Tygodniowy przegląd najciekawszych newsów dotyczących cyberbezpieczeństwa - 20 listopada 2022 roku
Celem kampanii Billbug APT jest najprawdopodobniej szpiegostwo, kradzież danych oraz kradzież legalnych certyfikatów cyfrowych.
Newsy zostały podzielone na następujące kategorie:
Phishing - tutaj można znaleźć informacje o najciekawszych kampaniach phishingowych jakie ostatnio pojawiły się w Polsce i na świecie.
Złośliwe oprogramowanie - w tym dziale zostały opisane interesujące przypadki ataków malware.
Wyciek danych - tutaj można przeczytać o najgłośniejszych aferach z wyciekiem danych. Przyglądam się przede wszystkim dużym firmom, by wiedzieć jakie błędy zostały przez nie popełnione.
Podatności - ta kategoria dotyczy przeglądu najświeższych informacji o błędach w aplikacjach i systemach, które są w użyciu w dużych korporacjach lub mogą mieć bezpośredni wpływ na zwykłego użytkownika.
Ciekawostki - tutaj można znaleźć wszystkie newsy, które nie pasują do innych kategorii, a których tematyka jest na tyle interesująca, że warto się z nimi zapoznać.
Złote rady Scoffera - zabawne myśli i praktyczne porady dotyczące cyberbezpieczeństwa.
Phishing
Phishingowy Mundial czyli socjotechnika w grze
Cyberprzestępcy nie śpią, zwłaszcza gdy już za chwilę rozpoczną się Mistrzostwa Świata FIFA 2022 w Katarze. To idealna okazja, by wykorzystać umiejętności socjotechniczne i oszukać naiwnych fanów sportu. Oszuści już zacierają ręce licząc na łatwy "zarobek". Oto kilka przykładów phishingu mundialowego:
Loterie — oszuści internetowi wmawiają swoim ofiarom, że wygrały na loterii bilet, pakiet gościnny na mecz na żywo lub nagrodę pieniężną. Aby odebrać nagrodę wystarczy podać swoje dane osobowe i wypełnić krótki formularz. Następnie ofiara zostaje poinformowana o konieczności zapłaty niewielkiego podatku bądź prowizji. W niektórych wersjach jest widoczny przycisk "Kliknij tutaj", którego aktywacja skutkuje pobraniem złośliwego oprogramowania.
Fałszywe witryny — witryny naśladujące prawdziwe adresy URL Mistrzostw Świata. Na niektórych można dokonać „zakupu biletu”, jednak najpierw trzeba oczywiście podać swoje dane osobowe.
Scamy dotyczące biletów — wiadomości od osób, które oferują odsprzedaż biletów. Bot czy nie bot, ale nieautoryzowana odsprzedaż biletów jest zabroniona, a kary mogą być wyjątkowo dotkliwe.
Źródło: https://kapitanhack.pl/2022/11/15/nieskategoryzowane/jaki-phishing-stosuja-hakerzy-przy-zblizajacym-sie-mundialu
Złośliwe oprogramowanie
Polimorficzne złośliwe oprogramowanie WASP atakuje programistów Pythona
Setki udanych infekcji przy pomocy niewykrywalnego trojana WASP i jego złośliwych pakietów Pythona! WASP unika wykrycia przez wykorzystanie steganografii i polimorfizmu. Posiada zdolność do zmieniania ładunku w nowych instalacjach oraz zachowuje trwałość nawet po ponownym uruchomieniu systemu. To złośliwe oprogramowanie służy do kradzieży danych osobowych, danych uwierzytelniających oraz kryptowaluty. Głównym celem ataku jest PyPI - repozytorium typu open source, w którym programiści udostępniają pakiety Pythona, wykorzystywane w swoich projektach.
Programiści Pythona muszą uważać przy pobieraniu pakietów, gdyż nawet te, które wydają się legalne i przydatne mogą być pakietami-pułapkami.
W celu zwiększenia wiarygodności, złośliwym pakietom nadawane są nazwy przypominające nazwy prawdziwych i popularnych pakietów. Technika ta nazywana jest typosquattingiem.
Źródło: https://qlo.pl/wasp-malware-atakuje-programistow-pythona
Wyciek danych
Nadużycia ze strony pracowników Meta. Handel kontami użytkowników
Każdy kto stracił konto na Facebooku lub Instagramie wie jak niezwykle trudno jest je odzyskać. Meta w zakresie dbania o dane użytkowników oraz pomoc w przywróceniu konta jest już na tak niskim poziomie, że mogłoby się wydawać, że będzie już tylko lepiej. Niestety, wraz z uzyskaniem przez pracowników Mety dostępu do wewnętrznego systemu odzyskiwania kont, zaczęły się nadużycia. Firma zwolniła lub ukarała kilkudziesięciu pracowników, którzy zajmowali się handlem zablokowanymi kontami użytkowników bądź pobierali opłatę za pomoc w odzyskaniu dostępu od zdesperowanego właściciela konta.
Aby uzyskać dostęp do wybranego konta wystarczyło bowiem tylko zapłacić odpowiedniemu pracownikowi obsługi klienta. Hakerzy nie musieli nawet sięgać po bardziej zaawansowane metody tj. phishing, socjotechnika, nie musieli też wgrywać złośliwego oprogramowania. W tym przypadku, by przejąć czyjąś tożsamość w mediach społecznościowych, wystarczyły zwykłe pieniądze.
Co ciekawe, były przypadki osób, które nawet po odejściu z firmy zachowały dostęp do wewnętrznych narzędzi Meta, dzięki czemu mogły nadal pomagać w odzyskiwaniu utraconych kont.
Źródło: https://www.wsj.com/articles/meta-employees-security-guards-fired-for-hijacking-user-accounts-11668697213
Podatności
Cyberprzestępcy włamali się do sieci agencji federalnej USA
CISA (Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury) poinformowała, że hakerzy opłacani przez irański rząd dokonali włamania do amerykańskiej sieci agencji federalnej, wykorzystując do tego lukę w zabezpieczeniach - Log4Shell.
Podatność CVE-2021-44228 to krytyczna luka w zdalnym wykonywaniu kodu, która dotyczy biblioteki Apache Log4j.
W tym konkretnym przypadku cyberprzestępcy włamali się do sieci FCEB (Federal Civilian Executive Branch) przez niezałatany serwer VMware Horizon, używając w tym celu m.in. XMRig - oprogramowania do kopania kryptowalut.
Ze względu na to, że oparta na Javie biblioteka Apache Log4j jest chętnie i powszechnie wykorzystywana przez twórców aplikacji, podatność CVE-2021-44228 została określona przez CSIRT MON jako "najpoważniejsza luka od dekad".
Informacja o podatności pojawiła się już 10 grudnia 2021 roku i od początku 2022 roku jest wykorzystywana przez irańskie grupy cyberprzestępcze.
Źródło: https://cyberdefence24.pl/cyberbezpieczenstwo/iranscy-hakerzy-i-luka-log4shell-wlam-do-sieci-agencji-federalnej-usa
Ciekawostki
Chińska grupa Billbug włamała się do urzędu certyfikacji w Azji
Billbug APT (znany też pod nazwą Lotus Blossom lub Thrip) to sponsorowana przez państwo chińska grupa szpiegowska, której celem jest przeprowadzanie cyberataków na organizacje wojskowe, rządowe oraz na dostawców usług komunikacyjnych przeważnie na terenie Azji Południowo-Wschodniej. W ramach szeroko zakrojonej kampanii, której celem były liczne organizacje rządowe, hakerom udało się włamać do urzędu certyfikacji (CA). Jest to sytuacja niezwykle niebezpieczna, ponieważ gdyby atakujący byli w stanie złamać zabezpieczenia certyfikatów cyfrowych, mogliby m.in. wykorzystać je do podpisywania złośliwego oprogramowania i w ten sposób sprawić by nie były one wykrywane przez zabezpieczenia na komputerach ofiar. Należy również pamiętać, że certyfikaty cyfrowe są wykorzystywane również do weryfikacji tożsamości urządzenia lub użytkownika - bez tego nie byłoby możliwe bezpieczne szyfrowanie połączeń.
W przypadku zhakowania certyfikatów możliwe byłoby wówczas przechwytywanie ruchu HTTPS.
Celem tej kampanii najprawdopodobniej jest szpiegostwo, kradzież danych oraz kradzież legalnych certyfikatów cyfrowych. Na szczęście do tej pory cyberprzestępcom nie udało się złamać zabezpieczeń certyfikatów cyfrowych.
Charakterystyczne dla grupy Billbug jest to, że w swoich licznych kampaniach wykorzystuje niestandardowe złośliwe oprogramowanie oraz narzędzia, które mają podwójne zastosowanie tj.: AdFind, Winmail, WinRAR, Ping, Tracert, Route, NBTscan, Certutil, Port Scanner. Do przeprowadzenia ataku Billbug często korzysta z backdoora Hannotog oraz Sagerunex.
Na urządzeniach ofiar znaleziono zainstalowany Stowaway Proxy Tool, który jest narzędziem chętnie używanym przez testerów penetracyjnych.
Warto w tym miejscu zauważyć, że narzędzia do przeprowadzania testów penetracyjnych są niestety coraz częściej wykorzystywane przez cyberprzestępców. Nie inaczej było z oprogramowaniem Cobalt Strike, który przez swoje podwójne życie jest w chwili obecnej przez wielu testerów traktowany jak malware.
Źródło: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/espionage-asia-governments-cert-authority
Złote rady Scoffera odnośnie bezpieczeństwa w sieci
Grafika: mohamed_hassan z Pixabay
Grafika z robotem: Scoffer (zakaz kopiowania)