VoIP-firmaet 3CX ble tidligere i år rammet av et forsyningskjede-angrep der deres programvare for Windows og macOS fikk injisert en bakdør. Oppdateringer av programvaren, med denne bakdøren inkludert, ble deretter automatisk sendt ut til 3CX sine kunder. Det var nord-koreanske hackere som stod bak angrepet, og målet var å stjele krypto-valuta. Det viser seg etter hvert at det initielle innbruddet hos 3CX skjedde på grunn av et forsyningskjede-angrep. Sikkerhetsselskapet Mandiant meldte at en PC tilhørende en ansatt i 3CX ble hacket gjennom et forsyningskjede-angrep mot programvaren til finans-firmaet Trading Technologies. Angrepet ble gjennomført av den samme nord-koreanske gruppen som kompromitterte 3CX. Dette er antagelig det første eksempelet på et dobbelt forsyningskjede-angrep.
Mange DDoS-angrep blir utført ved å forsterke angrepstrafikken via sårbare tjenester som er tilgjengelig på nettet. Angriper sender en liten pakke med trafikk, forfalsket til å se ut som om den blir sendt fra målet for angrepet, til en sårbar tjeneste. Tjenesten som blir kontaktet, sender deretter svaret på forespørselen til målet, men svaret er mye større enn forespørselen. Angriperen oppnår dermed både å forsterke angrepet sitt og skjule hvor angrepet kommer fra. Det har nå blitt oppdaget en ny tjeneste som kan utnyttes til å gjennomføre denne typen angrep. Tjenesten kalles SLP (Service Location Protocol) og ble laget av Sun Microsystems tilbake i 1997. Tjenesten ble brukt for å registrere tilgjengelige lokale ressurser på det interne nettverket, men var aldri ment å være tilgjengelig utenfor lokalnettet. 35.000 servere eksponerer dessverre tjenesten ut på nettet og kan potensielt sett misbrukes i angrep. Ved å manipulere listen over tilgjengelige enheter før angrepet startes, kan angrepstrafikken forsterkes hele 2200 ganger! Telenors tjeneste for DDoS-beskyttelse håndterer denne typen angrep godt.
Etter at Microsoft har begynt å blokkere makroer fra å kjøre i Office-dokumenter lastet ned fra nettet, har vedlegg i OneNote blitt en populær måte å distribuere malware på. Mottakeren av dokumentet blir lurt til å åpne de vedlagte filene, og maskinen blir infisert. OneNote har så langt ikke hatt en sperre mot å legge ved eksekverbare filer og scripts, men dette blir det nå en endring på. I løpet av de nærmeste ukene vil Microsoft sperre farlige filtyper i alle varianter av OneNote.
CitizenLab har gitt ut en ny rapport som tar for seg tre forskjellige zero-click exploit-kjeder brukt mot iOS av overvåkningsfirmaet NSO-group i 2022. Svakhetene har blant annet blitt brukt mot menneskerettighetsforkjempere og journalister. Både iOS 15 og iOS 16 har vært rammet. Dette dreier seg altså om svakheter som det ikke fantes patcher for på det tidspunktet de ble brukt og som infiserte brukerne uten at de var klar over det. Firmaer som selger denne typen programvare påstår ofte at de kun selger til regjeringer og politi, men mange land misbruker dessverre programvaren til tvilsomme aktiviteter.
Genesis Market ble tatt ned av FBI tirsdag i påskeuken. Markedsplassen har vært kjent for storstilt omsetning av stjålne brukernavn, passord og innloggings-sesjonsnøkler (cookies). I etterkant av aksjonen rapporterte FBI at rundt 120 personer har blitt arrestert i flere land. Innloggingsdetaljene fra markedsplassen har vært brukt både for å plante ransomware, stjele intern informasjon og tyveri fra enkeltpersoner. Etter aksjonen har FBI delt en liste over alle kompromitterte brukere med tjenesten "Have I been Pwned", slik at berørte brukere har fått beskjed om at deres informasjon er på avveie.
QuaDreams er et firma som leverer overvåkingsprogramvare for mobiltelefoner. Firmaet konkurrerer med firmaer som israelske NSO. Denne typen firmaer leverer typisk programvaren sin til myndigheter i forskjellige land. CitizenLab og Microsoft har sett nærmere på firmaet og deres programvare-plattform kalt "Reign", som inkluderer utnyttelseskode og overvåkingsprogramvare for Android og iOS-mobiler. Microsoft har dokumentert at Reign, og spesielt malwaren "KingsPawn", har blitt brukt til å kompromittere og overvåke iPhones tilhørende journalister og personer involvert i politikk i flere land. Det er også tegn på at Android-mobiler er rammet. Etter all oppmerksomheten opplyste firmaet at de er i ferd med å stenge ned virksomheten sin.
I april håndterte TSOC 54 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 111 i februar. Kriminelle tilpasser ofte sine malware-kampanjer og svindelforsøk med temaer som er aktuelle i nyhetsbildet. Dette viste seg ved en alvorlig hendelse som ble avdekket ved hjelp av tjenesten Logganalyse denne måneden. En ansatt ble lurt til å laste ned et falskt tillegg til Chrome-nettleseren, som skulle berike søkeresultater med informasjon fra ChatGPT. I tillegg til dette, stjal imidlertid akkurat denne utvidelsen også login-info som var lagret i nettleseren og sendte dette ut til bakmennene. Vi satte klienten i karantene og kundens driftsorganisasjon ba brukeren om å bytte passord til tjenester som var benyttet fra PCen, samt få reinstallert operativsystemet.
Det var 200 bekreftede DDoS-angrep denne måneden, ned fra 212 i mars. 94 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.26 Gbps og varte i 38 minutter. Det største angrepet observert i denne perioden var på 140 Gbps og varte i litt over én time. Ni av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Ingen kommentarer:
Legg inn en kommentar