Sedmični sažetak: Najvažnije prijetnje, alati i savjeti u vezi s cyber sigurnošću

Svake sedmice digitalni svijet se suočava s novim izazovima i promjenama. Hakeri uvijek pronalaze nove načine da provale sisteme, dok branioci naporno rade kako bi zaštitili naše podatke. Bilo da se radi o skrivenom nedostatku popularnog softvera ili pametnom novom metodu napada, informisanje je ključno za zaštitu sebe i svoje organizacije.

U ovosedmičnom ažuriranju pokriti ćemo najvažnije događaje u cyber sigurnosti. Od najnovijih prijetnji do efikasne odbrane, pokrili smo vas jasnim i direktnim uvidima. Zaronimo i zaštitimo vaš digitalni svijet.

⚡ Prijetnja sedmice

Palo Alto Networks PAN-OS nedostatak pod napadom — Palo Alto Networks je otkrio veliku grešku koja utiče na PAN-OS softver koji bi mogao uzrokovati stanje uskraćivanja usluge (DoS) na osjetljivim uređajima slanjem posebno kreiranog DNS paketa. Ranjivost (CVE-2024-3393, CVSS rezultat: 8,7) utiče samo na zaštitne zidove koji imaju omogućeno DNS sigurnosno evidentiranje. Kompanija je saopštila da je svjesna da “korisnici doživljavaju ovo uskraćivanje usluge (DoS) kada njihov zaštitni zid blokira maliciozne DNS pakete koji pokreću ovaj problem.”

🔔 Najvažnije vijesti

• Contagious Interview izbacio maliciozni softver OtterCookie — Sjevernokorejski hakeri koji stoje iza tekuće kampanje Contagious Interview su primijećeni kako ispuštaju novi JavaScript malver pod nazivom OtterCookie . Maliciozni softver, vjerovatno uveden u septembru 2024., dizajniran je da uspostavi komunikaciju sa serverom za komandu i kontrolu (C2) koristeći Socket.IO JavaScript biblioteku i čeka daljnja uputstva. Dizajniran je za pokretanje komandi ljuske koje olakšavaju krađu podataka, uključujući datoteke, sadržaj međuspremnika i ključeve novčanika za kriptovalute.

• Cloud Atlas nastavlja sa napadom na Rusiju — Cloud Atlas, hakovanje nepoznatog porijekla koje je široko ciljano na Rusiju i Bjelorusiju, primijećeno je kako koristi ranije nedokumentovani maliciozni softver pod nazivom VBCloud kao dio svojih kampanja cyber napada usmjerenih na „nekoliko desetina korisnika“ 2024. godine. Napadi koriste phishing emailove koji sadrže Microsoft Word dokumente, koji, kada se otvore, pokreću eksploataciju za sedam godina star sigurnosni propust za isporuku malicioznog softvera. VBCloud je sposoban za prikupljanje datoteka koje odgovaraju nekoliko ekstenzija i informacija o sistemu. Više od 80% ciljeva nalazilo se u Rusiji. Manji broj žrtava zabilježen je u Bjelorusiji, Kanadi, Moldaviji, Izraelu, Kirgistanu, Turskoj i Vijetnamu.

• Maliciozni Python paketi eksfiltriraju osjetljive podatke — Otkriveno je da dva maliciozna Python paketa, nazvana zebo i cometlogger , sadrže funkcije za eksfiltriranje širokog spektra osjetljivih informacija sa kompromitovanih hostova. Oba paketa su preuzeta 118 i 164 puta, prije nego što su skinuta. Većina ovih preuzimanja došla je iz Sjedinjenih Država, Kine, Rusije i Indije.

• TraderTraitor iza DMM Bitcoin kripto pljačke — Japanske i američke vlasti službeno su okrivile sjevernokorejski klaster prijetnji kodnog imena TraderTraitor (aka Jade Sleet, UNC4899 i Slow Pisces) za krađu kriptovalute vrijedne 308 miliona dolara od kompanije za kriptovalute DMM2024 Bitcoin u maju. ističe se po tome što je protivnik prvi kompromitovao sistem koji pripada zaposleniku japanske kompanije Ginco za softver za novčanike za kriptovalute pod izgovorom testa prije zapošljavanja. “Krajem maja 2024., hakeri su vjerovatno koristili ovaj pristup da manipulišu legitimnim zahtjevom za transakciju od strane zaposlenika DMM-a, što je rezultovalo gubitkom od 4.502,9 BTC-a, vrijednih 308 miliona dolara u vrijeme napada”, rekle su vlasti .

• WhatsApp donosi pravnu pobjedu protiv NSO Grupe — NSO Grupa je proglašena odgovornom u Sjedinjenim Državama nakon što je savezni sudija u državi Kalifornija presudio u korist WhatsAppa, prozvavši izraelskog komercijalnog dobavljača špijunskog softvera da iskorištava sigurnosnu ranjivost u aplikaciji za razmjenu poruka da isporučiti Pegasus koristeći WhatsApp servere 43 puta u maju 2019. Ciljani napadi su pokrenuli špijunski softver na 1.400 uređaja širom svijeta korištenjem ranjivosti nultog dana u funkciji glasovnog poziva u aplikaciji (CVE-2019-3568, CVSS rezultat: 9,8).

‎️‍🔥 CVE-ovi u trendu

Glavu gore! Neki popularni softveri imaju ozbiljne sigurnosne nedostatke, stoga obavezno ažurirajte odmah da biste ostali sigurni. Lista uključuje — CVE-2024-56337 (Apache Tomcat), CVE-2024-45387 (Apache kontrola prometa), CVE-2024-43441 (Apache HugeGraph-Server), CVE-2024-52046 (Apache MINA24), CVE-2 -12856 (Four-Faith ruteri), CVE-2024-47547, CVE-2024-48874 i CVE-2024-52324 (Ruijie mreže)

📰 Širom cyber svijeta

• ScreenConnect se koristi za implementaciju AsyncRAT — Microsoft je otkrio da cyber kriminalci koriste prevare tehničke podrške za implementaciju AsyncRAT-a putem softvera za daljinsko praćenje i upravljanje (RMM) ScreenConnect, što je prvi put da se ScreenConnect koristi za implementaciju malicioznog softvera, umjesto kao postojanost ili bočno kretanje alat. Kompanija je takođe saopštila da hakera koriste SEO trovanje i kucanje da bi primenili SectopRAT, infokradlicu koja se koristi za ciljanje informacija pretraživača i kripto novčanika. Otkrivanje dolazi nakon što je Malwarebytes otkrio da kriminalci koriste odredišne ​​stranice za mamce, koje se nazivaju i “bijele stranice”, koje koriste sadržaj generisani vještačkom inteligencijom i propagiraju se putem lažnih Google oglasa za pretraživanje. Prevara uključuje napadače koji kupuju oglase na Google pretraživanju i koriste vještačku inteligenciju za kreiranje bezopasnih stranica s jedinstvenim sadržajem. Cilj je koristiti ove lažne reklame kako bi se posjetitelji namamili na phishing web lokacije za krađu krendicijala i drugih osjetljivih podataka. Malvertising mamci su takođe korišteni za distribuciju malicioznog softvera SocGholish prikrivajući phishing stranicu kao HR portal za legitimnu kompaniju Kaiser Permanente.

• AT&T i Verizon priznali napade Salt Typhoon — Američki telekomunikacioni giganti AT&T i Verizon priznali su da ih je pogodila hakerska grupa Salt Typhoon povezana s Kinom, mjesec dana nakon što je T-Mobile objavio slično otkriće . Obje kompanije su izjavile da u ovom trenutku ne otkrivaju nikakvu malicioznu aktivnost, te da su napadi izdvojili “mali broj pojedinaca od interesa stranih obavještajnih službi”. Do kršenja je došlo velikim dijelom zbog toga što pogođene kompanije nisu implementirale rudimentarne mjere cyber sigurnosti, saopštila je Bijela kuća. Tačan obim kampanje napada i dalje je nejasan, iako je američka vlada otkrila da je deveta telekom kompanija u zemlji također bila meta, kako se sada čini, opsežne hakerske operacije usmjerene na američku kritičnu infrastrukturu. Njegovo ime nije saopšteno. Kina je negirala bilo kakvu umiješanost u napade.

• Proruska hakerska grupa cilja na italijanske web stranice — Oko deset službenih web stranica u Italiji našlo se na meti proruske hakerske grupe pod imenom Noname057(16) . Grupa je preuzela odgovornost za distribuirane napade uskraćivanja usluge (DDoS) na Telegram, navodeći da italijanski “rusofobi dobijaju zasluženi cyber odgovor”. Još u julu, tri člana grupe su uhapšena zbog navodnih cyber napada na Španiju i druge zemlje NATO-a. Noname057(16) je jedna od mnogih haktivističkih grupa koje su se pojavile kao odgovor na tekuće sukobe u Ukrajini i na Bliskom istoku, sa grupama koje su svrstane na obje strane koje se upuštaju u remetilačke napade kako bi postigle društvene ili političke ciljeve. Neke od ovih grupa su i pod pokroviteljstvom države, što predstavlja značajnu prijetnju cyber sigurnosti i nacionalnoj sigurnosti. Prema nedavnoj analizi kompanije za cyber sigurnost Trellix, sumnja se da postoji neka vrsta operativnog odnosa između Noname057(16) i CyberArmyofRussia_Reborn, još jedne haktivističke grupe koja je aktivna od 2022. godine. “Grupa je stvorila saveze s mnogim drugim haktivističkim grupama kako bi podržite njihove napore sa DDoS napadima”, rekao je Trellix . „Međutim, činjenica da se jedan od prethodnih administratora CARR-a, ‘MotherOfBears’, pridružio NoName057(16), kontinuirano prosljeđivanje CARR postova i prethodne izjave sugerišu da izgleda da obje grupe blisko sarađuju, što također može ukazivati ​​na saradnju sa timom Sandworm.”

• UN odobrio novi sporazum o cyber kriminalu za borbu protiv digitalnih prijetnji — Generalna skupština Ujedinjenih naroda formalno je usvojila novu konvenciju o cyber kriminalu , nazvanu Konvencija Ujedinjenih nacija protiv cyber kriminala , koja ima za cilj jačanje međunarodne saradnje u borbi protiv transnacionalnih prijetnji.. „Nova konvencija protiv cyber kriminala će omogućiti brži, bolje koordinirani i efikasniji odgovori, čineći i digitalni i fizički svijet sigurnije”, saopštili su UN . “Konvencija se fokusira na okvire za pristup i razmjenu elektronskih dokaza, olakšavanje istraga i krivičnog gonjenja.” Generalni sekretar INTERPOL-a Valdecy Urquiza rekao je da Konvencija UN-a o cyber kriminalu “pruža osnovu za novi međusektorski nivo međunarodne saradnje” neophodan za borbu protiv prirode cyber kriminala bez granica.

• WDAC kao način za narušavanje sigurnosne odbrane — Istraživači cyber sigurnosti osmislili su novu tehniku ​​napada koja koristi malicioznu politiku kontrole aplikacija Windows Defendera ( WDAC ) za blokiranje sigurnosnih rješenja kao što su senzori za detekciju krajnjih tačaka i odgovor (EDR) nakon ponovnog pokretanja sistema. “Iskoristi posebno kreiranu WDAC politiku da zaustavi odbrambena rješenja na krajnjim tačkama i može omogućiti protivnicima da se lako okrenu na nove hostove bez tereta sigurnosnih rješenja kao što je EDR”, rekli su istraživači Jonathan Beierle i Logan Goins . „U većem obimu, ako je protivnik u stanju da napiše objekte grupne politike (GPO), onda bi mogao da distribuira ovu politiku po cijeloj domeni i sistematski zaustavi većinu, ako ne i sva, sigurnosna rješenja na svim krajnjim tačkama u domeni, potencijalno omogućavajući primenu alata nakon eksploatacije i/ili ransomware-a.”

🎥 Stručni vebinar

1. Ne dozvolite da Ransomware pobijedi: Otkrijte taktike proaktivne odbrane — Ransomware postaje pametniji, brži i opasniji. Kako se 2025. bliži, napadači koriste napredne taktike kako bi izbjegli otkrivanje i zahtijevali rekordne isplate. Jeste li spremni da se branite od ovih prijetnji? Pridružite se webinaru Zscaler ThreatLabz kako biste naučili dokazane strategije i bili ispred cyber kriminalaca. Nemojte čekati – pripremite se sada da nadmudrite ransomware.

1. Pojednostavite upravljanje poverenjem: centralizujte, automatizujte, sigurno— Upravljanje digitalnim povjerenjem je složeno u današnjim hibridnim okruženjima. Tradicionalne metode ne mogu ispuniti zahtjeve modernog IT-a, DevOps-a ili usklađenosti. DigiCert ONE pojednostavljuje povjerenje uz jedinstvenu platformu za korisnike, uređaje i softver. Pridružite se webinaru da naučite kako centralizujete upravljanje, automatizirati operacije i osigurati svoju strategiju povjerenja.

🔧 Alati za cyber sigurnost

• LogonTracer je moćan alat za analizu i vizualizaciju dnevnika događaja Windows Active Directory, dizajniran da pojednostavi istragu malicioznih prijava. Mapiranjem imena hostova, IP adresa i imena naloga iz događaja vezanih za prijavu, kreira se intuitivan grafikon koji otkriva kojim se nalozima pristupa i sa kojih hostova. LogonTracer prevazilazi izazove ručne analize i ogromnih volumena dnevnika, pomažući analitičarima da s lakoćom brzo identifikuju sumnjive aktivnosti.

• Game of Active Directory (GOAD) je besplatna, spremna za korištenje Active Directory laboratorija dizajnirana posebno za pentestere. Nudi unaprijed izgrađeno, namjerno ranjivo okruženje u kojem možete vježbati i usavršavati uobičajene tehnike napada. Savršen za izgradnju vještina, GOAD eliminiše složenost postavljanja vlastite laboratorije, omogućavajući vam da se fokusirate na učenje i testiranje različitih strategija pentestiranja u realističnom, ali kontroliranom okruženju.

🔒 Savjet sedmice

Iyolujte rizične aplikacije s odvojenim prostorima — Kada trebate koristiti mobilnu aplikaciju, ali niste sigurni da li je sigurna, zaštitite svoje lične podatke pokretanjem aplikacije u posebnom prostoru na telefonu. Za korisnike Androida, idite na Postavke > Korisnici i nalozi i kreirajte profil gosta ili novog korisnika.

Instalirajte nesigurnu aplikaciju unutar ovog izoliranog profila i ograničite njene dozvole, kao što je onemogućavanje pristupa kontaktima ili lokacijama. Korisnici iPhone-a mogu koristiti vođeni pristup navigacijom do Postavke > Pristupačnost > Vodeni pristup da ograniče ono što aplikacija može učiniti. Ova izolacija osigurava da čak i ako aplikacija sadrži maliciozni softver, ne može pristupiti vašim glavnim podacima ili drugim aplikacijama.

Ako se aplikacija ponaša sumnjivo, možete je lako ukloniti iz zasebnog prostora bez utjecaja na vaš primarni profil. Izolacijom aplikacija za koje niste sigurni, dodajete dodatni sloj sigurnosti svom uređaju, čuvajući vaše lične podatke sigurnim, a istovremeno vam omogućavaju korištenje potrebnih alata.

Zaključak

Ovosedmična ažuriranja o cyber sigurnosti naglašavaju važnost budnosti i pripreme. Evo nekoliko jednostavnih koraka kako bi vaš digitalni svijet bio siguran:

• Redovno ažurirajte: Uvijek ažurirajte svoj softver i uređaje kako biste popravili sigurnosne praznine.

• Obrazujte svoj tim: Naučite sve da prepoznaju phishing emailove i druge uobičajene prevare.

• Koristite jake lozinke: Kreirajte jedinstvene, jake lozinke i omogućite dvofaktorsku autentifikaciju gdje je to moguće.

• Ograničite pristup: Osigurajte da samo ovlaštene osobe mogu pristupiti osjetljivim informacijama.

• Izradite sigurnosnu kopiju vaših podataka: Redovno pravite sigurnosnu kopiju važnih datoteka kako biste se brzo oporavili ako nešto pođe po zlu.

Poduzimanjem ovih radnji možete zaštititi sebe i svoju organizaciju od novih prijetnji. Budite informisani, ostanite proaktivni i dajte prioritet svojoj cyber sigurnosti. Hvala vam što ste nam se pridružili ove sedmice – ostanite sigurni na mreži, a radujemo se što ćemo vam donijeti još novosti sljedeće sedmice!

Izvor:The Hacker News