Menu dostępności

Zestawienie tygodniowe 27 kwietnia – 4 maja


W czwartek Oracle ostrzegło klientów, że zauważono ataki, próbujące wykorzystać ostatnio załatane luki, w tym krytyczną lukę w serwerze WebLogic Server, śledzoną jako CVE-2020-2883. Potwierdził to Eric Maurice, dyrektor ds. Zapewnienia bezpieczeństwa w Oracle – „pojawiają się doniesienia o próbach złośliwego wykorzystania szeregu ostatnio załatanych luk”. Komunikaty Oracle wspominają tylko o CVE-2020-2883, ale firma radzi klientom, aby jak najszybciej zainstalowali najnowsze łatki. Przede wszystkim aktualizacje krytycznej poprawki (CPU) z kwietnia 2020r usuwa prawie 400 luk, w tym CVE-2020-2883, krytyczną wadę serwera Oracle WebLogic Server, którą może wykorzystać nieuwierzytelniony atakujący do zdalnego wykonania kodu.

Firma Oracle uznała kilka niezależnych zgłoszeń tej luki, w tym Bui Duong z Viettel Cyber Security, Jang z VNPT ISC, Kaki King, lufei z Qi An Xin Group i Quynh Le z VNPT ISC.
Quynh Le poinformował Oracle o swoich odkryciach za pośrednictwem inicjatywy Zero Day Initiative (ZDI) firmy Trend Micro, która niedawno opublikowała porady opisujące dwa warianty CVE-2020-2883 zidentyfikowane przez badacza w lutym i marcu.

„Specyficzna wada istnieje w ramach obsługi protokołu T3. Spreparowane dane w komunikacie protokołu T3 mogą spowodować deserializację niezaufanych danych. Osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu”, ujawnia poradnik ZDI.


Szkodliwe oprogramowanie na Androida


Naukowcy zajmujący się bezpieczeństwem z Cybereason Nocturnus ostrzegają o nowo odkrytym kawałku szkodliwego oprogramowania na Androida. Jest on przeznaczony dla użytkowników blisko 300 aplikacji finansowych w Stanach Zjednoczonych i Europie.

Nazwany EventBot, wydaje się nowo opracowanym oprogramowaniem złośliwym, ponieważ jego kod znacznie różni się od kodu innych szkodliwych programów dla Androida. Co więcej, naukowcy uważają, że ten trojan bankowy i infostealer jest w fazie dynamicznego rozwoju. Trojan został zaprojektowany w celu nadużywania funkcji ułatwień dostępu Androida, kradzieży informacji o użytkownikach i urządzeniach oraz danych z różnych aplikacji, w tym ukierunkowanego oprogramowania finansowego i wiadomości SMS. EventBot, może potencjalnie wykraść kluczowe dane biznesowe, biorąc pod uwagę, że urządzenia mobilne przechowują wiele danych biznesowych oprócz danych osobowych, zwłaszcza w organizacjach, które mają zasady „Bring Your Own Device”.

Po zainstalowaniu bot prosi o dużą liczbę uprawnień na urządzeniu, takich jak możliwość wyświetlania na innych aplikacjach, odczytywanie pamięci zewnętrznej, instalowanie pakietów, otwieranie gniazd sieciowych, odbieranie wiadomości SMS lub uruchamianie przy starcie systemu, i prosi użytkownika o włączenie usług dostępności.

Plik konfiguracyjny, który pobiera złośliwe oprogramowanie, zawiera listę ukierunkowanych aplikacji, w tym 185 aplikacji bankowych (dla banków we Włoszech, Wielkiej Brytanii, Niemczech, Francji, Hiszpanii, Stanach Zjednoczonych, Rumunii, Irlandii, Indiach, Austrii, Szwajcarii, Australii i Polsce), oraz 111 globalnych aplikacji finansowych, takich jak Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase i paysafecard.

Trojan wysyła zapytanie do listy zainstalowanych aplikacji i informacji systemowych i wysyła wszystkie dane do serwera dowodzenia i kontroli (C&C) w postaci zaszyfrowanej, a także może analizować wiadomości SMS, co pozwala ominąć zabezpieczenia uwierzytelniania dwuskładnikowego. Funkcja o nazwie parseCommand pozwala trojanowi na aktualizację plików konfiguracyjnych, webinjectów, C&C i tym podobnych. Złośliwe oprogramowanie może aktualizować swój główny moduł, a także umożliwia dynamiczne ładowanie tego modułu. Nowsze wersje trojana mają możliwość śledzenia zmian kodu PIN w ustawieniach urządzenia.

Dochodzenie w sprawie EventBot ujawniło wiele próbek przesłanych do VirusTotal przez tego samego użytkownika, a badacze uważają, że przesłano je z komputera autora lub z usługi wykrywania, która z kolei przesyła próbki do internetowych baz danych złośliwego oprogramowania.

EventBot nie wydaje się być wykorzystywany w do wielu kampanii, a naukowcy nie mogli jeszcze przypisać go do konkretnego aktora. Oczekują jednak, że złośliwe oprogramowanie zostanie wprowadzone do podziemnych społeczności po zakończeniu programowania. Jednak Cybereason Nocturnus był w stanie połączyć EventBot z C&C, którego infostealer Android Trojan użył do ataków na Włochy pod koniec 2019 roku.

„Z każdą nową wersją złośliwe oprogramowanie dodaje nowe funkcje, takie jak dynamiczne ładowanie biblioteki, szyfrowanie i zmiany zależne od lokalizacji i producenta. EventBot wydaje się być zupełnie nowym złośliwym oprogramowaniem na wczesnych etapach rozwoju, co daje nam ciekawy pogląd na to, w jaki sposób atakujący tworzą i testują swoje szkodliwe aplikacje ” – podsumowuje Cybereason Nocturnus.


Sukces targetowanych ataków


W ciągu ostatnich kilku miesięcy wiele grup osób atakujących skutecznie przejęło korporacyjne konta e-mail składające się z co najmniej 156 wysokich rangą oficerów w różnych firmach z siedzibą w Niemczech, Wielkiej Brytanii, Holandii, Hongkongu i Singapurze. Nowa kampania cyberataków, nazwana „PerSwaysion”, wykorzystała usługi udostępniania plików Microsoft – w tym Sway, SharePoint i OneNote – do przeprowadzenia wysoce ukierunkowanych ataków phishingowych. To kolejny raport Group-IB Threat Intelligence. Według niego operacje PerSwaysion zaatakowały kierownictwo ponad 150 firm na całym świecie, przede wszystkim firmy z sektora finansowego, prawa i nieruchomości. „Wśród tych oficerów wysokiego szczebla pojawiło się ponad 20 kont kierowników, prezesów i dyrektorów zarządzających w Office365”. Większość operacji PerSwaysion zostało zorganizowanych przez oszustów z Nigerii i Południowej Afryki, którzy korzystali z zestawu phishingowego opartego na JavaScript Vue.js, ewidentnie opracowanego i wynajętego od wietnamskojęzycznych hakerów.

„Do końca września 2019r. kampania PerSwaysion przyjęła wiele dojrzałych stosów technologicznych, używając Google Appspot do serwerów phishingowych i Cloudflare do serwerów zaplecza danych”. Podobnie jak większość ataków phishingowych mających na celu kradzież danych uwierzytelniających Microsoft Office 365, fałszywe wiadomości e-mail wysyłane w ramach operacji PerSwaysion również przyciągały ofiary nieszkodliwym załącznikiem PDF zawierającym link „czytaj teraz” do pliku hostowanego przez Microsoft Sway.

„Atakujący wybierają legalne usługi udostępniania treści w chmurze, takie jak Microsoft Sway, Microsoft SharePoint i OneNote, aby uniknąć wykrycia ruchu” – twierdzą naukowcy.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...