Kategorie
News

Inżynieria społeczna za pośrednictwem call center. Polska przypisuje incydent cybernetyczny rosyjskim służbom wywiadowczym.

Przez personel CyberWire

Inżynieria społeczna za pośrednictwem call center.

Microsoft śledzi aktywną kampanię BazaCall, raporty ZDNet. Palo Alto Networks w zeszłym miesiącu opisało, jak BazaCall wykorzystuje backdoory podatne na ataki systemów Windows za pomocą złośliwego oprogramowania BazaLoader. Uwaga dotycząca nazewnictwa: tweety Microsoftu nazwały kampanię i szkodliwe oprogramowanie odpowiednio „BazaCall” i „BazaLoader”. Większość innych nazywa kampanię i złośliwe oprogramowanie „BazarCall” i „BazarLoader”. Tak czy inaczej, są one tym samym zagrożeniem.

Operatorzy BazarCall wykorzystują w efekcie call center jako główne ogniwo w swoim łańcuchu socjotechnicznym. Oszustwo zaczyna się od phishingowej wiadomości e-mail informującej odbiorcę, że jego bezpłatna subskrypcja próbna na jakąś usługę niedługo wygaśnie i jeśli nie zadzwoni pod numer, aby ją anulować, zostanie on automatycznie zarejestrowany i oczywiście obciążony opłatą. Subskrypcja. Przykłady e-maili, które Microsoft udostępnia w swoich tweetach, są oczywiście fałszywe: ZonerPhoto i Prepear Cooking to dwa przykłady phishbait, które podają. Nazwy są zbliżone do nazw legalnych usług, które oczywiście nie mają żadnego związku z phisherami.

Jeśli zostaniesz przekonany do rozmowy, operator (który oczywiście czeka) przekieruje Cię do witryny, z której masz pobrać plik Excel, którego możesz użyć, aby anulować subskrypcję lub odrzucić uaktualnienie do usługa premium i tak dalej. Jeśli będziesz na tyle nieostrożny, aby postępować zgodnie z instrukcjami operatora, zostaniesz przekierowany do witryny, która zgodnie z obietnicą oferuje plik Excela, ale zawiera złośliwe makra zaprojektowane w celu dostarczenia ładunku. Tym ładunkiem był BazarLoader. Niedawno Microsoft twierdzi, że gang używał Cobalt Strike do kradzieży danych uwierzytelniających (w tym bazy danych ofiar Active Directory) i eksfiltracji danych za pośrednictwem rclone.

Kampania jest trudna do powstrzymania środkami technicznymi, zauważa Microsoft. Początkowa wiadomość e-mail nie zawiera żadnych linków ani załączników, które są zwyczajowymi elementami ostrzegającymi o podróży.

Bezpłatna biała księga: Ransomware w ICS

Ransomware staje się coraz większym zagrożeniem dla organizacji przemysłowych zarówno w środowiskach IT, jak i OT. Od 2018 r. liczba incydentów związanych z oprogramowaniem ransomware przeciwko infrastrukturze przemysłowej wzrosła o ponad 500%. Przeczytaj ten oficjalny dokument, aby odkryć 9 zaleceń Dragos, największego i najbardziej doświadczonego zespołu ds. cyberbezpieczeństwa przemysłowego w branży, dotyczących ochrony środowiska przed atakami ransomware. Pobierz oficjalny dokument tutaj.

Ransomware LV jest ocieplony przez REvil.

Secureworks przyjrzał się krążącemu szczepowi oprogramowania ransomware LV i doszedł do wniosku, że LV to w zasadzie tylko ocieplenie nad REvilem, a nie odrębna odmiana. W jaki sposób LV zaczęło dzielić tę samą strukturę kodu, co REvil, nie jest do końca jasne. Właściciele REvil, których Secureworks nazywa „Gold Southfield”, i którzy zastąpili operatorów GandCrab w momencie przejścia tego gangu na emeryturę (lub rozproszenia lub zmiany marki) wiosną 2019 r., mogli go sprzedać, ukradli lub wymienili z jakiś partner kryminalny z innych powodów. Nie ma bezpośrednich dowodów na to, że operatorzy LV (których Secureworks nazywa „Gold Northfield”) prowadzą własny program partnerski, ale Secureworks uważa, że ​​jest to możliwe.

ReverseRAT może być pakistańskim narzędziem cyberszpiegowskim.

Black Lotus Labs firmy Lumen opisało nowego trojana, którego nazywają „ReverseRat”. Szkodnik jest wykorzystywany w operacjach cyberszpiegowskich przeciwko celom rządowym i energetycznym w Azji Południowej i Środkowej. Jej infrastruktura znajduje się w Pakistanie, a Black Lotus Labs wstępnie przypisuje kampanię rządowi Pakistanu. ReverseRat jest uważany za niezwykle wymijający, z niskimi wskaźnikami wykrywalności przez oprogramowanie monitorujące.

Sposób realizacji pierwszego etapu ataku nie jest do końca jasny. Polega ona na dostarczaniu złośliwych adresów URL wskazujących na zhakowane witryny, a Lumen przypuszcza, że ​​podejrzane dokumenty prawdopodobnie docierają w wyniku jakiejś formy phishingu lub smishingu. Phishbait jest różnorodny, ale dokumenty nawiązujące do wydarzeń lub organizacji w Indiach są powszechne. Lumen widział również phishbait COVID-19 i tematy, które mogą zainteresować osoby pracujące w sektorze energetycznym. Większość ofiar znajdowała się w Indiach, a mniejszy zestaw celów w Afganistanie.

Zdobądź tytuł magistra cyberbezpieczeństwa w niepełnym wymiarze godzin i online w Georgetown.

Chcesz rozwinąć swoją karierę w dziedzinie cyberbezpieczeństwa? Zapoznaj się z programem studiów podyplomowych Georgetown University w zakresie zarządzania ryzykiem cyberbezpieczeństwa. Idealny dla pracujących profesjonalistów, nasz program oferuje elastyczne opcje zajęć online, na terenie kampusu lub poprzez połączenie obu – dzięki czemu nie musisz przerywać kariery, aby zdobyć dyplom. Opuścisz program z wiedzą, której potrzebujesz, aby skutecznie zarządzać ryzykiem i radzić sobie z coraz bardziej złożonymi cyberzagrożeniami. Poznaj program.

Kupione reklamy Google wyświetlają Redline Stealer.

Firma eSentire donosi o znalezieniu złośliwych reklam Google dla komunikatorów Signal i Telegram, które skłaniają odwiedzających do pobrania Redline Stealer, złośliwego oprogramowania gromadzącego informacje, które przestępcy następnie sprzedają w różnych sklepach typu dark web.

Nie tylko Signal i Telegram są fałszowane w celu dostarczania złośliwej zawartości. eSentire mówi, że inni widzieli podobną aktywność podszywającą się pod AnyDesk lub Dropbox. W tym przypadku cyberprzestępcy używają przekonująco sfałszowanych stron pobierania aplikacji. Użytkownicy, którzy spróbują zdobyć te aplikacje podczas swojej wizyty, zostaną „zaprojektowani społecznie”, jak to określa eSentire, w celu pobrania i zainicjowania Redline Infostealer. eSentire zauważa: „Chociaż nie znamy całkowitej kwoty, jaką cyberprzestępcy wydali na reklamy Google, wiemy, że zakup słowa kluczowego „Telegram” może kosztować 0,40 USD za kliknięcie, podczas gdy słowo kluczowe „Sygnał” może kosztować nawet 1,40 USD za kliknięcie”.

Obawy dotyczące łańcucha dostaw w amerykańskiej bazie przemysłu obronnego.

Incydenty z oprogramowaniem ransomware Colonial Pipeline i JBS wzbudziły obawy dotyczące dwóch kluczowych sektorów infrastruktury, a ostatnie raporty sugerują, że sektor wodno-kanalizacyjny również był atakowany częściej, niż sądzono. Dziś rano BlueVoyant opublikowało badanie amerykańskiej bazy przemysłu obronnego, z którego wynika, że ​​ten sektor również wykazuje znaczne słabości, szczególnie wśród mniejszych firm. Połowa z trzystu małych i średnich firm została uznana za krytycznie podatną na oprogramowanie ransomware; 28% nie spełniało wymagań CMMC.

Jeśli jedna z tych firm zostanie zainfekowana, istnieje możliwość zakłóceń w łańcuchach dostaw, w których firma się znajduje. Istnieje również możliwość, że oprogramowanie ransomware może zostać rozprzestrzenione z pierwotnej ofiary na partnerów, wykonawców i podwykonawców. Według Washington Post założenie, z którego napastnicy (przestępcy, szpiedzy, korsarze czy sabotażyści) prawdopodobnie będą działać, jest takie, że mniejsze firmy są z natury mniej dobrze chronione przed cyberatakami niż większe firmy w kraju. sektor obronny.

Fałszywe raportowanie pozycji okrętów wojennych.

Dwa okręty wojenne NATO, holenderski statek Evertsen i HMS Defender Królewskiej Marynarki Wojennej, operujące na Morzu Czarnym i odwiedzające ukraiński port w Odessie, zostały błędnie zgłoszone jako przeniosły się na sporne wody w pobliżu rosyjskiego portu Sewastopol. USNI News donosi, że wydaje się, że sygnały Systemu Automatycznej Identyfikacji (AIS) zostały sfałszowane, aby sprawiać wrażenie, że okręty wojenne zaangażowały się w to, co w rzeczywistości byłoby prowokacją. W rzeczywistości oba statki pozostały w Odessie. Nie jest jasne, czy raporty AIS zostały celowo sfałszowane i przez kogo, lub czy incydent wiązał się z jakąś awarią, w jaki sposób doszło do błędnego raportowania. (Jeśli nie znasz AIS, brytyjski sprzedawca elektroniki ICOM ma na swojej stronie przydatny przegląd systemu.)

Większość statków handlowych musi być wyposażona w system AIS, który między innymi jest cenną pomocą w unikaniu kolizji. Okręty wojenne również zazwyczaj posiadają AIS, chociaż ze względów bezpieczeństwa mogą go wyłączyć w razie potrzeby, ponieważ ich lokalizacja jest często wrażliwa. Ale marynarki również są zainteresowane bezpiecznym tranzytem: na przykład w 2017 roku po dwóch śmiertelnych kolizjach między okrętami wojennymi US Navy a statkami komercyjnymi US Navy nakazała swoim statkom włączyć AIS na wodach o dużym natężeniu ruchu.

Jest więc kilka punktów w elektronicznym łańcuchu, w których pozycje AIS dla dwóch okrętów NATO na Morzu Czarnym mogły zostać sfałszowane, ale wydaje się, że zarówno Evertsen, jak i Defender byli w Odessie, gdzie należeli, i mieli pełne prawo być. Ponownie, w jaki sposób lokalizacje zostały błędnie zgłoszone, na razie nie wiadomo, ale incydent miał miejsce podczas operacji wolności mórz, podczas której siły rosyjskie rzuciły wyzwanie i nękały brytyjski okręt wojenny na spornych wodach międzynarodowych. Defense One ma raport na temat tego incydentu, który, jak twierdzi, pokazuje rosyjską determinację do zajęcia wód wokół Półwyspu Krymskiego, nielegalnie zajętych na Ukrainie w 2014 roku.

Dołącz do Ricka Howarda i naszego zespołu ekspertów w transmisji na żywo.

Kwartalne rozmowy analityków CyberWire Pro mają kluczowe znaczenie dla każdego, kto chce zwiększyć swoją świadomość cyberbezpieczeństwa. Każda dyskusja jest prowadzona przez Ricka Howarda i obejmuje dwóch gości, którzy omawiają kluczowe wydarzenia związane z cyberbezpieczeństwem z ostatnich 90 dni. Ta rozmowa kwartalna odbędzie się w środę, 30 czerwca o godzinie 14:00 czasu wschodniego. W tym kwartale do Ricka dołączają dr Georgianna Shea z Fundacji Obrony Demokracji (FDD) i Benjamin Yelin z Centrum Zdrowia i Bezpieczeństwa Wewnętrznego UMD. Ucz się więcej.

Kimsuky uważał się za odpowiedzialny za naruszenie w południowokoreańskim instytucie badań jądrowych.

Południowokoreański Instytut Badań Energii Atomowej (KAERI) ujawnił pod koniec zeszłego tygodnia, że ​​kilka nieautoryzowanych stron uzyskało dostęp do wewnętrznych sieci KAERI. The Record donosi, że część infrastruktury wykorzystanej podczas włamania można było prześledzić do północnokoreańskiej grupy Kimsuky. KAERI początkowo zaprzeczył, jakoby incydent miał miejsce. Instytut przeprosił w piątek za wcześniejsze wypowiedzi.

Według BleepingComputer do włamania doszło 14 czerwca, a cyberprzestępca uzyskał dostęp przez lukę VPN.

Na początku tego miesiąca Malwarebytes Lab opublikował raport na temat Kimsuky, cyberprzestępcy, który, jak się powszechnie uważa, pracuje dla Biura Generalnego Rozpoznania Koreańskiej Republiki Ludowo-Demokratycznej. Malwarebytes wymienił dużą liczbę celów:

  • Ministerstwo Spraw Zagranicznych Republiki Korei, I sekretarz,
  • Ministerstwo Spraw Zagranicznych Republiki Korei, II sekretarz,
  • Minister Handlu,
  • Zastępca Konsula Generalnego w Konsulacie Generalnym Korei w Hongkongu,
  • urzędnika ds. bezpieczeństwa jądrowego Międzynarodowej Agencji Energii Atomowej (MAEA),
  • Ambasador Ambasady Sri Lanki w Republice Korei oraz,
  • radca Ministerstwa Spraw Zagranicznych i Handlu.

Norwegia obwinia za naruszenie swoich sieci rządowych w 2018 r. chiński APT31.

Norwegia przypisała Chinom naruszenie w 2018 r. rządowej sieci informatycznej. W szczególności Służba Bezpieczeństwa Policji (PST) stwierdziła, że ​​incydent cyberszpiegowski był dziełem APT31. „Śledztwo ujawniło, że aktorowi udało się uzyskać uprawnienia administratora, które dawały mu dostęp do scentralizowanych systemów komputerowych, z których korzystają wszystkie urzędy administracji państwowej w kraju”, stwierdził PST, dodając, że „Aktorowi udało się również przenieść część danych z urzędów”. systemy. Nie poczyniono wiarygodnych ustaleń technicznych na temat tego, jakie informacje zostały przekazane, ale śledztwo pokazuje, że prawdopodobnie istniały nazwy użytkowników i hasła związane z pracownikami różnych urzędów administracji państwowej”.

Polska przypisuje incydent cybernetyczny rosyjskim służbom wywiadowczym.

Warszawa twierdzi, że jej niedawny cyberatak był dziełem Moskwy, a przynajmniej dziełem cyberprzestępców działających z Rosji. Wysocy rangą przedstawiciele polskiego rządu spotkali się w zeszłym tygodniu, aby porozmawiać za zamkniętymi drzwiami na temat incydentu z włamaniem do poczty elektronicznej. W piątek wicepremier Jarosław Kaczyński powiedział, jak cytuje go Reuters: „Analiza naszych służb i służb specjalnych naszych sojuszników pozwala jednoznacznie stwierdzić, że cyberatak został przeprowadzony z terytorium Federacji Rosyjskiej. Jego skala i zakres jest szeroki.”

Uzyskano dostęp do e-maili należących do członków parlamentu i urzędników państwowych, a także do niektórych e-maili należących do członków ich rodzin. Incydent wydawał się nie mieć żadnych szczególnych uprzedzeń za lub przeciw jakiejkolwiek partii politycznej, ponieważ dotyczyło to wielu partii.

Według BleepingComputer ataki dotknęły co najmniej trzydziestu członków parlamentu, urzędników i dziennikarzy, a kampania rozpoczęła się we wrześniu ubiegłego roku. Raport mówi, że Polska Agencja Bezpieczeństwa Wewnętrznego powiadomiła sojuszników z NATO o niedawnych rosyjskich cyberatakach, których celem, jak mówią polscy urzędnicy, było „uderzenie w polskie społeczeństwo i zdestabilizowanie kraju”. Zaznajomiony z incydentem unijny dyplomata powiedział POLITICO, że „W piątek Polska przekazała państwom członkowskim UE, Komisji Europejskiej i Radzie dokument dotyczący szczegółów cyberataków przeprowadzonych w ostatnich dniach”. Dyplomata ten powiedział również, że „analiza operacyjna i techniczna przeprowadzona przez polskie krajowe zespoły reagowania na incydenty cyberbezpieczeństwa potwierdziła, że ​​infrastruktura i modus operandi wykorzystywane podczas cyberataków były takie same, jak wykorzystywane przez podmioty sponsorowane przez Rosję”.

Spekulacje w prasie sugerują, że kradzież e-maili mogła być dziełem rosyjskiego SVR. Polskie władze przypisują kampanię UNC1151, cyberprzestępcy związanemu z rosyjskimi służbami wywiadowczymi i powszechnie uważanym za odpowiedzialnego za kampanię Ghostwritera. Według The Hill polskie służby wywiadowcze traktują kampanię jako część większego wysiłku, którego celem jest destabilizacja rządów Europy Środkowej. „Z ustaleń Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego wynika, że ​​za niedawnymi atakami hakerskimi w Polsce stoi grupa UNC1151” – powiedział rzecznik polskiego Ministra Koordynatora Służb Specjalnych.

Rozwijaj swoją markę, generuj leady i wypełniaj lejek sprzedaży.

Każdego miesiąca nasze programy docierają do ponad ćwierć miliona unikalnych słuchaczy, którym zależy na cyberbezpieczeństwie, w tym do najbardziej wpływowych liderów i decydentów w branży. Od Fortune 10 po wschodzące startupy, mamy opcje, które pomogą Ci osiągnąć Twoje cele i dopasować się do Twojego budżetu. Skontaktuj się z nami już dziś, aby otrzymać nasz zestaw medialny i dowiedzieć się o możliwościach sponsorowania.

Zbrodnia i kara.

SecurityWeek donosi, że francuskie władze oskarżyły czterech byłych i obecnych dyrektorów Nexa Technology, firmy zajmującej się przechwytywaniem danych, znanej wcześniej jako Amesys, pod zarzutem współudziału w torturach przeprowadzanych przez Egipt i libijski reżim zmarłego Muammara Kadafiego. Zarzuty to „współudział w aktach tortur” i „współudział w aktach tortur i wymuszonych zaginięciach”. Amesys sprzedał Libii pułkownika Kadaffiego narzędzia do głębokiej kontroli przesyłek, a oskarżenia twierdzą, że rząd libijski wykorzystywał je do inwigilacji i aresztowania opozycjonistów, którzy byli następnie torturowani. Po zmianie marki na Nexa, firma jest oskarżana o sprzedaż wersji oprogramowania „Cerebro” firmy Amesys, zdolnego do śledzenia wiadomości i połączeń w czasie rzeczywistym, egipskiemu rządowi, który rzekomo używał go w podobnie represyjny sposób. Problem tkwi w doborze klienta.

Departament Sprawiedliwości USA przejął we wtorek trzydzieści trzy strony internetowe wykorzystywane przez Irańską Islamską Unię Radiową i Telewizyjną oraz trzy kolejne prowadzone przez Kataib Hezbollah. W porozumieniu z rządem irańskim media działały z naruszeniem sankcji USA wobec wyznaczonych grup terrorystycznych. Domeny przejęte przez Justice były własnością amerykańskiej korporacji. Inne strony z siedzibą za granicą były poza zakresem nakazu. Należy zauważyć, że natychmiastowym przestępstwem jest naruszenie sankcji, a nie zaangażowanie w propagandę lub dezinformację.

Ambiwalencja w oficjalnej polityce i przepisach USA może skomplikować reakcje ofiar na ataki ransomware. Chociaż FBI odradza płacenie okupu, takie płatności mogą podlegać odliczeniu od podatku, informuje AP.

Reuters donosi, że pionier komercyjnego oprogramowania antywirusowego John McAfee zmarł w środę w więzieniu w Barcelonie, co jest pozornym samobójstwem. Wcześniej tego dnia sąd hiszpański orzekł, że McAfee zostanie poddany ekstradycji do Stanów Zjednoczonych, gdzie został oskarżony o uchylanie się od płacenia podatków. McAfee miał 75 lat.

Polityki, zamówienia i akcje agencji.

The Economist postrzega tę konwergencję cyberprzestępczości i hakowania kierowanego przez państwo jako cechę definiującą napady na banki nowej generacji. Czy to w formie korsarstwa, jak widzieli obserwatorzy w działaniach rosyjskich gangów ransomware, czy tolerowania przez państwo cyberprzestępczości, bardziej dobroczynnego odczytywania działań rosyjskich gangów, czy nawet bezpośredniej kradzieży przez same państwa, jak widać w działalności północnokoreańskiej grupy Lazarus, relacje mogą być bliskie, złożone i dyskusyjne.

Komunikat NATO wydany w zeszłym tygodniu po szczycie w Brukseli (i dwa dni przed środowym spotkaniem prezydenta Rosji Putina i prezydenta USA Bidena) dotyczył konfliktu cybernetycznego. Sojusz Atlantycki rozpoczął od powtórzenia swojego zobowiązania do przestrzegania Artykułu 5, układu zbiorowego o obronie, zgodnie z którym atak na jednego członka uważany jest za atak na wszystkich. Wskazał również na rosnące tempo rosyjskich operacji hybrydowych, w szczególności operacji cybernetycznych, dezinformacji i tolerowania cyberprzestępczości. W przypadku cyberataku Rada Północnoatlantycka będzie decydować w każdym przypadku indywidualnie, czy powołać się na art. 5.

The Social donosi, że zastępca sekretarza obrony USA ds. polityki cybernetycznej Mieke Eoyang powiedziała Senackiej Podkomisji Sił Zbrojnych ds. Cyber, że pomimo komplikacji związanych z prawem międzynarodowym, historia zwalczania piractwa zawiera cenne lekcje dotyczące radzenia sobie z obecnymi atakami ransomware. Wydaje się, że ma na myśli piratów berberyjskich, tolerowanych i popieranych przez władze Trypolitan, a nie legalnych bojowników, którzy żeglowali pod listami marki i odwetu.

Reuters donosi, że amerykańska NSA otworzyła Centrum Współpracy w zakresie Cyberbezpieczeństwa. Nowe Centrum dąży do zacieśnienia więzi z firmami amerykańskimi. Mamy nadzieję, że udostępnianie informacji o atakach przyniesie obopólne korzyści, zwłaszcza że firmy, które obsługują części infrastruktury krytycznej, są coraz częściej atakowane.