Denne måneden ble flere bedrifter kompromittert ved hjelp av angrep som benyttet seg av sosial manipulering. Den første bedriften som ble tatt var Uber. Hackeren delte skjermbilder på sosiale medier som viste tilgang til flere interne systemer. Den initielle tilgangen til nettet ble kjøpt på det mørke nettet. En ansatt hos Uber hadde fått kompromittert sin private PC, og VPN-innloggingen til Ubers bedriftsnettverk ble på denne måten kompromittert. Uber benyttet seg av to-trinns bekreftelse ved hjelp av godkjennelse av innloggingen via mobiltelefon, men hackeren ringte opp offeret og overbeviste vedkommende om å godta innloggingen.
Senere i måneden ble også Rockstar Games rammet av datainnbrudd. Inntrengerne lastet ned store mengder kildekode, bilder og videofiler. Noe av dette ble offentliggjort på nettet, blant annet videofiler av en uferdig utgave av det kommende storspillet GTA 6. Mot slutten av måneden opplyste politi i London som jobber med cyberkriminalitet at de hadde foretatt en pågripelse i forbindelse med innbruddene mot Uber og Rockstar Games. Den pågrepne er 17 år og skal ha forbindelser til Lapsus$-gruppen, som har stått bak en rekke datainnbrudd tidligere i år, mange gjennomført ved hjelp av sosial manipulering.
Cyber sikkerhetsfirmaet GTSC fra Vietnam informerte mot slutten av måneden om to nye sårbarheter i Microsoft Exchange Server, som de opplyste at hadde blitt utnyttet siden august. Sårbarhetene minner om ProxyShell-svakheten som rammet Exchange i 2021, men denne svakheten krever en autentisert bruker for å bli utnyttet. Microsoft kom raskt med informasjon om svakheten og forslag til hvordan den kan uskadeliggjøres mens de jobber med en patch.
Forskere ved Mandiant har gjennomført analyse av en ny type skadevare som angriper VMware ESXi Hypervisor. Skadevaren krever at angriperen allerede har fått tilgang til serveren for å installeres. ESXi-servere har ofte ikke installert EDR (Endpoint Detection and Response) og det kan derfor ofte være vanskelig å avsløre skadevare på denne typen utstyr. Den nye skadevaren har flere metoder for å beholde administrator-tilgang, kan sende kommandoer som blir eksekvert på gjeste-VMer, filoverføring mellom hypervisor og VMer, manipulering av logger og kjøring av vilkårlige kommandoer mellom VMer på samme hypervisor. VMware har også gitt ut en veiledning med råd om hvordan en kan beskytte seg mot denne nye trusselen.
Amerikanske myndigheter offentliggjorde en liste med sanksjoner, siktelser og dusører knyttet til en gruppe iranske statsborgere. Disse er anklaget for å samarbeide med Iranske myndigheter for å utføre løsepenge-angrep mot hundrevis av amerikanske sykehus, statlige organisasjoner, ideelle organisasjoner og bedrifter. Amerikanerne sier de har vært aktive siden 2020. Det blir utlovet dusør på opp til $10 millioner for informasjon om tre navngitte personer, som også identifiseres med bilder. Gruppen har skannet Fortinet FortiOS og Microsoft Exchange Servere for sårbarheter siden tidlig 2021 for å oppnå tilgang til systemer. Hovedsakelig er det organisasjoner fra USA, Storbritannia og Australia som har vært mål. Både kryptering av systemene og trusler om å lekke interne data har blitt brukt for å få utbetalt løsepenger.
Den Iranske aktøren TA453 har sendt ut eposter til potensielle ofre med flere av aktørens egne epost-adresser på CC. Deretter gjennomfører de en falsk e-postutveksling mellom de falske e-postkontoene for å bygge troverdighet. I løpet av utvekslingen har de også sendt lenker til OneDrive-kontoer hvor offeret blir forsøkt lurt til å laste ned en ondsinnet fil. Angrepsmetoden har fått navnet "Multi-persona impersonation" (MPI) av etterforskere hos Proofpoint, som først oppdaget den nye teknikken.
Google melder at tidligere medlemmer av ransomware-gruppen Conti har bygget om mange av verktøyene sine for å utføre målrettede angrep mot Ukrainske organisasjoner. Trusselaktøren UAC-0098 har historisk gjennomført ransomware-angrep med trojaneren IceID. Aktøren har nå gått over til hovedsakelig å angripe mål i Ukraina og også noen andre europeiske mål relatert til krigen. Google mener at aktøren retter seg mer mot Ukraina for å understøtte Russlands krigføring mot landet. UAC-0098 har gjennomført en rekke phishing-kampanjer mot statlige og private organisasjoner i Ukraina. Blant annet sendte de ut en e-post som tilsynelatende så ut som at den kom fra representanter for Elon Musk. Den inneholdt imidlertid ondsinnede lenker som skulle se ut som en software-oppdatering for StarLink-satellitter.
Microsofts Detection and Response Team (DART) har gjennomført en etterforskning etter cyber-angrepene mot Albania i midten av juli. Angrepene forstyrret myndighetenes nettsider og offentlige tjenester og ble gjennomført av en iransk gruppe. Samtidig som angrepene skjedde, var det en annen iransk gruppe som lekket data som hadde blitt eksfiltrert i et angrep gjennomført tidligere i år. Etter angrepene har Albania kuttet alle diplomatiske forbindelser med Iran og har bedt alt ambassadepersonell om å forlate landet.
Mandiant har navngitt en ny trusselaktør, APT42. Mandiant slår fast at dette er en cyberspionasje-gren i Irans revolusjonsgarde, som blant annet har truet med å drepe amerikanske statsborgere. Gruppen benytter seg av spear-phishing mot både privatpersoner og bedrifter. Operasjonene kan foregå over lang tid og benytter seg av sosial manipulasjon. Målet er å stjele innloggingsinformasjon og ofte installere Android spyware på ofrenes telefoner. APT42 retter seg mot minst 14 land, deriblant USA, Australia, flere europeiske land og land i midtøsten. Gjennom APT42 prøver Iran å hente inn informasjon som er relevant for landet og holde kontroll over dissidenter i utlandet.
Tidligere i år stjal nordkoreanske hackere kryptovaluta for rundt $600 millioner fra kryptoplattformen Ronin Network, som brukes av spillet Axie Infinity. Analyse-firmaet Chainalysis har nå hjulpet amerikanske myndigheter med å få tilbake $30 millioner av verdiene. Så langt er det ukjent hvordan dette har skjedd i praksis, men ofte skjer denne typen beslag når verdiene befinner seg på sentraliserte kryptobørser.
I september håndterte TSOC 125 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 64 i august. Denne måneden skyldes de fleste hendelsene malware som tar kontroll over nettleseren og serverer annonser og videresender brukeren til uønskede sider. Vi har også sett noen tilfeller av at maskiner har blitt infisert av “RedLine Stealer”. Dette er en type skadevare som laster ned lagrede brukernavn, passord og cookies fra en infisert PC. Disse blir så typisk solgt i ferdige “pakker” på det mørke nettet til høystbydende. Kjøperen kan da få tilgang til mange tjenester som brukeren av PCen var logget inn på.
Det var 267 bekreftede DDoS-angrep denne måneden, ned fra 309 i august. 121 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.67 Gbps og varte i 38 minutter. Det største angrepet observert i denne perioden var på 54 Gbps og varte i 13 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
