Author: admin

APT-Q-12 uporablja kompleksne tehnike za zbiranje podatkov in izvajanje prilagojenih napadov

Napadalna skupina, znana kot APT-Q-12, nadgrajuje svoje metode za zbiranje podatkov z uporabo naprednih linij napadalnih vektorjev in zanjo posebej prilagojene tehnike. Ena izmed tehnik, ki jo skupina uporablja, so periodična preverjanja e-pošte z različnimi vsebinami. S temi tehnikami lahko zberejo informacije o uporabniških agentih in določijo blagovne znamke elektronske pošte žrtev ter platforme, ki jih uporabljajo. Napadalci nato uporabijo posnemanje legitimne vsebine, da se izognejo zaznavi, hkrati pa skrivno zbirajo podatke za prilagojene izkoriščevalske napade z ničelno dnevno ranljivostjo (zero-day).

APT-Q-12 razlikuje med WPS in Microsoft Word tako, da v mhtml datoteke vstavi spletno kontrolo. Ko se takšna datoteka odpre v WPS, spletna kontrola sproži zahtevo do C2 sonde. Vendar pa Microsoft Word, s privzeto onemogočeno spletno kontrolo, prepreči, da bi se to zgodilo.

Izogibanje zaznavi z večplastnimi lažnimi dokumenti

Ena izmed glavnih iznajdb napadalcev je uporaba večplastnih lažnih dokumentov za izogibanje zaznavi v peskovnikih. Povezava C2 sonde je zahtevana šele po interakciji uporabnika, kar razlikuje Microsoft Word od WPS. Te metode so deljene med različnimi skupinami APT in služijo za informiranje prihodnjih napadov z ničelno dnevno ranljivostjo (0day). To poudarja pomen robustnih varnostnih ukrepov, ki so potrebni za zaščito pred ciljanimi napadi te vrste.

Napad z večkrivnim napadalnim vektorjem

Elektronska pošta zavaja uporabnika, da odpre le-to in s tem omogoči izvajanje zlonamerne JavaScript kode. Koda dostopa do skritega slikovnega vira, dejansko base64 kodirane LNK datoteke, ki se prenese in zažene. To posledično zažene proces rundll32 za izvajanje zlonamerne funkcije, ki si prizadeva, da pridobi nepooblaščen dostop do sistema uporabnika.

Napad izkorišča XSS ranljivost kompromitiranega spletnega mesta za dostavo trojanskega konja, preoblečenega v MUI datoteko. Nato prenese drugo stopnjo zlonamerne programske opreme in jo vbrizga v legitimno sistemsko datoteko (MMDevAPI.mui) za obstoj in oddaljeni nadzor.

Večstopenjski napad

APT-Q-12 uporablja večstopenjski napad, ki vključuje keyloggerje, brskalniško steganografijo, orodja za tuneliranje in vtičnike za zajem zaslona. Ti vtičniki se distribuirajo prek PowerShell-a in šifrirajo občutljive podatke, ki se eksfiltrirajo z uporabo obratnega tuneliranja. Glavni cilji napadalcev so obveščevalni podatki v zvezi s konkurenco na področju polprevodnikov in politična propaganda v Severovzhodni Aziji.

Izkoriščanje 0-day ranljivosti v Androidovem e-poštnem odjemalcu

Napadalci APT-Q-14, tesno povezani z APT-Q-12, so izkoristili ranljivost 0-day v Androidovem e-poštnem odjemalcu, kar jim je omogočilo oddaljeno izvajanje zlonamerne kode na prizadetih napravah. Ta napad je vključeval pošiljanje posebej oblikovane e-pošte z dodano APK datoteko, ki bi izkoristila ranljivost v e-poštnem odjemalcu za izvajanje kode. Koda bi nato vzpostavila povezavo s strežnikom za ukaze in nadzor, prenesla dodatne zlonamerne programe in ukradla občutljive podatke iz naprave. Napadalci so se še posebej osredotočili na zbiranje informacij, povezanih s trgovino med Kitajsko in Severno Korejo.

Podatki o grožnjah in zaznavanje indikatorjev kompromisa (IOC)

QiAnXin Center za grožnjo inteligence zagotavlja podatke o grožnjah, ki so ključni za zaznavanje zlonamernih indikatorjev kompromisa (IOC). Te vključujejo hash kode MD5, URL-je in naslove C2 strežnikov, kar strokovnjakom omogoča, da proaktivno prepoznajo in ukrepajo proti tem grožnjam.

Gmail uporabniki, pazite: AutoIT zlonamerna programska oprema krade vaše prijavne podatke

Gmail uporabniki so opozorjeni na novo AutoIT zlonamerno programsko opremo, ki lahko krade prijavne podatke. Ta zlonamerna programska oprema je posebej zasnovana za prepoznavanje prijavnih podatkov in drugih občutljivih podatkov znotraj Gmail računov. Strokovnjaki za kibernetsko varnost svetujejo previdnost in uporabo dodatnih varnostnih ukrepov pri upravljanju elektronske pošte.

Zaključek

Kibernetski napadi, kot so tisti, ki jih izvajajo skupine APT (Advanced Persistent Threat), postajajo vse bolj sofisticirani. S tehnološkim napredkom in inovativnimi tehnikami, kot so periodična preverjanja e-pošte, večstopenjski napadi, in izkoriščanje ranljivosti, napadalci pridobivajo občutljive podatke s ciljanimi napadi na ključne sektorje.

Vir novice: Cyber Security News

Phishing kampanje, ki ciljajo na poverilnice MS Office, so julija 2024 doživele znaten porast, izkoriščajoč Microsoft Sway za dostavo zlonamernih QR kod, kjer napadalci uporabljajo transparenten phishing in Cloudflare Turnstile, da se izognejo odkrivanju in zaobidejo varnostne ukrepe.

QR kode preusmerjajo uporabnike na phishing strani, pogosto z uporabo mobilnih naprav zaradi njihove potencialne pomanjkljive varnosti, kar naj bi kompromitiralo poverilnice uporabnikov in pridobilo nepooblaščen dostop do občutljivih informacij.

Microsoft Sway, brezplačna aplikacija Microsoft 365, je vse pogosteje zlorabljena s strani napadalcev za distribucijo phishing vsebine. Z izkoriščanjem njene legitimnosti in dostopnosti napadalci ustvarjajo prepričljive phishing strani, ki ciljajo na račune Microsoft 365.

Raziskovalci so julija 2024 opazili znaten porast phishing napadov, ki temeljijo na Sway, kar poudarja naraščajočo grožnjo. Uporabniki naj bodo previdni pri dostopanju do strani Sway, še posebej če so pozvani k prijavi, in naj preverijo format URL-ja, da identificirajo legitimne povezave Sway.

Quishing: Naraščajoča zlonamerna praksa

Quishing, ali QR phishing, je zlonamerna praksa, pri kateri napadalci vdelajo zlonamerne URL-je znotraj QR kod, da preusmerijo nič hudega sluteče žrtve na phishing strani, kar izkorišča množično uporabo QR kod med pandemijo COVID-19.

Z zaobidenjem tradicionalnih email skenerjev in izkoriščanjem pogosto manj varnih okolij mobilnih naprav, lahko napadalci uspešno pretentajo uporabnike, da obiščejo zlonamerne spletne strani.

Analizirane phishing kampanje so uporabljale orodja, kot sta Google Chrome in QR Code Generator PRO, za ustvarjanje teh prevarantskih QR kod, kar predstavlja resno grožnjo spletni varnosti.

Cloudflare Turnstile: Skriti sovoznik napadov

Phishing napadalci izkoriščajo Cloudflare Turnstile kot protiukrep proti statičnim spletnih skenerjem. Z vključitvijo Turnstila v njihove phishing strani, lahko napadalci učinkovito prikrijejo zlonamerno vsebino, kar otežuje, da avtomatska orodja zaznajo in označijo domeno kot zlonamerno.

Ta tehnika prikrivanja pomaga preprečiti, da bi domena pridobila negativni ugled in bila blokirana s strani storitev za filtriranje spleta, s čimer se poveča verjetnost uspešnih phishing napadov.

Attacker-in-the-Middle: Napadi napadalca-v-sredini

Po podatkih Netskope, napadi Attacker-in-the-Middle so izpopolnjena tehnika, ki presega tradicionalne phishing metode z aktivno intervencijo v proces prijave žrtve.

Medtem ko si obe metodi prizadevata za zbiranje uporabniških poverilnic, napadi napadalca-v-sredini ne le prestrezajo posredovane poverilnice, temveč tudi poskušajo prijaviti žrtev v legitimno storitev.

To napadalcu omogoča, da zbere dodatne overitvene faktorje, kot so večfaktorski kodeksi, in pridobi žrtvini sejne tokene ali piškotke, ki se lahko uporabijo za vzdrževanje nepooblaščenega dostopa do računa žrtve, kar potencialno vodi v nadaljnje kršitve podatkov ali goljufive dejavnosti.

Osem aplikacij za Android in iOS predstavlja pomembno varnostno tveganje

Osem aplikacij za Android in iOS predstavlja pomembno varnostno tveganje za uporabnike zaradi njihovega neuspeha pri šifriranju občutljivih podatkov med prenosom. Ugotovljeno je bilo, da pošiljajo nešifrirane informacije, kot so podrobnosti o napravi, podatki o lokaciji in prijavni podatki, prek protokola HTTP namesto varnejšega protokola HTTPS.

To izpostavlja uporabnike morebitnim napadom, kot so kraje podatkov, prisluškovanje in napadi »man-in-the-middle«, saj lahko vsak, ki spremlja omrežje, prestreže in dostopa do nešifriranih podatkov.

Klara Weather

Aplikacija Klara Weather, z več kot milijonom prenosov na Google Play Store, predstavlja pomembno varnostno tveganje za zasebnost uporabnikov. Analiza promet omrežja in pregled kode sta razkrila, da aplikacija pošilja podatke o geolokaciji uporabnikov preko nešifriranih HTTP povezav.

To pomeni, da lahko vsak, ki ima dostop do omrežja, prestreže in ukrade občutljive podatke o lokaciji. Pomanjkanje šifriranja naredi aplikacijo ranljivo za napade »man-in-the-middle«, kjer lahko zlonamerne osebe enostavno prisluškujejo komunikaciji aplikacije in ogrozijo zasebnost uporabnikov.

MD Date za zmenke v vojski

Aplikacija MD Date za zmenke v vojski za iOS predstavlja pomembno varnostno tveganje zaradi neuspeha pri šifriranju uporabniških podatkov. Analiza promet omrežja in pregled kode sta razkrila, da se občutljivi podatki, kot so uporabniška imena in gesla, prenašajo preko nešifriranih HTTP povezav.

Sina Finance

Aplikacija Sina Finance za Android, ki ima več kot 100.000 prenosov na Google Play Store, predstavlja pomembno varnostno tveganje zaradi nešifriranega prenosa občutljivih informacij o napravi.

Analiza njenega promet omrežja in kode je pokazala, da aplikacija pušča identifikatorje naprav, vključno z ID-jem naprave, različico SDK in IMEI, preko HTTP, kar naredi te podatke ranljive za prestrezanje in zlorabo, kar izpostavlja uporabnike morebitni kraji identitete, sledenju in nepooblaščenemu dostopu do njihovih naprav.

CP Plus Intelli Serve

Aplikacija CP Plus Intelli Serve Android, ki ima več kot 50.000 prenosov na Google Play Store, predstavlja pomembno varnostno tveganje zaradi nešifriranega prenosa uporabniških podatkov.

Analiza promet omrežja in pregled kode sta potrdila, da se uporabniška imena in gesla pošiljajo nešifrirano preko HTTP, kar jih naredi ranljive za prestrezanje in zlorabo s strani zlonamernih oseb.

Latvian Post, HaloVPN, i-Boating, Texas Storm Chasers

Aplikacije Latvian Post, HaloVPN, i-Boating in Texas Storm Chasers so bile odkrite, da prenašajo občutljive uporabniške podatke, kot so geolokacija in informacije o napravi, preko nešifriranih HTTP povezav, kar izpostavlja uporabnike tveganjem za zasebnost, saj podatki lahko prestrežejo in zlorabijo zlonamerne osebe.

Analiza promet omrežja in pregled kode sta potrdila prisotnost nešifriranih HTTP zahtevkov v teh aplikacijah, kar kaže na pomanjkanje ustreznih varnostnih ukrepov za zaščito uporabniških podatkov.

Zloraba Protokoila Diffie-Hellman: Potencial za Prepoved Delovanja

Pri napadu DHE zlonamerni odjemalec začne kriptografski handshake (ročni stisk), pri čemer neresnično trdi, da podpira samo efemerno varianto protokola za dogovor o ključih Diffie-Hellman (DHE), kar spodbuja strežnik, da ustvari par ključev in izračuna skupno skrivnost, kar zahteva računsko zahtevne operacije modularne eksponentacije.

Zlonamerni odjemalec se izogne izvajanju teh izračunov in izkorišča asimetrijo v računskih obremenitvah med strežnikom in odjemalcem za zagon napada z zavračanjem storitve.

Razumevanje napada DHE

Dohovor o ključih Diffie-Hellman običajno vključuje enako računsko obremenitev za obe strani, kot jo lahko zlonamerni odjemalec izkoristi, da se pretvarja, da podpira samo Diffie-Hellman in čaka, da strežnik ustvari njegov javni ključ.

Ko strežnik opravi računsko zahtevno modularno eksponentacijo, lahko odjemalec prekine povezavo. Ta napad je bolj učinkovit v protokolih, kot je TLS

V nekaterih protokolih za dogovor o ključih lahko zlonamerni odjemalec izkoristi zanašanje strežnika na javni ključ odjemalca, tako da pošlje ponarejeno vrednost, kar povzroči, da strežnik izvede računsko zahtevne operacije za izračun skupne skrivnosti, le da ugotovi, da je dogovor o ključih spodletel.

Možnosti ublažitve

Ta napad je mogoče ublažiti, če se zahteva, da odjemalec dokaže, da je izvedel potrebno modularno eksponentacijo, preden strežnik nadaljuje s svojimi izračuni. Napad D(HE)at izkorišča temeljno pomanjkljivost v protokolu za dogovor o ključih Diffie-Hellman. Za razliko od programskih ranljivosti je ta napad vprašanje na ravni protokola, ki ga ni mogoče reševati s preprostimi posodobitvami programske opreme.

Z izkoriščanjem neprepoznavnosti naključnih števil od rezultatov modularne eksponentacije lahko zlonamerni odjemalci prisilijo strežnike, da izvedejo računsko zahtevne operacije brez pomembnega vlaganja virov, kar strežnike povzroča izpostavljenost izkoriščanju.

💡 Namig dneva:

Implementacijske pomanjkljivosti

Pomanjkljivosti pri implementaciji lahko povečajo resnost napada D(HE)at, kar poudarja potrebo po skrbnem oblikovanju in implementaciji protokolov.

Varnostne pomanjkljivosti v knjižnicah

Kriptografske knjižnice so lahko ranljive za napade, ki izkoriščajo naravo modularne eksponentacije, ki zahteva veliko virov. Zlonamerni odjemalci lahko prisilijo uporabo večjih eksponentov, kar vodi v bistveno dražje izračune javnih ključev.

Nekatere knjižnice lahko vedno izvajajo nepotrebno preverjanje javnega ključa, tudi pri uporabi odobrenih skupin varnih prajm števil, kar lahko izkoristijo napadalci za sprožitev dragih operacij modularne eksponentacije, kar lahko vpliva na zmogljivost in varnost sistema.

Priljubljene knjižnice

Uporaba velikih parametrov v kriptografskih knjižnicah, kot so ffdhe6144 ali ffhde8192, povečuje računsko obremenitev za generiranje javnih ključev, kar se lahko izkoristi v napadu D(HE)at, kjer napadalci pošljejo številne zahteve za povezavo, da preobremenijo strežnike.

Priljubljene knjižnice pogosto privzeto uporabljajo največje velikosti parametrov, kar lahko predstavlja pomembno tveganje, če aplikacijski strežniki niso pravilno konfigurirani, kar vodi do uspešnih DoS napadov, še posebej, če strežniške implementacije ne preglasijo privzetih nastavitev knjižnic.

Priporočamo branje:

Ranljivost Hillstone WAF omogoča nevarne napade z vbrizgom ukazov

“`html

Copybara, vztrajni Android trojan od leta 2021, se je nedavno razvil z novembrsko posodobitvijo leta 2023. Njegove obsežne zmogljivosti vključujejo beleženje tipkanja, snemanje medijev, prevzem SMS sporočil, zajemanje zaslona, krajo poverilnic in daljinski nadzor naprave.

Pogosto se predstavlja kot priljubljena finančna aplikacija, Copybara cilja na uporabnike v Italiji in Španiji ter jih mami s phishing stranmi, ki posnemajo menjalnice kriptovalut in globalne institucije.

Nova funkcija v zadnji različici je uvedba protokola MQTT za varno komunikacijo s svojim ukazno-nadzornim strežnikom.

Zadnja različica Copybare uporablja MQTT protokol za komunikacijo s C2 strežnikom, kar je lahek protokol, zasnovan za naprave z omejenimi viri in okolja z omejeno pasovno širino, kot so konteksti IoT.

Razvita z uporabo B4A, zakonitega Android okvira za razvoj aplikacij, Copybara pogosto posnema znane finančne institucije v Italiji in Španiji, kot je razvidno iz logotipov, ki jih uporablja, ter različice, zamaskirane kot Google Chrome in IPTV aplikacija, kar še dodatno poudarja njeno sposobnost posnemanja zakonite programske opreme.

Copybara malware je sofisticiran Android bančni trojanec, ki cilja na uporabnike prek lažnih (phishing) strani in izkorišča storitev dostopnosti za pridobitev obsežnega nadzora nad napravami žrtev.

Po namestitvi Copybara agresivno poziva uporabnike, da omogočijo storitev dostopnosti, kar malware-ju omogoča manipulacijo z različnimi funkcijami in nastavitvami naprave, vključno s prestrezanjem SMS sporočil, zajemanjem zaslonskih slik in celo zaklepanjem naprave.

Ko je storitev omogočena, Copybara prenese lažne (phishing) strani s C2 strežnika, zasnovane tako, da posnemajo zakonite finančne institucije in menjalnice kriptovalut, s čimer mami žrtve, da vnesejo svoje občutljive podatke, ki se nato prenesejo na C2 strežnik.

Njen nabor zmožnosti se razširja preko phishinga in kraje podatkov; lahko tudi prejme ukaze od C2 strežnika, kar ji omogoča izvajanje akcij, kot so zaklepanje naprave, zajemanje zaslonskih slik in prestrezanje SMS sporočil.

Dodatno lahko prenese in namesti druge zlonamerne aplikacije, kar še dodatno širi njene zmožnosti in otežuje njeno odstranitev.

Copybara predstavlja pomembno grožnjo za uporabnike Androida, sposobna kraje osebnih in finančnih informacij ter povzroča znatne finančne izgube. Pomembno je, da uporabniki Androida poznajo tveganja, povezana z zlonamernimi aplikacijami, in sprejmejo previdnostne ukrepe za zaščito svojih naprav pred takšnimi grožnjami.

Hudobni akterji za Copybaro uporabljajo phishing povezave (npr. app-link.cc/agricole.apk), da pretentajo žrtve k prenosu lažnih aplikacij z imeni, podobnimi zakonitim bančnim aplikacijam (npr. BBVACodigo.apk, CaixaBankSignNueva.apk). Ko je nameščena, Copybara zlorabi storitve dostopnosti za pridobivanje nadzora nad napravo in krajo prijavnih podatkov.

Po poročanju Zscaler ThreatLabz malware uporablja tudi različne tehnike, kot so beleženje tipkanja, snemanje zvoka in videa ter prestrezanje SMS sporočil za nadaljnji kompromis.

Priporočeno branje:

Objava SolarWinds Web Help Desk napaka omogoča oddaljeno izvedbo kode se je pojavila prvič na Cyber Security News.

URL izvora novice: https://cyberpress.org/solarwinds-web-help-desk-flaw/

Recentna kampanja zlonamerne programske opreme z uporabo trojaniziranih MSIX installerjev

Znano je, da so zlonamerne kampanje vedno bolj usmerjene v čim bolj prikrite metode napada, katerih cilj je velika skupnost nič hudega slutečih uporabnikov. V recentno odkriti kampanji je bil zaznan porast trojaniziranih MSIX installerjev, ki ciljajo uporabnike, ki iščejo poslovno programsko opremo.

Zlonamerna skupina “eugenfest” in NUMOZYLOD

Kampanjo izvaja zlonamerna skupina “eugenfest” z uporabo PowerShell skripta z imenom NUMOZYLOD. Ta skript se uporablja za prenos dodatnih zlonamernih programov na računalniške sisteme žrtev.

NUMOZYLOD je del MaaS (Malware-as-a-Service) operacije, ki distribuira različne zlonamerne programe, vključno z ICEDID, REDLINESTEALER, CARBANAK, LUMMASTEALER in ARECHCLIENT2. To poudarja vedno večji trend sodelovanja med napadalci v podzemni ekonomiji, kjer si delijo specializirana orodja in storitve za čim večjo učinkovitost napadov.

Izraba MSIX kot distribucijske metode

Nedavna preiskava je razkrila, da napadalci izkoriščajo MSIX kot prikrito metodo za združevanje in distribucijo zlonamernih programov skupaj z zakonito programsko opremo. Preiskava je pokazala sofisticirano uporabo MSIX paketov, kjer je bila struktura paketa, vključno z datotekami AppxManifest.xml, config.json, StartingScriptWrapper.ps1 in VFS mapami, skrbno načrtovana za izvajanje zlonamernega PowerShell skripta in pridobitev začetnega dostopa na ciljanih sistemih.

Uporaba malvertizinga za distribucijo trojaniziranih MSIX installerjev

Napadalna skupina UNC4536 uporablja tehniko malvertizinga za distribucijo trojaniziranih MSIX installerjev priljubljenih programov, ki vsebujejo zlonamerno kodo, kot je NUMOZYLOD. Ta se izvaja s pomočjo frameworka Package Support (PSF) med procesom namestitve.

Napadalci izkoristijo zmožnost PSF za izvajanje skriptov pred ali po zagonu glavne aplikacije. S tem lahko prikrito namestijo zlonamerno kodo na sisteme žrtev, tako da dodajo konfiguracijske elemente, imenovane startScript in endScript.

Sofisticirana struktura in analitika trojaniziranih MSIX datotek

Analiza trojaniziranih MSIX datotek je razkrila zelo sofisticirano tehniko napada. Struktura paketa, vključno z AppxManifest.xml, config.json, StartingScriptWrapper.ps1 in VFS mapami, je bila skrbno načrtovana za izvajanje zlonamernega PowerShell skripta.

Napadalci so uporabili zmožnost ‘runFullTrust’ za obhod varnostnih kontrol in izvajanje z višjimi privilegiji. Prav tako je VFS mapa vsebovala datoteke za prihodnje faze napada, kot je orodje za dešifriranje prenesenih kod. Trojanizirane MSIX datoteke so bile distribuirane s pomočjo malvertizing kampanj, ki so ciljale nič hudega sluteče uporabnike.

NUMOZYLOD in distribucija zlonamernih programov

UNC4536, distribuiter zlonamerne programske opreme, uporablja NUMOZYLOD za dostavo različnih programskih kod svojim “poslovnim partnerjem.” V kampanjah so opazili dve specifični različici NUMOZYLOD, ki sta distribuirali CARBANAK in LUMMASTEALER.

V kampanji CARBANAK je NUMOZYLOD zbiral informacije o gostitelju, prenesel CARBANAK in ga izvedel s pomočjo ugrabljanja vrstnega reda iskanja DLL. Medtem ko je v kampanji LUMMASTEALER močno zamaskirana različica NUMOZYLOD dostavila LUMMASTEALER.

Zmogljive tehnike zamaskiranja

NUMOZYLOD uporablja večplastne tehnike zamaskiranja za izogibanje zaznavi. Kljub tem tehnikam lahko analitiki z analizo beleženja blokov PowerShell skriptov in dogodkov AMSI dešifrirajo zlonamerno programsko opremo in prepoznajo njeno zlonamerno vedenje.

Najprej onemogoči AMSI za obhod varnostnih ukrepov, nato prenese in izvrši sekundarno kodo s strežnika C2, identificirano kot LUMMASTE

Pro-palestinska in pro-muslimanska hektivistična skupina RipperSec dosega nove “mege” kibernetske napade s svojim orodjem MegaMedusa

Pro-palestinska in pro-muslimanska malezijska hektivistična skupina RipperSec, ustanovljena junija 2023, je na svojem Telegram kanalu zbrala več kot 2.000 naročnikov.

RipperSec sodeluje z mednarodnimi skupinami, kot so Tengkorak Cyber Crew in Stucx Team, in se ukvarja s kibernetskimi napadi, kot so vdori v podatke, uničevanje spletnih strani in napadi z razpršeno zavrnitvijo storitve (DDoS).

Njihove glavne tarče so države, ki jih zaznavajo kot podpornike Izraela, s ciljem motiti operacije, opozarjati nase in izražati solidarnost s palestinskimi in muslimanskimi vzroki.

Kibernetska skupina RipperSec je prevzela odgovornost za 196 DDoS napadov na Izrael, Indijo, ZDA, Združeno kraljestvo in Tajsko med januarjem in avgustom 2024.

MegaMedusa, javno dostopno spletno orodje za DDoS napade, ki ga je razvila RipperSec, je bilo uporabljeno za izvedbo teh napadov. Izveden z uporabo Node.js, izkorišča svoje asinhrone in neblokirajoče I/O zmogljivosti za učinkovito upravljanje več omrežnih povezav, kar ga naredi močno orožje za obsežne DDoS napade.

Primarno je napadala vladne, izobraževalne, poslovne in finančne spletne strani, kar kaže na prednost kritične infrastrukture.

MegaMedusa uporablja različne tehnike naključnosti za prikrivanje svojih napadnih zahtev, zaradi česar jih je težko zaznati in omiliti, vključno z naključno nastavitvijo glav, poti zahtevkov, metod, piškotkov, IP naslovov, TLS/SSL konfiguracij, nastavitev HTTP/2 in uporabe proxijev.

Poleg tega orodje podpira odprte proxije in ponuja združilnike za pridobivanje svežih seznamov proxijev iz javno dostopnih virov, zaradi česar je MegaMedusa močno orodje za izvajanje napadov z razpršeno zavrnitvijo storitve (DDoS).

MegaMedusa, orodje za DDoS napad, trdi, da obide varnostne izzive, vključno s CAPTCHAji, vendar je njena implementacija omejena, saj se primarno zanaša na naključnost in uporabo proxijev za izogibanje zaznavanju, namesto neposrednega reševanja CAPTCHAjev.

Medtem ko vključuje nekatere osnovne elemente ravnanja s CAPTCHAji, mu manjkajo napredne zmožnosti, kot so strojno učenje ali avtomatizacija brskalnika. Skupina RipperSec verjetno uporablja bolj dovršene različice MegaMeduse, kot kaže njihov oglasni video.

Spletni DDoS napadi uporabljajo proxije za prikrivanje izvora zahtev in zaobiti mehanizme zaznavanja. Proxiji delujejo kot posredniki, vzpostavljajo TCP povezavo s tarčo in posredujejo zahteve.

Knjžnice Node.js, kot je https-proxy-agent, poenostavljajo implementacijo proxijev, vendar MegaMedusa uporablja naravni pristop za večji nadzor, kar omogoča napadalcem ustvarjanje velikega števila zahtev iz različnih krajev, preobremenjevanje tarč in motenje storitev.

Izboljšave HTTP protokola, kot sta pipelining in multipleksiranje, so povečale učinkovitost napadov. Medtem ko je pipelining omejen z blokiranjem na začetku vrstice, multipleksiranje omogoča hkratne zahteve preko ene TCP povezave.

Ranljivosti, kot sta Rapid Reset HTTPS/2 in HTTP/2 Continuation, so izkoriščale te izboljšave za DDoS napade. Odprti in komercialni proxiji, pogosto kompromitirane naprave v rezidencah ali strežniki, napadalcem zagotavljajo rezidenčne IP naslove, kar omogoča izogibanje zaznavanju.