Lista narzędzi cyberbezpieczeństwa od CISA
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) ogłosiła w piątek, że opracowała listę bezpłatnych narzędzi i usług, które mogą pomóc organizacjom zmniejszyć ryzyko i poprawić odporność.
Lista obejmuje narzędzia typu open source i bezpłatne zasoby dostarczane przez różne firmy prywatne i organizacje rządowe. CISA planuje ciągłe aktualizowanie listy, a także stworzenie procesu, dzięki któremu strony trzecie będą mogły zgłaszać inne zasoby do włączenia.
Narzędzia i usługi koncentrują się na pomaganiu organizacjom w zmniejszaniu prawdopodobieństwa wystąpienia szkodliwego incydentu cybernetycznego, szybkim wykrywaniu złośliwej aktywności, reagowaniu na incydenty i maksymalizacji odporności.
Lista obejmuje obecnie około 100 narzędzi i usług, w tym te oferowane przez CISA, Microsoft, Google, Cloudflare, Cisco, Center for Internet Security, CrowdStrike, Tenable, AT&T Cybersecurity, IBM, Mandiant, Splunk, VMware, SANS, Secureworks. Dwadzieścia pięć z nich to narzędzia typu open source, które nie są powiązane z dostawcami.
CISA zauważyła, że nie promuje żadnego komercyjnego produktu ani usługi i „nie świadczy o przydatności ani skuteczności tych usług i narzędzi w żadnym konkretnym przypadku użycia”.
Agencja doradzała organizacjom — przed skorzystaniem z bezpłatnych narzędzi i usług — naprawianie znanych luk wysokiego ryzyka, wdrażanie uwierzytelniania wieloskładnikowego, zastępowanie nieobsługiwanych produktów i zmniejszanie powierzchni ataków internetowych. Organizacje mogą również zarejestrować się w programie CISA Cyber Higiene Vulnerability Scanning, który obejmuje skanowanie luk w zabezpieczeniach i dostarczanie cotygodniowych raportów.
CISA prowadzi również listę ponad 370 luk w zabezpieczeniach, o których wiadomo, że zostały wykorzystane w atakach. Agencje federalne są zobowiązane do naprawienia tych usterek w określonych ramach czasowych, ale innym organizacjom zaleca się również korzystanie z listy w celu ustalenia priorytetów w zakresie łatania.
Nowy botnet!
ZeroFox, firma zajmująca się cyberbezpieczeństwem donosi o powstaniu w ciągu ostatnich kilku miesięcy nowego botnetu opartego na Golangu, którego celem jest system Windows.
Botnet o nazwie Kraken może pobierać i wykonywać dodatkowe ładunki na zaatakowanych systemach, ale oprócz utrzymywania trwałości jest również zdolny do zbierania informacji, wykonywania poleceń powłoki, kradzieży kryptowalut i robienia zrzutów ekranu.
Kraken początkowo pojawił się na GitHub 10 października 2021 r., a kod źródłowy poprzedzał wszystkie zaobserwowane pliki binarne. Nie jest jednak jasne, czy operator botnetu utworzył konto GitHub, czy po prostu ukradł kod.
Botnet rozprzestrzenia się za pośrednictwem backdoora SmokeLoader. Początkowo był wdrażany jako samorozpakowujące się pliki RAR SFX, ale teraz backdoor pobiera Krakena bezpośrednio.
Botnet próbuje uniknąć wykrycia, uruchamiając dwa polecenia: jedno, aby instruować program Microsoft Defender, aby nie skanował jego folderu instalacyjnego, a drugie, aby ustawić ukryty atrybut skopiowanego pliku EXE.
Ponadto Kraken ustawia określony klucz rejestru systemu Windows w sekcji “Run”, który zapewnia jego wykonanie za każdym razem, gdy ofiara się loguje.
Botnet posiada prosty zestaw możliwości, ale zaobserwowano, że jego operatorzy dodają nowe funkcje do szkodliwego oprogramowania, w tym funkcję zbierania informacji. Jest również zdolny do pobierania i wykonywania dodatkowych ładunków i aktualizacji botów.
Zagrożenie umożliwia również operatorom uruchamianie poleceń powłoki i robienie zrzutów ekranu po wykonaniu. Niektóre z obserwowanych kompilacji zawierały funkcję brute-forsingu SSH, która została usunięta.
Niedawno twórcy Krakena dodali możliwość kradzieży środków z różnych portfeli kryptowalut. Dane uzyskane z puli eksploracji kryptowalut pokazują, że operatorzy botnetu zarabiają około 3000 USD miesięcznie.
Od października 2021 r. cyberprzestępcy stworzyli wiele wersji pulpitu administracyjnego, przy czym nowsze zostały całkowicie przeprojektowane i oferują więcej statystyk i informacji, a także dodatkowe opcje wyboru celów.
Według ZeroFox, ponieważ operatorzy Krakena używają SmokeLoadera do dostarczania, setki nowych botów są dodawane do sieci za każdym razem, gdy zmieniają serwer C&C.
Microsoft Teams używany w atakach
Niedawno zidentyfikowana, złośliwa kampania, używała Microsoft Teams do dystrybucji złośliwego oprogramowania, donosi firma Avanan zajmująca się bezpieczeństwem poczty e-mail dla przedsiębiorstw.
Platforma Microsoft Teams do współpracy dla przedsiębiorstw jest atrakcyjnym celem zarówno dla cyberprzestępców, jak i podmiotów zajmujących się zaawansowanymi trwałymi zagrożeniami (APT), biorąc pod uwagę, że od stycznia 2022 r. obsługuje ponad 270 milionów użytkowników miesięcznie.
Od zeszłego miesiąca Avanan zaobserwował tysiące złośliwych ataków, w których adwersarze upuszczali złośliwe pliki wykonywalne w rozmowach usługi Teams, próbując zainfekować komputery ofiar trwałymi trojanami.
Po uruchomieniu taki złośliwy plik zapisuje dane w rejestrze systemu Windows, a następnie uruchamia plik DLL i tworzy łącza skrótów, dzięki czemu wdrożony złośliwy program może „samodzielnie administrować”.
Jak zauważa firma zajmująca się bezpieczeństwem poczty e-mail, osoby atakujące mogą uzyskać dostęp do konwersacji w usłudze Teams, włamując się na konto e-mail użytkownika lub używając skradzionych danych uwierzytelniających do platformy Microsoft 365. Następnie przeciwnik umieszcza na czacie trojana w postaci pliku .exe o nazwie „User Centric”.
„Po kliknięciu plik ostatecznie przejmie komputer użytkownika. Używając pliku wykonywalnego lub pliku zawierającego instrukcje uruchamiania systemu, hakerzy mogą instalować biblioteki złośliwych plików (pliki DLL), które umożliwiają programowi samodzielne administrowanie i przejęcie kontroli nad komputerem” — mówi Avanan.
Po dostaniu się do środowiska organizacji atakujący szukają sposobów na ominięcie istniejących zabezpieczeń i systemów dostępu będących przedmiotem zainteresowania.
Według Avanana takie ataki okazują się skuteczne ze względu na ograniczone zabezpieczenia w usłudze Teams oraz ze względu na nieodłączne zaufanie użytkowników do platformy współpracy. W związku z tym mogą zignorować ryzyko, jakie stwarzają pliki pochodzące z aplikacji Teams i mogą nie sprawdzać, czy użytkownicy w rozmowie są tymi, za kogo się podają.