i planów reagowania na incydenty. OWASP ostrzega, że technologia deepfake szybko się rozwija, co sprawia, że firmy muszą wdrażać proaktywne środki. Wytyczne obejmują również listy kontrolne zarządzania i podkreślają znaczenie infrastruktury do uwierzytelniania interakcji międzyludzkich. Wzywa się firmy do priorytetowego traktowania tych strategii, ponieważ zagrożenia związane ze sztuczną inteligencją nadal ewoluują. (Źródło: DarkReading)
9. Nowa wersja spyware LightSpy atakuje iPhone'y
Wykryto nowy wariant oprogramowania szpiegującego LightSpy, którego celem są iPhone'y ze zwiększonymi możliwościami inwigilacji. Oprogramowanie szpiegujące zawiera 28 nowych wtyczek, umożliwiając mu eksfiltrację poufnych danych, w tym lokalizacji, historii przeglądarki i danych aplikacji z platform takich jak WeChat i WhatsApp. Co niepokojące, może również wyłączyć funkcjonalność urządzenia, uniemożliwiając uruchomienie iPhone'ów. Oprogramowanie szpiegujące wykorzystuje znane luki w systemie iOS, a jego destrukcyjne funkcje oznaczają znaczną eskalację taktyk nadzoru mobilnego. Badacze bezpieczeństwa podkreślają znaczenie aktualizacji urządzeń z systemem iOS i monitorowania pod kątem oznak infekcji. (Źródło: The Hacker News)
10. Nokia bada domniemane naruszenie danych przez IntelBroker
Nokia prowadzi obecnie dochodzenie w sprawie kradzieży poufnych danych, w tym kodu źródłowego i wewnętrznych danych uwierzytelniających, które są sprzedawane przez hakera znanego jako IntelBroker. Domniemane naruszenie pochodzi od zewnętrznego wykonawcy, potencjalnie ujawniając kluczowe informacje związane z projektami infrastruktury telekomunikacyjnej Nokii. Chociaż firma nie potwierdziła zakresu naruszenia, konsekwencje są poważne, ponieważ dane te mogą zostać wykorzystane do naruszenia bezpieczeństwa sieci. Nokia podkreśliła swoje zaangażowanie w dokładne zbadanie sytuacji. (Źródło: Cybersecuritynews)
Bądź na bieżąco z najnowszymi osiągnięciami w dziedzinie cyberbezpieczeństwa, śledząc te historie i upewnij się, że protokoły bezpieczeństwa Twojej organizacji są aktualne.
Chcesz dowiedzieć się więcej na ten temat?
Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.