Zestawienie tygodniowe 4 - 11 października

Giganci mediów społecznościowych mają ostatnio pod górkę. Najpierw awaria Facebooka i powiązanych podmiotów teraz Twitch, popularna platforma Amazon do strumieniowego przesyłania wideo na żywo, potwierdziła w czwartek, że hakerzy wykorzystali błąd w konfiguracji serwera, aby ukraść dane. W tym informacje, ile streamerzy gier zarobili w ciągu ostatniego roku.

Serwis zareagował standardowo: „Nasze zespoły pilnie pracują nad zbadaniem incydentu”, oraz empatycznie: „Rozumiemy, że ta sytuacja budzi obawy”, a także, jako środek ostrożności, zresetował klucze dostępu do wszystkich kont streamerów.

Przeciek danych został potwierdzony poprzez post w 4Chan, który zawierał 125 gigabajtów danych min: kod źródłowy Twitcha, zapisy wypłat dla streamerów oraz usług dystrybucji cyfrowych gier wideo stworzoną przez Amazon Game Studios. Mimo tego w dalszym ciągu nie udało się potwierdzić zakresu włamania. Osoba, która opublikowała post, zostawiła wiadomość, w której twierdzi, że włamanie miało na celu wspieranie konkurencji w transmisji strumieniowej wideo, a także motywując włamanie tym, że społeczność Twitcha „jest obrzydliwym toksycznym szambem”, zgodnie z doniesieniami mediów.

To kolejna porażka cyberobrony Twitcha, która nie powstrzymała „nalotu nienawiści” zorganizowanego przez „boty” atakujące streamerów, którzy nie są białymi mężczyznami hetero. Serwis pozywał dwóch użytkowników w amerykańskim sądzie federalnym, oskarżając ich o organizowanie „nalotów nienawiści”. Platforma domaga się nieokreślonych odszkodowań. Identyfikując atakujących jako mieszkańca Holandii skrywającego się za kontem CruzzControl i mieszkańca Wiednia z kontem CreatineOverdose.

Twitch odwiedza codziennie ponad 30 milionów ludzi, a platforma obsługuje ponad siedem milionów streamerów.

Autor: Kapitan Hack Data dodania: 11 paź 2021 12:26 5 min czytania

Nowy malware dedykowany pod Linuxa- FontOnLake

W czwartek firma ESET zamieściła ciekawą informację. Nieznana wcześniej, modularna rodzina szkodliwego oprogramowania, dedykowana na systemy Linux, była wykorzystywana w atakach ukierunkowanych w celu gromadzenia danych uwierzytelniających i uzyskiwania dostępu do systemów ofiar. Nazwana została FontOnLake, wykorzystuje rootkita do ukrywania swojej obecności oraz różne serwery dowodzenia i kontroli dla każdej próbki, co pokazuje, jak ostrożni są jej operatorzy.

Co więcej, twórcy złośliwego oprogramowania stale modyfikują moduły FontOnLake i wykorzystują trzy kategorie komponentów, które zostały zaprojektowane do współpracy, a mianowicie aplikacje strojanizowane, backdoory i rootkity.

Dowody sugerują, że FontOnLake został wykorzystany w atakach wymierzonych w organizacje w Azji Południowo-Wschodniej.

Pierwsze próbki szkodliwego oprogramowania powiązane z tą rodziną pojawiły się w maju ubiegłego roku. Złośliwe oprogramowanie zostało wcześniej opisane przez Avast i Lacework jako rootkit HCRootkit / Sutersu Linux, a także przez Tencent Security Response Center w lutowym raporcie.

Różne strojanizowane aplikacje, które badacze ESET zidentyfikowali podczas dochodzenia, są wykorzystywane do ładowania niestandardowych modułów backdoora lub rootkitów, ale także do zbierania poufnych danych.

Analiza FontOnLake przeprowadzona przez ESET ujawniła użycie trzech różnych backdoorów, wszystkie napisane w C ++, wszystkie korzystające z tej samej biblioteki Asio z Boost i wszystkie są zdolne do eksfiltracji poświadczeń sshd i historii poleceń bash.

Zero day w Apache z problemami z łataniem

Projekt Apache HTTP Server w czwartek ogłosił wydanie kolejnej aktualizacji w odpowiedzi na niedawno odkrytą „lukę dnia zerowego” po ustaleniu, że początkowa poprawka była niekompletna.

Luka, śledzona jako CVE-2021-41773, może zostać wykorzystana do przemierzania ścieżki i zdalnego wykonywania kodu. Luka dotyczy serwera Apache HTTP Server 2.4.49 i została wykorzystana w atakach, dlatego ważne jest, aby organizacje jak najszybciej zainstalowały poprawki.

Apache HTTP Server 2.4.50 został początkowo wydany z poprawką CVE-2021-41773, ale poprawka nie była wystarczająca. Przypisano kolejny identyfikator CVE, CVE-2021-42013, a serwer HTTP Server 2.4.51 został wydany w czwartek, próbując dostarczyć pełniejszą łatkę.

Kiedy luka w zabezpieczeniach wyszła na światło dzienne, istniało około 112 000 potencjalnie podatnych na ataki serwerów z dostępem do Internetu, na których działała wersja HTTP Server 2.4.49, której dotyczy luka. W tej chwili liczba ta spadła do około 98 000, przy czym większość serwerów znajduje się w Ameryce Północnej i Europie Zachodniej. Według danych Shodan, liczba serwerów z wersją 2.4.50 wynosi obecnie 12 000, a tylko około 1600 zostało zaktualizowanych do wersji 2.4.51.