Da li ste se ikada zapitali šta se dešava u digitalnom svijetu svaki put kada trepnete? Evo nečeg divljeg – hakeri pokrenu oko 2.200 napada svaki dan, što znači da neko pokušava da provali u sistem negdje svakih 39 sekundi.
I shvatite ovo – iako smo svi zabrinuti za obične hakere, sada postoje sistemi vještačke inteligencije koji mogu da kreiraju phishing mejlove tako ubedljivo, da čak i stručnjaci za cyber sigurnost imaju problema da ih uoče. Sta je jos ludje? Neki od najnovijih malicioznih programa su poput digitalnog kameleona – bukvalno gleda kako ga pokušavate uhvatiti i mijenja njegovo ponašanje kako bi promaknuo kraj vaše odbrane.
Prilično zadivljujuće stvari, zar ne? Ovosedmični pregled prepun je novih događaja koji otvaraju oči zbog kojih ćete svoj laptop videti u potpuno novom svetlu.
⚡ Prijetnja sedmice
T-Mobile obavještava hakere koji pokušavaju da provale: američki provajder telekomunikacionih usluga T-Mobile je nedavno uhvatio neku sumnjivu aktivnost na njihovoj mreži – u suštini, neko je pokušavao da se uvuče u njihove sisteme . Dobre vijesti? Rano su to uočili i nikakvi podaci o kupcima nisu ukradeni. Iako T-Mobile ne upire direktno prstom, stručnjaci za cyber sigurnost misle da znaju ko stoji iza toga – hakerska grupa pod nadimkom ‘Salt Typhoon’, koja je očigledno povezana s Kinom. Ono što ovo čini zaista zanimljivim je to što ovi hakeri imaju potpuno novi trik u rukavu: koriste prethodno nepoznati backdoor alat pod nazivom GHOSTSPIDER . Zamislite to kao ključ od kostura za koji niko do sada nije znao da postoji. Oni su koristili isti alat za ciljanje telekom kompanija širom jugoistočne Azije.
🔔 Najvažnije vijesti
- Otkriven prototip UEFI bootkita koji cilja na Linux: Bootkitovi se odnose na vrstu maliocioznih softvera koji je dizajniran da inficira pokretač ili proces pokretanja računara. Pri tome, ideja je da se izvrši maliciozni kod čak i prije inicijalizacije operativnog sistema i zaobiđe sigurnosne mjere, efektivno dajući napadačima apsolutnu kontrolu nad sistemom. Dok su do sada otkriveni bootkitovi ciljali samo na Windows mašine, otkriće Bootkittyja ukazuje da to više nije slučaj. Uz to, procjenjuje se da je dokaz koncepta (PoC) i nema dokaza da je korišten u napadima u stvarnom svijetu.
- Avast Anti-Rootkit drajver koji se koristi za deaktiviranje sigurnosnog softvera: Nova kampanja malicioznog softvera koristi tehniku pod nazivom Bring Your Own Vulnerable Driver (BYOVD) za dobijanje povišenih privilegija i okončanje sigurnosnih procesa korištenjem legitimnog Avast Anti-Rootkit drajvera ( aswArPot.sys). Tačan početni vektor pristupa koji se koristi za ispuštanje malicioznog softvera trenutno nije jasan. Takođe se ne zna šta je krajnji cilj ovih napada, ko su mete, niti koliko su rašireni.
- RomCom iskorištava Mozilla Fire i Windows 0-Days: Haker usklađen s Rusijom poznat kao RomCom okovao je dvije sigurnosne greške nultog dana u Mozilla Firefox (CVE-2024-9680, CVSS rezultat: 9,8) i Microsoft Windows (CVE-2024-49039) , CVSS rezultat: 8,8) kao dio napada osmišljenih da isporuče istoimeni backdoor na sistem žrtve bez potrebe za bilo kakvom korisničkom interakcijom. Ranjivosti su ispravili Mozilla i Microsoft u oktobru i novembru 2024. godine.
- LockBit i Hive Ransomware operater uhapšen u Rusiji: Mihail Pavlovič Matvejev, ruski državljanin koji se traži u SAD u vezi sa LockBit i Hive ransomware operacijama, uhapšen je i optužen u zemlji za razvoj malicioznih programa koji mogu šifrirati datoteke i za traženje isplate otkupnine u zamjenu za ključ za dešifriranje. Iako je malo vjerovatno da će biti izručen SAD-u, razvoj događaja dolazi nešto više od mjesec dana nakon što su četvorica članova sada nepostojeće ransomware operacije REvil osuđena na nekoliko godina zatvora u Rusiji.
- Novi botnet povezan s DDoS kampanjom: Skriptni klinac vjerovatno ruskog porijekla koristi javno dostupne alate zlonamjernog softvera sa GitHub-a i eksploatiše ciljajući slabe krendicijale, konfiguracije i poznate sigurnosne propuste kako bi sastavio distribuirani botnet za uskraćivanje usluge (DDoS) sposoban za poremećaj na globalnom nivou. Haker uspostavio je svojevrsnu trgovinu na Telegramu, gdje korisnici mogu kupiti različite DDoS planove i usluge u zamjenu za plaćanje u kriptovaluti.
️🔥 CVE-ovi u trendu
Ove sedmice smo uočili neke velike sigurnosne probleme u popularnom softveru. Bilo da vodite posao ili samo upravljate ličnim sajtom, to bi moglo uticati na vas. Popravka? Održavajte svoj softver ažuriranim. Većina ovih problema riješena je najnovijim sigurnosnim zakrpama proizvođača.
Lista uključuje:
- CVE-2024-11680 (ProjectSend)
- CVE-2023-28461 (Array Networks AG i vxAG)
- CVE-2024-10542, CVE-2024-10781 (zaštita od neželjene pošte, dodatak protiv neželjene pošte i FireWall)
- CVE-2024-49035 (Microsoft partnerski centar)
- CVE-2024-49806
- CVE-2024-49803
- CVE-2024-49805 (IBM Security Verify Access Appliance)
- CVE-2024-50357 (FutureNet NXR ruteri)
- CVE-2024-52338 (Apache-R Arrow)
- paket 2024-52490 (Pathomation)
- CVE-2024-8672 (Opcije vidžeta – dodatak za WordPress Widget & Block Control br. 1)
- CVE-2024-11103 (dodatak za galeriju takmičenja)
- CVE-2024-42327 (Zabbix)
- CVE-2024-53676 (Hewlett Packard Enterprise Insight daljinska podrška).
📰 Širom cyber svijeta
- Pet neotkrivenih NTLM mana sa detaljima: Iako je Microsoft možda potvrdio svoje planove da odbaci NTLM u korist Kerberosa, tehnologija i dalje sadrži sigurnosne slabosti koje bi mogle omogućiti napadačima da dobiju NTLM hasheve i insceniraju napade pass-the-hash koji im omogućavaju da se autentifikuju kao korisnik žrtve. Firma za cyber sigurnost Morphisec rekla je da je indefikovala pet značajnih NTLM ranjivosti koje bi se mogle iskoristiti za curenje krendicijala putem malicioznog RTF Document Auto Link u Microsoft Wordu, Remote Image Tag u Microsoft Outlooku, Remote Table Refresh u Microsoft Accessu, Legacy Player datoteke u Microsoft Media Playeru, i Remote Recipient List u Microsoft Publisher-u. Microsoft je priznao ove nedostatke, ali je napomenuo da su oni ili po dizajnu ili ne zadovoljavaju standarde za trenutno servisiranje. Preporučuje se ograničiti upotrebu NTLM-a, omogućiti SMB potpisivanje i šifriranje, blokirati odlazne SMB veze na nepouzdane mreže i prebaciti se na provjeru autentičnosti samo za Kerberos.
- Otkrivene metode antianalize Raspberry Robina: Istraživači cyber sigurnosti su detaljno opisali nekoliko binarnih zamagljivanja i tehnika koje je Raspberry Robin , program za preuzimanje maliciozni softvera poznat i kao Roshtyak, ugradio da leti ispod radara. “Kada Raspberry Robin detektuje okruženje za analizu, on reaguje tako što koristi mamac kako bi zavarao istraživače i sigurnosne alate”, rekao je Zscaler ThreatLabz . “Raspberry Robin je zaštićen i razmotan sa nekoliko slojeva koda. Svi slojevi koda koriste skup tehnika zamagljivanja, kao što su izravnavanje kontrolnog toka i Mixed Boolean-Aritmetic (MBA) prikrivanje.” Zamagljivanje i šifrovanje su takođe obeležja druge porodice malvera praćene kao XWorm , naglašavajući sposobnost hakera da se prilagodi i zaobiđe efekte detekcije. Otkrivanje dolazi kada je Rapid7 detaljno naveo tehničke sličnosti i razlike između AsyncRAT-a i Venom RAT-a, dva trojanca otvorenog koda koja je naširoko usvojilo nekoliko aktera prijetnji tokom godina. “Iako oni zaista pripadaju porodici Quasar RAT , oni su i dalje različiti RAT-ovi”, navodi se . “Venom RAT predstavlja naprednije tehnike izbjegavanja, što ga čini sofisticiranijom prijetnjom.”
- BianLian Ransomware prelazi na čistu iznudu: Američke i australijske agencije za cyber sigurnost otkrile su da su programeri BianLian ransomware-a vjerovatno smješteni u Rusiji i da su “prešli prvenstveno na iznudu zasnovanu na eksfiltraciji oko januara 2023. i prešli na isključivo iznudu zasnovanu na eksfiltraciji oko januara 2024.” Promjena je uslijedila nakon objavljivanja besplatnog BianLian dešifratora početkom 2023. Osim korištenja PowerShell skripti za izviđanje, napadi su značajni po tome što su štampali bilješke o otkupnini na štampačima povezanim s ugroženom mrežom i upućivali prijeteće pozive zaposlenima kompanija žrtava da izvrše pritisak . Prema podacima koje su prikupili Corvus, RansomHub, Play, LockBit 3.0, MEOW i Hunters International činili su 40% svih napada uočenih u trećem kvartalu 2024. Ukupno 1.257 žrtava je objavljeno na stranicama za curenje podataka, u odnosu na 1.248 u drugom kvartalu 2024. “Broj aktivnih ransomware grupa porastao je na 59, nastavljajući trend novih grupa koje ulaze u krajolik, a sveukupna aktivnost postaje sve više raspoređena u brojnim manjim grupama,” saopštila je kompanija.
- Upoređene kampanje VietCredCare i Ducktail: I VietCredCare i Ducktail su kradljivci informacija koji su posebno dizajnirani da ciljaju Facebook Business naloge. Vjeruje se da njima upravljaju prijetnje unutar Vijetnama. Vježba provođenja zakona koju su poduzele vijetnamske agencije za provođenje zakona u maju 2024. dovela je do hapšenja više od 20 osoba vjerovatno uključenih u ove aktivnosti, što je reultovalo značajnim smanjenjem kampanja koje distribuiraju VietCredCare. Međutim, čini se da su kampanje vezane za Ducktail u toku. “Iako su oba ciljana na Facebook poslovne račune, oni se značajno razlikuju u svojoj strukturi koda,” kaže Group-IB . “Učesnici prijetnji koriste različite metode širenja malicioznog softvera i pristupe unovčavanju ukradenih krendicijala. To nas navodi da mislimo da operateri koji stoje iza obje kampanje nisu međusobno povezani.” Uprkos ovim razlikama, otkriveno je da hakeri iza različitih porodica malicioznih softvera dijele iste zajednice u kojima se govori vijetnamski kako bi prodali ukradene krendicijala za naredne kampanje malicioznih oglašavanja.
- CyberVolk, proruski haktivistički kolektiv porijeklom iz Indije: Uočeni su hakeri iza CyberVolka (aka GLORIAMIST ) kako pokreću ransomware i DDoS napade na javne i vladine subjekte za koje smatra da su suprotni ruskim interesima. Navodno ga vodi haker, koji se zove online alias Hacker-K . Ali nije jasno gdje je grupa trenutno smještena niti ko su njeni ostali članovi. Najmanje od maja 2024., utvrđeno je da grupa brzo prihvata i modifikuje postojeće kreatore ransomware-a kao što su AzzaSec, Diamond, Doubleface (aka Invisible), LockBit, Chaos i Babuk kako bi pokrenuli svoje napade. Vrijedi napomenuti da je izvorni kod AzzaSec-a i Doublefacea pretrpio vlastito curenje posljednjih mjeseci. “Pored toga, CyberVolk je promovisao i druge porodice ransomwarea kao što su HexaLocker i Parano”, rekao je SentinelOne , dok je distribuirao malicioyni softver za krađu informacija i webshells. “Ove grupe i alati koje koriste su usko isprepleteni.” Početkom novembra 2024. godine CyberVolk-u je zabranjen Telegram kanal, što ga je navelo da se prebaci na X.
🎥 Stručni vebinar
- 🤖 Izrada sigurnih aplikacija vještačke inteligencije — nema više nagađanja — Vještačka inteligencija osvaja svijet olujom, ali jesu li vaše aplikacije spremne za rizike? Bilo da se radi o zaštiti od curenja podataka ili sprečavanju skupog operativnog haosa, mi ćemo vas pokriti. Na ovom webinaru pokazat ćemo vam kako ugraditi sigurnost u svoje aplikacije vještačke inteligencije, zaštititi svoje podatke i izbjeći uobičajene zamke. Odlazit ćete s praktičnim savjetima i alatima kako bi vaši projekti vještačke inteligencije bili sigurni i zdravi. Spremni za budućnost svoje razvojne igre? Sačuvajte svoje mjesto danas!
- 🔑 Zaštitite ono što je najvažnije: Savladajte sigurnost privilegovanog pristupa — Privilegirani nalozi su glavna meta za cyber napade, a tradicionalna PAM rješenja često ostavljaju kritične praznine. Pridružite se našem webinaru da otkrijete slijepe tačke, steknete potpunu vidljivost, provedete minimalne privilegije i pravila Just-in-Time i zaštitite svoju organizaciju od prijetnji koje se razvijaju. Ojačajte svoju odbranu—registrirajte se sada!
🔧 Alati za cyber sigurnost
- Sigma Rule Converter — alat otvorenog koda koji pojednostavljuje prevođenje Sigma pravila u formate upita kompatibilne sa različitim SIEM sistemima kao što su Splunk i Elastic. Idealan za lov na prijetnje, odgovor na incidente i sigurnosne operacije, pojednostavljuje integraciju, osigurava brzu primjenu ažuriranih pravila detekcije i podržava višestruke pozadinske programe putem pySigme. Sa svojim korisničkim sučeljem i redovnim ažuriranjima, omogućava sigurnosnim timovima da se brzo prilagode prijetnjama koje se razvijaju.
- CodeQL alat za otkrivanje ranjivosti : CodeQL je moćan alat koji pomaže programerima i istraživačima sigurnosti da pronađu greške u bazama koda kao što je Chrome. Radi tako što kreira bazu podataka sa detaljnim informacijama o kodu, omogućavajući vam da pokrenete napredne pretrage kako biste uočili ranjivosti. Unaprijed izgrađene Chromium CodeQL baze podataka olakšavaju zaron u Chromeovu masivnu bazu kodova od preko 85 miliona linija. Sa svojom sposobnošću da prati protok podataka, istražuje strukture koda i otkriva slične greške, CodeQL je savršen za poboljšanje sigurnosti. Google-ova saradnja sa CodeQL timom osigurava stalna ažuriranja za bolje performanse.
🔒 Savjet sedmice
Vaši snimci ekrana potajno govore iza vaših leđa — Svaki snimak ekrana koji podijelite može otkriti informacije o vašem uređaju, lokaciju, verziju OS-a, korisničko ime, pa čak i interne puteve sistema bez vašeg znanja. Prošlog mjeseca, tehnološka kompanija je slučajno procurila kodna imena njihovih projekata kroz metapodatke snimka ekrana! Evo vašeg popravka od 30 sekundi: U Windows-u kliknite desnim tasterom miša → Svojstva → Detalji → Ukloni svojstva pre deljenja. Korisnici Mac-a mogu koristiti funkciju izvoza Preview-a (poništiti izbor “Više opcija”), dok korisnici mobilnih uređaja trebaju koristiti ugrađene alate za uređivanje prije dijeljenja. Za automatizaciju, uzmite ImageOptim (besplatno) – uklanja metapodatke jednostavnim prevlačenjem i ispuštanjem. Brza potvrda: Otpremite bilo koji snimak ekrana na exif.app i pripremite se da budete iznenađeni koliko skrivenih podataka dijelite. Profesionalni savjet: Napravite određenu mapu ‘dezinficiranih snimaka ekrana’ s automatskim uklanjanjem metapodataka za vaše osjetljive snimke vezane za posao. Zapamtite, 2023. godine metapodaci snimka ekrana postali su primarni alat za izviđanje za ciljane napade – ne dozvolite da vaše slike rade posao napadača umjesto njih.
Zaključak
Dakle, evo stvari koja čuva ljude budnima noću – neki od najpametnijih malicioznih programa današnjice se zapravo mogu sakriti u memoriji vašeg računara bez dodirivanja tvrdog diska (sablasno, zar ne?). To je kao duh u tvojoj mašini.
Ali ne brinite, nije sve propast. Dobri momci takođe spremaju neke jako dobre odbrane. Razmislite o sistemima vješačke inteligencije koji mogu predvidjeti napade prije nego što se dogode (nešto poput izvještaja o manjinama, ali za cyber zločine) i novim načinima za šifriranje podataka koje čak ni kvantni računari ne mogu razbiti. Divlje stvari!
Prije nego što se vratite svom digitalnom životu, zapamtite ovu zabavnu činjenicu: vaš pametni telefon danas ima više računarske snage nego što je imala NASA kada je prvi put postavila ljude na Mjesec – i da, to znači da i dobri i loši momci to imaju ista moć na dohvat ruke. Ostanite sigurni tamo, nastavite da ažurirate i vidimo se sledeće nedelje sa još fascinantnih priča sa cyber granica.
Izvor:The Hacker News