THN Recap: Najveće prijetnje, alati i prakse u vezi s cyber sigurnošću (11. novembar – 17. novembar)

Šta je zajedničko otetim web stranicama, lažnim ponudama za posao i prikrivenim ransomwareom? Oni su dokaz da cyber kriminalci pronalaze pametnije, podmuklije načine da iskoriste i sisteme i ljude.

Ova sedmica jasno pokazuje jednu stvar: nijedan sistem, nijedna osoba, nijedna organizacija nije zaista zabranjena. Napadači postaju pametniji, brži i kreativniji – koriste sve, od povjerenja ljudi do skrivenih nedostataka u tehnologiji. Pravo pitanje je: da li ste spremni?

💪 Svaki napad nosi lekciju, a svaka lekcija je prilika da ojačate svoju odbranu. Ovo nisu samo vijesti – to je vaš vodič da ostanete sigurni u svijetu u kojem su cyber prijetnje svuda oko nas.

⚡ Prijetnja sedmice

Palo Alto Networks upozorava na Zero-Day: Greška u daljinskom izvršavanju koda u PAN-OS interfejsu za upravljanje vatrozidom Palo Alto Networks je najnoviji nulti dan koji se aktivno koristi u divljini. Kompanija je počela upozoravati na potencijalnu zabrinutost zbog eksploatacije 8. novembra 2024. Od tada je potvrđeno da je naoružana u ograničenim napadima za postavljanje web ljuske. Kritična ranjivost još nema zakrpe, što čini još važnijim da organizacije ograniče pristup interfejsu upravljanja na pouzdane IP adrese. Razvoj dolazi jer su tri različite kritične greške u Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 i CVE-2024-9465) takođe bile aktivne pokušaje eksploatacije. Malo je detalja o tome ko ih iskorištava i o razmjerima napada.

🔔 Najvažnije vijesti

• BrazenBamboo iskorištava nezakrpljenu Fortinet manu: Haker poznat kao BrazenBamboo je iskoristio neriješeni sigurnosni propust u Fortinet-ovom FortiClientu za Windows kako bi izvukao VPN krendicijale kao dio modularnog okvira nazvanog DEEPDATA. Volexity je opisao BrazenBamboo kao programera tri različite porodice malvera DEEPDATA, DEEPPOST i LightSpy, a ne nužno kao jednog od operatera koji ih koriste. BlackBerry, koji je takođe detaljno opisao DEEPDATA, rekao je da ga je koristio haker APT41 povezan s Kinom.

• Oko 70.000 domena oteto od strane Sitting Ducks Attack: Otkriveno je da više hakera i koristi prednost tehnike napada pod nazivom Sitting Ducks kako bi oteli legitimne domene kako bi ih godinama koristili u phishing napadima i shemama prevare ulaganja. Sitting Ducks iskorištava pogrešne konfiguracije u postavkama sistema naziva domena (DNS) web domene kako bi preuzeo kontrolu nad njim. Od skoro 800.000 ranjivih registrovanih domena u posljednja tri mjeseca, otprilike 9% (70.000) je naknadno oteto.

• Imate ponudu za posao iz snova na LinkedInu? Možda su to iranski hakeri: Iranski haker poznat kao TA455 cilja na korisnike LinkedIn-a sa primamljivim ponudama za posao s ciljem da ih prevari da pokrenu maliciozni softver baziran na Windows-u pod nazivom SnailResin . Napadi su zapaženi usmjereni na avijacijsku i odbrambenu industriju najmanje od septembra 2023. Zanimljivo je da se taktika preklapa s onom ozloglašene Lazarus grupe sa sjedištem u Sjevernoj Koreji.

• WIRTE cilja na Izrael sa SameCoin Wiper-om: WIRTE, bliskoistočni haker povezan s Hamasom, organizirao je operacije cyber špijunaže protiv Palestinskih vlasti, Jordana, Iraka, Saudijske Arabije i Egipta, kao i izvršio ometajuće napade koji su ciljani isključivo na izraelske entitete koristeći SameCoin brisač. Destruktivne operacije su prvi put označene početkom godine.

• Objavljen dekriptor ShrinkLocker: Rumunska kompanija za cyber sigurnost Bitdefender objavila je besplatni dešifrator kako bi pomogla žrtvama da povrate podatke šifrirane pomoću ShrinkLocker ransomwarea. Prvi put identifikovan ranije ove godine, ShrinkLocker je poznat po zloupotrebi Microsoftovog uslužnog programa BitLocker za šifrovanje fajlova kao deo napada iznude usmerenih na entitete u Meksiku, Indoneziji i Jordanu.

🔥 CVE-ovi u trendu

Nedavni razvoj cyber sigurnosti istaknuo je nekoliko kritičnih ranjivosti, uključujući:

•  CVE-2024-10924

• CVE-2024-10470 

• CVE -2024-10979 

• CVE-2024-9463

• CVE-2024-94602 

• CVE-2024-9465-204

• CVE-2024-9465 -49039 

• CVE-2024-8068

• CVE-2024-8069 

• CVE-2023-28649

• CVE-2023-31241

• CVE-2023-28386

• CVE-2024-50381 

• CVE-2024-50381 

• CVE-2023-28-20 47574

Ovi sigurnosni propusti su ozbiljni i mogu ugroziti i kompanije i obične ljude. Da bi ostali sigurni, svi moraju ažurirati svoj softver, nadograditi svoje sisteme i stalno paziti na prijetnje.

📰 Širom cyber svijeta

• Otkrivene najviše rutinski iskorištavane ranjivosti u 2023.: Agencije za cyber sigurnost iz nacija Five Eyes, Australije, Kanade, Novog Zelanda, Velike Britanije i SAD-a, objavile su listu top 15 ranjivosti koje su akteri prijetnji primijećeni kako rutinski iskorištavaju u 2022. uključuje sigurnosne propuste od Citrix NetScaler ( CVE-2023-3519 , CVE-2023-4966 ), Cisco ( CVE-2023-20198 , CVE-2023-20273 ), Fortinet ( CVE-2023-27997 ), Progress MVE 2023-34362 ), Atlassian ( CVE-2023-22515 ), Apache Log4j ( CVE-2021-44228 ), Barracuda Networks ESG ( CVE-2023-2868 ), Zoho ManageEngine ( CVE-2022-4796 ), Paperut (CVE-2022-4796, CVE-2023-27350 ), Microsoft Netlogon ( CVE-2020-1472 ), JetBrains TeamCity ( CVE-2023-42793 ), Microsoft Outlook ( CVE-2023-23397 ) i ownCloud ( CVE-2023-49103 ). “Više rutine početno iskorištavanje ranjivosti nultog dana predstavlja novu normalu koja bi trebala zabrinjavati organizacije krajnjih korisnika i dobavljače, jer maliciozni hakeri pokušavaju da se infiltriraju u mreže”, rekao je UK NCSC . Objavljivanje se poklopilo s Google-ovom najavom da će početi izdavati “CVE-ove za kritične ranjivosti Google Cloud-a , čak i kada ne zahtijevamo radnju korisnika ili zakrpe” kako bi se povećala transparentnost ranjivosti. Došlo je i kada je CVE program nedavno napunio 25 godina , sa preko 400 CVE numeričkih tijela (CNA) i više od 240.000 CVE identifikatora dodijeljenih od oktobra 2024. godine. Američki nacionalni institut za standarde i tehnologiju (NIST), sa svoje strane, rekao je da sada ima “potpuni tim analitičara, a mi se obraćamo svim dolazećim CVE-ima kako se učitavaju u naš sistem” kako bismo riješili zaostatak CVE-a koji je nastao ranije ove kalendarske godine.

• GeoVision Zero-Day Under Attack: Nova greška nultog dana u GeoVision uređajima na kraju životnog vijeka ( CVE-2024-11120 , CVSS rezultat: 9,8), ranjivost ubrizgavanja komande pre-auth, se iskorištava kako bi se kompromitirali i uključili u Mirai botnet za vjerovatne DDoS ili kriptomining napade. “Primijetili smo eksploataciju od 0 dana u divljini koju koristi botnet koji cilja GeoVision EOL uređaje,” kaže Shadowserver Foundation . Korisnicima GV-VS12, GV-VS11, GV-DSP_LPR_V3, GVLX 4 V2 i GVLX 4 V3 preporučuje se da ih zamijene.

• Novi bankarski trojanac Silver Shifting Yak cilja na Latinsku Ameriku: Novi bankarski trojanac zasnovan na Windows-u pod imenom Silver Shifting Yak je uočen kako cilja na latinoameričke korisnike s ciljem krađe informacija od finansijskih institucija kao što su Banco Itaú, Banco do Brasil, Banco Bandresco, Foxbit , i Mercado Pago Brasil, između ostalih, kao i krendicijale koje se koriste za pristup Microsoft portalima kao što su Outlook, Azure i Xbox. Vjeruje se da su početne faze napada malicioznog softvera pokrenute phishing emailovima koji vode žrtve do zlonamjernih .ZIP arhiva smještenih na lažnim web stranicama. Razvoj dolazi kada je haker poznat kao Hive0147 počeo da koristi novi maliciozni program za preuzimanje pod nazivom Picanha za implementaciju bankovnog trojanca Mekotio . “Hive0147 takođe distribuira druge bankarske trojance, kao što je Banker.FN takođe poznat kao Coyote, i vjerovatno je povezan s nekoliko drugih latinoameričkih cyber kriminalnih grupa koje koriste različite programe za preuzimanje i bankarske trojance kako bi omogućili bankarske prijevare”, rekao je IBM X-Force .

• Tor mreža suočava se s napadom lažiranja IP-a: Projekt Tor kaže da je Tor mreža anonimnosti bila meta “koordiniranog napada lažiranja IP-a” počevši od 20. oktobra 2024. Napadač je “lažio ne-izlazne releje i druge IP-ove povezane s Torom kako bi pokrenuo izvještaje o zloupotrebi ima za cilj ometanje Tor projekta i Tor mreže”, navodi se u projektu . “Porijeklo ovih lažnih paketa je identificirano i zatvoreno 7. novembra 2024.” Projekt Tor kaže da incident nije imao utjecaja na njegove korisnike, ali je rekao da je nekoliko releja privremeno isključio. Nejasno je ko stoji iza napada.

• FBI upozorava na kriminalce koji šalju lažne policijske zahtjeve za podacima: FBI upozorava da hakeri dobijaju privatne korisničke informacije od tehnoloških kompanija sa sjedištem u SAD-u kompromitujući adrese e-pošte američke i strane vlade/policije kako bi podnijele zahtjeve za “hitnim” podacima. Zloupotreba zahtjeva za hitne podatke od strane malicioznih hakera kao što je LAPSUS$ je prijavljivana u prošlosti, ali ovo je prvi put da je FBI službeno priznao da se pravni proces iskorištava u kriminalne svrhe. “Cyber-kriminalci razumiju potrebu za hitnošću i koriste je u svoju korist kako bi prekratili potrebnu analizu zahtjeva za hitnim podacima”, navodi agencija.

• Novi trendovi u Ransomware-u: Finansijski motivisani haker poznat kao Lunar Spider povezan je s kampanjom malvertisinga usmjerenom na finansijske usluge koja koristi SEO trovanje za isporuku malicioznog softvera Latrodectus , koji se zauzvrat koristi za implementaciju Brute Ratel C4 (BRc4 ) posteksploatacioni okvir. U ovoj kampanji otkrivenoj u oktobru 2024., korisnici koji pretražuju sadržaj u vezi sa porezima na Bingu su namamljeni da preuzmu zamagljeni JavaScript. Po izvršenju, ova skripta preuzima Windows Installer (MSI) sa udaljenog servera, koji instalira Brute Ratel. Komplet alata se zatim povezuje sa serverima za komandu i kontrolu (C2) za dalje instrukcije, omogućavajući napadaču da kontroliše zaraženi sistem. Vjeruje se da je krajnji cilj napada postavljanje ransomware-a na kompromitovane hostove. Lunar Spider je takođe programer iza IcedID-a, sugerisajući da haker nastavlja da razvija svoj pristup implementaciji malicioznog softvera kako bi se suprotstavio naporima policije. Nije samo Lunarni pauk. Još jedna zloglasna cyber kriminalna banda pod nazivom Scattered Spider je djelovala kao posrednik za početni pristup za operaciju ransomwarea RansomHub, koristeći napredne taktike društvenog inženjeringa za dobijanje privilegovanog pristupa i implementaciju enkriptora da utječe na kritično ESXi okruženje za samo šest sati.” Napadi na ransomware , uključujući i one koji su usmjereni na usluge u cloud-u, i dalje su stalna prijetnja, čak i kada obim incidenata počinje da opada i postoji stalni pad u stopama plaćanja otkupnine Bez obzira na , Interlock i Ymir , jedan od trendova vrijednih pažnje u 2024. je porast nepovezanih ransomware hakera, takozvanih “vukova samotnjaka” koji djeluju samostalno.

🔥 Resursi, vodiči i uvidi

🎥 Expert Webinar

• Kako biti spreman za brzu zamjenu certifikata — Da li je opoziv certifikata noćna mora za vaše poslovanje? Pridružite se besplatnom webinar-u i naučite kako munjevitom brzinom zamijeniti certifikate. Podijelit ćemo tajne za minimiziranje zastoja, automatizirati zamjene, ovladati kripto agilnošću i implementirati najbolje prakse za krajnju otpornost.

• Gradimo sutra, sigurno—sigurnost vještačke inteligencije u razvoju aplikacija — Vještačka inteligencija pravi revoluciju u svetu, ali jeste li spremni za rizike? Naučite kako izgraditi sigurne aplikacije vještačke inteligencije iz temelja, zaštititi od kršenja podataka i operativnih noćnih mora i integrisati robusnu sigurnost u svoj razvojni proces. Rezervišite svoje mjesto sada i otkrijte osnovne alate za zaštitu vaših inicijativa vještačke inteligencije.

🔧 Alati za cyber sigurnost

• Grafana — Grafana je platforma otvorenog koda za praćenje i vidljivost koja omogućava timovima za cyber sigurnost da postavljaju upite, vizualiziraju i upozoravaju na sigurnosne metrike iz bilo kojeg izvora podataka. Nudi prilagodljive kontrolne table sa fleksibilnim vizualizacijama i varijablama šablona, ​​omogućavajući praćenje pretnji u realnom vremenu, otkrivanje upada i reagovanje na incidente. Funkcije kao što su ad-hoc upiti i dinamičke analize olakšavaju istraživanje metrike koja se odnosi na mrežni promet, ponašanje korisnika i sistemske evidencije. Besprekorno istraživanje dnevnika sa očuvanim filterima podržava forenzičke istrage, dok definicije vizuelnih upozorenja obezbeđuju pravovremena obaveštenja sigurnosnim operativnim centrima kroz integracije sa alatima kao što su Slack i PagerDuty. Osim toga, sposobnost Grafane da miješa različite izvore podataka — uključujući i one prilagođene — pruža sveobuhvatno sigurnosno praćenje u različitim okruženjima, poboljšavajući sposobnost organizacije da održi robustan položaj sajber sigurnosti.

• URLCrazy je OSINT alat dizajnisan za profesionalce za cyber sigurnost da generisaju i testiraju greške u kucanju ili varijacije domena , efikasno otkrivajući i sprječavajući skvotiranje u kucanju, otmicu URL-a, krađu identiteta i korporativnu špijunažu. Kreiranjem 15 tipova varijanti domena i korištenjem preko 8.000 uobičajenih pravopisnih pogrešaka na više od 1.500 domena najvišeg nivoa, URLCrazy pomaže organizacijama da zaštite svoj brend registriranjem popularnih tipskih grešaka, identifikacijom domena koji preusmjeravaju promet namijenjen njihovim legitimnim web lokacijama i provođenjem simulacija krađe identiteta tokom testova penetracije.

🔒 Savjet sedmice

Koristite Canary tokene za otkrivanje upada — Hakeri se oslanjaju na to da ostanu skriveni, ali tokeni kanarinca pomažu vam da ih rano uhvatite. To su lažni fajlovi, linkovi ili krendicijale, poput “Confidential_Report_2024.xlsx” ili lažni AWS ključ, smješteni na mjestima koja hakeri vole njuškati – dijeljeni diskovi, administratorske mape ili pohrana u cloud-u. Ako neko pokuša da im pristupi, dobijate trenutno upozorenje sa detaljima kao što su njihova IP adresa i vreme pristupa.

Lako ih je postaviti pomoću besplatnih alata kao što je Canarytokens.org i ne trebaju im nikakve napredne vještine. Samo neka budu realistični, stavite ih na ključna mjesta i provjerite ima li upozorenja. Obavezno testirajte svoje tokene nakon postavljanja kako biste bili sigurni da rade i izbjegavajte njihovu prekomjernu upotrebu kako biste spriječili nepotrebnu buku. Postavite ih strateški u područja visoke vrijednosti i pažljivo pratite upozorenja kako biste brzo djelovali ako se aktiviraju. To je pametan način bez napora da uočite hakere prije nego što nanesu štetu.

Zaključak

To je to za ovosedmična ažuriranja o cyber sigurnosti. Prijetnje mogu izgledati komplikovane, ali zaštita sebe ne mora biti. Počnite jednostavno: održavajte svoje sisteme ažuriranim, obučite svoj tim da uoči rizike i uvijek provjerite sve što vam se čini neispravno.

Cyber sigurnosti nije samo nešto što radite – to je i način na koji razmišljate. Ostanite radoznali, oprezni i zaštićeni.

Izvor:The Hacker News