Witamy w cotygodniowym wydaniu Nomios Weekly CyberWednesday!W tym tygodniu zagłębiamy się w najbardziej palące wydarzenia związane z cyberbezpieczeństwem, które mają wpływ na przedsiębiorstwa w całej Europie i poza nią.Od chińskich kampanii cyberszpiegowskich wymierzonych w telekomunikację i rosyjskiego złośliwego oprogramowania infiltrującego krytyczne sektory po północnokoreańskich hakerów wykorzystujących sztuczną inteligencję do zaawansowanych oszustw - te historie podkreślają ewoluującą taktykę globalnych podmiotów stanowiących zagrożenie.Bądź na bieżąco z najnowszymi spostrzeżeniami, aby chronić swoją organizację przed pojawiającymi się zagrożeniami w stale zmieniającym się cyfrowym krajobrazie.
1. Rosyjscy hakerzy wdrażają złośliwe oprogramowanie HATVIBE i CHERRYSPY
Rosyjska grupa cyberszpiegowska TAG-110, powiązana z APT28, zintensyfikowała swoje działania w Europie i Azji przy użyciu niestandardowych narzędzi złośliwego oprogramowania - HATVIBE i CHERRYSPY. Kampania jest wymierzona w agencje rządowe, grupy praw człowieka i instytucje edukacyjne, koncentrując się głównie na Azji Środkowej, ale docierając również do części Europy.
HATVIBE służy jako program ładujący do wdrażania CHERRYSPY, opartego na Pythonie backdoora używanego do eksfiltracji danych i szpiegostwa. Grupa wykorzystała luki w zabezpieczeniach aplikacji publicznych i wykorzystała wiadomości phishingowe do infiltracji systemów. Od 2021 roku zidentyfikowano ponad 60 ofiar, w tym podmioty na Węgrzech i w Grecji, a także w krajach postsowieckich, takich jak Kazachstan i Uzbekistan.
Recorded Future zauważyło, że wysiłki te są zgodne z rosyjską strategią wojny hybrydowej, mającą na celu destabilizację sojuszników NATO i utrzymanie wpływów w krajach postsowieckich. Wykorzystując niestabilność regionalną i niestandardowe złośliwe oprogramowanie, grupa podkreśla rosnące wyrafinowanie cyberszpiegostwa. (Źródło: The Hacker News)
2. Hakerzy wspierani przez Chiny wykorzystują protokoły SIGTRAN i GSM do infiltracji sieci telekomunikacyjnych
Powiązana z Chinami grupa szpiegowska Liminal Panda została przypisana do serii wyrafinowanych ataków wymierzonych w dostawców usług telekomunikacyjnych w Azji Południowej, Afryce i Europie. Grupa wykorzystuje narzędzia takie jak SIGTRANslator, CordScan i PingPong do infiltracji infrastruktury telekomunikacyjnej, umożliwiając eksfiltrację informacji o abonentach sieci komórkowych, metadanych połączeń i wiadomości SMS.
Ataki te często rozpoczynają się od wykorzystania zewnętrznych serwerów DNS i słabych haseł w celu zdobycia punktu zaczepienia. Po wejściu do środka grupa używa narzędzi takich jak TinyShell i emulator SGSN do tunelowania ruchu przez sieci telekomunikacyjne. Wiedza Liminal Panda na temat protokołów i infrastruktury telekomunikacyjnej pozwala jej infiltrować wielu dostawców i przemieszczać się w poprzek połączonych systemów.
Kampania podkreśla podatność dostawców usług telekomunikacyjnych na cyberzagrożenia sponsorowane przez państwo, podkreślając potrzebę silniejszej ochrony w sektorach infrastruktury krytycznej. (Źródło: The Hacker News)
3. Północnokoreańscy hakerzy kradną 10 milionów dolarów za pomocą oszustw opartych na sztucznej inteligencji na LinkedIn
Północnokoreańska grupa Sapphire Sleet, pokrywająca się z APT38 i BlueNoroff, zaaranżowała kampanie socjotechniczne na LinkedIn w celu kradzieży kryptowaluty. Grupa tworzy fałszywe profile rekruterów, udając przedstawicieli firm takich jak Goldman Sachs, aby zwabić ofiary do pobrania złośliwego oprogramowania podszywającego się pod ocenę umiejętności.
Po zainstalowaniu złośliwe oprogramowanie umożliwia atakującym dostęp do danych uwierzytelniających ofiar i portfeli kryptowalut. Grupa wykorzystuje również narzędzia sztucznej inteligencji, takie jak Faceswap, do tworzenia przekonujących profili zawodowych, zwiększając wiarygodność swoich oszustw.
Microsoft poinformował, że wysiłki te są częścią szerszej strategii Korei Północnej mającej na celu generowanie przychodów w obliczu sankcji. Grupa rozmieściła również pracowników IT za granicą, aby zabezpieczyć legalne miejsca pracy podczas prowadzenia cyberkradzieży i szpiegostwa. (Źródło: The Hacker News)
4. CISA ostrzega przed aktywnie wykorzystywanymi lukami w zabezpieczeniach VMware vCenter
Agencja ds. bezpieczeństwa cybernetycznego i infrastruktury (CISA) wydała pilne zalecenie dotyczące dwóch krytycznych luk w oprogramowaniu vCenter Server firmy VMware: CVE-2024-38812 i CVE-2024-38813.
CVE-2024-38812 to oparte na stercie przepełnienie bufora w protokole DCERPC, pozwalające atakującym na zdalne wykonanie kodu. CVE-2024-38813, błąd eskalacji uprawnień, pozwala atakującym uzyskać dostęp roota do systemów. Luki te zostały wykorzystane do złamania zabezpieczeń środowisk zwirtualizowanych, które są podstawą infrastruktury przedsiębiorstw.
Firma VMware opublikowała poprawki i zdecydowanie zaleca organizacjom wdrożenie ich do 11 grudnia 2024 r., aby uniknąć potencjalnie katastrofalnych naruszeń. (Źródło: Cyber Security News)
5. Oracle łata wykorzystaną lukę w zabezpieczeniach Agile PLM
Firma Oracle załatała lukę typu zero-day o wysokim stopniu szkodliwości (CVE-2024-21287) w oprogramowaniu Agile Product Lifecycle Management (PLM). Dziura, wykorzystywana na wolności, umożliwiała nieuwierzytelnionym atakującym dostęp do krytycznych plików z uprawnieniami aplikacji.
Agile PLM, wykorzystywany do zarządzania danymi i procesami produktowymi, pozostaje szeroko wdrażany pomimo planów Oracle dotyczących jego wycofania do 2027 roku. Exploit podkreśla ryzyko związane z niezaktualizowanymi starszymi systemami w przedsiębiorstwach. Oracle wezwał wszystkich użytkowników do natychmiastowego zastosowania aktualizacji w celu ograniczenia naruszeń danych i ochrony poufnych informacji. (Źródło: SecurityWeek)
6. Rozszerzenie roli ENISA w ramach unijnego przeglądu ustawy o cyberbezpieczeństwie
Komisja Europejska została wezwana do wzmocnienia mandatu ENISA w obliczu rosnących zagrożeń cybernetycznych i nowych przepisów UE, takich jak NIS 2 i ustawa o odporności cybernetycznej. Rządy krajowe opowiadają się za zwiększeniem finansowania, personelu i zasobów technicznych dla unijnej agencji ds. cyberbezpieczeństwa, aby lepiej sprostać jej rosnącym obowiązkom.
ENISA, zatrudniająca obecnie nieco ponad 100 pracowników, odgrywa kluczową rolę we wspieraniu państw członkowskich i certyfikowaniu produktów ICT. Trwający przegląd unijnego aktu o cyberbezpieczeństwie stanowi okazję do ponownego zdefiniowania celów agencji i wyeliminowania luk w jej zdolnościach operacyjnych. (Zródło: Euronews)
7. Apple łata exploity zero-day w macOS i iOS
Apple wydało awaryjne aktualizacje dla systemów macOS i iOS w celu wyeliminowania dwóch luk typu zero-day: CVE-2024-44308 i CVE-2024-44309. Odkryte przez Google's Threat Analysis Group, luki te zostały wykorzystane na wolności do wykonania dowolnego kodu i przeprowadzenia ataków cross-site scripting na systemy macOS oparte na procesorach Intel.
Aktualizacje - macOS Sequoia 15.1.1 i iOS 18.1.1- mają krytyczne znaczenie dla zabezpieczenia urządzeń Apple, zwłaszcza że atakujący nadal atakują te platformy w głośnych kampaniach. (Źródło: SecurityWeek)
8. Rosyjski atak Wi-Fi typu "Nearest Neighbour Attack" ujawnia nowe zagrożenia szpiegowskie
APT28 (Fancy Bear) wykorzystał innowacyjny „atak najbliższego sąsiada”, infiltrując sieci poprzez naruszanie pobliskich połączeń Wi-Fi. Włamując się do systemów w budynku znajdującym się naprzeciwko ich celu, ominęli uwierzytelnianie wieloskładnikowe (MFA) i uzyskali dostęp do poufnych danych. Taktyka ta podkreśla potrzebę zaawansowanego szyfrowania Wi-Fi i bezpiecznej segmentacji sieci w celu ograniczenia takiego ryzyka. (Źródło: SecurityWeek)
9. Bezpieczeństwo na żądanie: Zapewnienie bezpieczeństwa łańcucha dostaw oprogramowania
Wzrost liczby ataków w łańcuchu dostaw oprogramowania, takich jak NotPetya i SolarWinds, podkreśla potrzebę wykraczania przez przedsiębiorstwa poza tradycyjne środki bezpieczeństwa. Inicjatywa CISA „Secure by Demand” wzywa organizacje do żądania od dostawców bardziej rygorystycznych gwarancji bezpieczeństwa i niezależnej weryfikacji integralności oprogramowania.
Podczas gdy narzędzia takie jak kwestionariusze bezpieczeństwa i Software Bills of Materials (SBOM) zapewniają przejrzystość, nie są one w stanie wykryć ukrytych zagrożeń, takich jak zagrożone strumienie kompilacji lub złośliwy kod. Przedsiębiorstwa muszą przyjąć proaktywne środki, takie jak niezależna walidacja oprogramowania i ciągła analiza ryzyka, aby zabezpieczyć krytyczne aplikacje przed lukami w zabezpieczeniach, złośliwym oprogramowaniem i manipulacjami. (Źródło: Dark Reading)
10. Microsoft ujawnia usługę phishingową ONNX, przejmuje 240 domen
Microsoft zlikwidował operację phishingową ONNX, przejmując 240 złośliwych domen i ujawniając jej egipskiego operatora, Abanouba Nady'ego. ONNX oferował zestawy phishingowe umożliwiające atakującym ominięcie MFA i kradzież danych uwierzytelniających. Działania Microsoftu podkreślają potrzebę wdrożenia przez przedsiębiorstwa wielowarstwowej ochrony, w tym zaawansowanych zabezpieczeń poczty e-mail i wykrywania phishingu w czasie rzeczywistym. (Źródło: Dark Reading)
Bądź na bieżąco z najnowszymi osiągnięciami w dziedzinie cyberbezpieczeństwa, śledząc te historie i upewnij się, że protokoły bezpieczeństwa Twojej organizacji są aktualne.