Author: admin

14. julija 2024 so raziskovalci na VirusTotal s pomočjo pravil za lovljenje VBA makrov identificirali zlonamerni dokument, zamaskiran kot PayPal potrdilo.

Ob analizi so našli vdelane zlonamerne makre, ki so prenesli PowerShell nalagalnik z imenom ‘8eef4df388f2217caec3dc26.ps1’, ki je z uporabo reflektivnega nalaganja razširil ransomware.

Povezava z ransomware skupinami kot NETWALKER nakazuje na sofisticiran napad, ki uporablja pogoste taktike za dostavo ransomware-a.

Začetna analiza okužbe je določila, da je bil napad izveden s phishingom prek zlonamernega Word dokumenta, kar kaže na izjemno napreden zlonamerni igralec.

Skriti VBA makri v dokumentu so bili dešifrirani, kar je razkrilo PowerShell ukaz, namenjen prenašanju jezikovno kodiranega naložbenega bremena iz oddaljenega strežnika, kar je multi-fazni napad, kjer začetni dokument služi kot sredstvo dostave za nadaljnje zlonamerne aktivnosti.

Analizirana JPEG datoteka je razkrila močno zakrit PowerShell nalagalnik s tremi sloji neuporabne kode. Z ročnim odstranjevanjem teh slojev so odkrili osnovni skript, ki je vseboval vdelane .NET asemblije, kodirane kot bajtne matrike.

Ti asembliji so bili dinamično naloženi v pomnilnik z uporabo tehnik reflektivnega nalaganja, medtem ko je končna faza te verige napada izvrševanje zlonamernih .NET asemblijev, ki nosijo ransomware breme.

Analiza ekstrahiranih .NET asemblijev je pokazala, da je bil prvi DLL, TEStxx.dll, zaščiten z uporabo .NET Reactorja. Po dekompresiji je bilo ugotovljeno, da je odgovoren za injiciranje drugega izvršljivega programa, RegSvcs.exe, v pomnilnik ciljno usmerjenega procesa.

Podrobna preiskava RegSvcs.exe je odkrila njegovo naravo ransomware-a, kar je razvidno iz funkcij, povezanih s spreminjanjem ozadja, popisom datotek in šifriranjem ter prekinitvijo procesov.

Pojav metod, kot so TRIPLE_ENCRYPT, FULL_ENCRYPT in RECURSIVE_DIRECTORY_LOOK, poudarja sofisticirane zmožnosti šifriranja datotek ransomware-a.

Ransomware se samoreplicira v mapo AppData\Local uporabnika, se izbriše po uspešni kopiji in nato iterativno pregleduje lokalne pogone, razen specifičnih sistemskih imenikov, in identificira ciljne tipe datotek za šifriranje.

Za omogočanje obsežnega popisa datotek je ustvarjena naloga za rekurzivno iskanje imenikov. Ciljne pripone datotek zajemajo širok spekter dokumentov, slik, avdia, videa, arhivov, podatkovnih baz in kodnih formatov, kar nakazuje na širok obseg šifriranja.

Ransomware uporablja AES šifriranje, z uporabo FULL_ENCRYPT za datoteke pod 512 KB in TRIPLE_ENCRYPT za večje datoteke, z izjemo določenih datotek. Po prekinitvi ključnih procesov šifrira specifične datoteke na vseh pogonih.

Za zagotovitev

Microsoft 365 in napredni varnostni ukrepi za boj proti phishingu

Microsoft 365 uporablja Exchange Online Protection (EOP) in Microsoft Defender, da se učinkovito bori proti napadom s phishingom. Ti varnostni ukrepi vključujejo različne tehnike za zaščito uporabnikov pred zlonamernimi e-poštnimi sporočili. Ena izmed najnovejših funkcij je prvi varnostni nasvet o stiku v Outlooku, ki uporabnika opozori na morebitna tveganja pri prejemanju e-pošte iz neznanih naslovov.

Kako deluje prvi varnostni nasvet o stiku

Prvi varnostni nasvet o stiku se prikaže na začetku e-pošte v HTML obliki in uporabnika opozori na morebitno tveganje pri interakciji z neznanim pošiljateljem. Cilj tega opozorila je povečati ozaveščenost uporabnikov o možnostih phishing napadov, kar krepi njihovo varnost pri uporabi e-pošte.

Ranljivosti v varnostnih ukrepih

Varnostni raziskovalci so odkrili, da obstajajo določene ranljivosti v tem sistemu obrambe, ki bi lahko omogočile zlonamernim akterjem, da obidejo te varnostne ukrepe. Pri testiranju so ugotovili, da je mogoče prvi varnostni nasvet o stiku vizualno spremeniti s pomočjo CSS stilskih oznak.

Prikriti prvi varnostni nasvet o stiku

Eksperiment, ki je poskušal skriti prvi varnostni nasvet o stiku v HTML e-pošti, je pokazal, da standardne CSS tehnike, kot so `display: none` in `opacity: 0`, niso učinkovite proti renderiranju Outlookovega stroja. Vendar pa so raziskovalci našli način za manipulacijo izgled nasveta tako, da postane vizualno neopazen.

Z manipulacijo ozadja in barv pisave opozorilne tabele v belo barvo, postane varnostni nasvet skorajda neviden v ozadju e-pošte, učinkovito skrit pred uporabnikom. HTML koda, uporabljena v tem eksperimentu, uporablja CSS za skrivanje elementov sidra, naredi vsebino celice tabele nevidno z ničelno velikostjo pisave in belo pisavo, prekrije ozadje in barvo besedila tabele v belo barvo, preprečuje prikaz opozorila v telesu e-pošte.

Fiksen HTML in CSS za skrivanje opozorila

HTML koda, ki je bila uporabljena za skriti opozorilo, vključuje naslednje CSS tehnike:

“` HTML

“`

Imitacija zakonitih e-poštnih elementov

Napadalci lahko z vložkom prilagojenega HTML-ja in slik v base64 v e-pošto ponaredijo videz varnostnih oznak Microsoft Outlook, kot so tisti, ki označujejo šifriranje in digitalne podpise. Ti napadi phishinga izkoriščajo uporabnikovo ranljivost z imitiranjem zakonitih e-poštnih sporočil.

Ena uspešna prevara je dovolj, da napadalci ogrozijo varnost organizacije. Učinkoviti protiukrepi zahtevajo trdno avtentikacijo e-pošte in izobraževanje uporabnikov za zmanjšanje teh tveganj.

Odgovor Microsofta

Po poročanju podjetja Certitude je bila dokazna študija o potencialni ranljivosti poslana Microsoftu prek Microsoftovega centra za odziv na varnost (MSRC). Čeprav je bila ugotovljena ranljivost izkoriščljiva, predvsem v scenarijih phishinga, je Microsoft ocenil, da ni dovolj kritična za takojšnjo odpravo. Namesto tega je bila zabeležena za morebitno prihodnje odpravljanje kot del širših prizadevanj za izboljšanje izdelka.

Ozaveščenost je ključna

Napadi phishinga so zelo nevarni in zelo zapleteni, zato je nujno, da uporabniki vedo, kako se zaščititi in prepoznati takšne poskuse. Varnost na spletu je ključnega pomena, zato bodite vedno pozorni in previdni pri odpiranju e-pošte in klikanju na sumljive povezave.

URL izvora novice:
https://cyberpress.org/hackers-bypass-anti-phishing-protection/

Hunters International, kriminalna računalniška skupina, ki je pričela svojo dejavnost oktobra 2023, je v kratkem času postala ena največjih groženj v svetu računalniške varnosti. Samo v prvih sedmih mesecih leta 2024 je skupina izvedla osupljivih 134 kibernetskih napadov. Ogrožajoče je, da mnogi strokovnjaki menijo, da je skupina naslednik zloglasne grožnje Hive, zaradi podobnosti v njihovi kodi.

Rapidni Razvoj in Uporaba Ransomware-as-a-Service (RaaS) Modela

Hunters International se je razvila v tako imenovani Ransomware-as-a-Service (RaaS) model, kar jim je omogočilo hiter vzpon med največje varnostne grožnje. Njihov napadni modus operandi je sestavljen iz izsiljevanja podatkov in poznejšega šifriranja datotek z naprednim šifriranjem v programskem jeziku Rust.

IpScan Napad: Maskiranje in Certifikacija

Napadi Hunters International običajno se začnejo z uvajanjem zlonamerne programske opreme, imenovane “ipscan-3.9.1-setup.exe”, ki se maskira kot nedolžna 32-bitna prenosna izvršljiva datoteka. Zlonamerna datoteka je zamaskirana kot Nullsoft installer in je opremljena z veljavnim certifikatom izdan od J-Golden Strive Trading Co., Ltd., ki ga je izdala GlobalSign.

Uporaba AngryIP in Vzpostavitev Pristopa

Datoteka “ipscan-3.9.1-setup.exe” izkorišča odprtokodno tehnologijo AngryIP, ki omogoča prehod mimo varnostnih kontrol in vzpostavi začetni pristop k ciljanim sistemom. Ta pristop omogoča uvedbo RAT (Remote Access Trojan) – SharpRhino.

SharpRhino RAT: Implementacija in Analiza

SharpRhino RAT se širi pod masko AngryIP installerja, in vključuje password-zaščiteno arhivo ter drugo izvršljivo datoteko (ipscan-3.9.1-setup.exe). Detonacijska analiza je razkrila geslo za arhiv in pokazala, da NSIS installer vzpostavi trajnost tako, da dodaja registarski ključ, ki vpliva na datoteko “Microsoft.AnyKey.exe”, kar omogoča izvedbo zlonamerne skripte LogUpdate.bat.

Ugotovljeno je bilo, da LogUpdate.bat uporablja obfusiran PowerShell za izvedbo zlonamerne aktivnosti. Daljša analiza nakazuje, da je zlonamerno aktivnost verjetno odgovorna za vzpostavljanje skritega datotekovnega sistema.

Analiza .t datoteke je razkrila večslojno in sofisticirano datoteko za okužbo. Napadalec je uporabil PowerShell za obfuskacijo in izvedbo zlonamerne C# kode neposredno v pomnilniku. Ta metoda vključuje uporabo varnih nizov za dodatno obfusiranje in dinamično konstrukcijo URL-jev, ki vodijo do Cloudflare Serverless Architecture endpoint, kar nakazuje na Command-and-Control (C2) infrastrukturo.

Zloženost Kodiranja in Šifriranja

Podrobna analiza C# izvornega kode iz .t datoteke je bila zahtevna zaradi močne obfuskacije. Vendar pa se je izkazalo, da po naložitvi kode v IDE, nastanejo novi objekti, ki so bili uporabljeni v datoteki .t. Po prevajanju datoteke .t na nadzorovan strežnik je bila odkrita HTTP POST zahteva, ki vsebuje base64-enkodirane in šifrirane podatke. Šifrirna rutina v C# kodi uporablja XOR operacije za skrivanje byte objektov.

SharpRhino je C# malware, ki uporablja šifriranje za skrivno komunikacijo z C2 strežnikom. Po preklicu šifriranja in analizi omrežnega prometa so raziskovalci ugotovili, da malware uporablja podatke o napravah in uporabnikih za registracijo na C2 in prejemanje ukazov, ki jih nato izvrši PowerShell na okuženem sistemu.

Zaključek: Potreba po Povečani Varnosti

Skupina Hunters International predstavlja resno grožnjo in poudarja potrebo po povečani varnosti in pozornosti na kibernetične napade. Uporabniki naj bodo previdni pri izmenjevanju vsebin preko spleta in uporabljajo varne prakse za zaščito pred zlonamernimi aktivnostmi.

URL izvora novice: https://cyberpress.org/ransomware-disguised-as-angry-ip-scanner/

Novo opozorilo: Kibernetski napadi ciljajo na južnokorejski gradbeni in strojni sektor

Južnokorejska varnostna agencija je izdala skupno varnostno svetilo, ki opozarja na porast kibernetskih napadov, namenjenih sektorjema gradbeništva in strojnega inženirstva. Varnostno svetilo dviguje alarm glede sofisticiranih napadov, ki jih naj bi izvajale severnokorejske kibernetske skupine Kimsuky in Andariel, katerih cilj je pridobivanje tajnih podatkov za domačo industrijsko uporabo.

Varnostno svetilo vključuje podrobne informacije o taktikah, tehnikah in postopkih (TTPs), ki jih uporabljata te skupine, ter kazalce kompromitov (IoCs). Višja ogroženost je povezana s Severno Korejo in njeno novo politiko hitrega industrializiranja, kar je privedlo do povečanja kibernetsko obveščevalnih dejavnosti, ki ciljajo na južnokorejske industrijske sektorje.

Kimsuky in sofisticirani napadi na gradbeništvo

Kimsuky je izvedel sofisticiran kibernetski napad na južnokorejski gradbeni sektor januarja 2024. Napadalci so kompromitirali legitimno varnostno programsko opremo, ki se uporablja za prijavo na spletne strani. S tem so distribuirali malware, ki je izbežal opazovanju nekaterih antivirusnih programov. Ko je bil malware nameščen, je zlahka zbiral podatke, kot so sistemske informacije, zaslone, podatke brskalnika, vključno z uporabniškimi imeni in piškoti.

Napad je kombiniral tehniko dodatne verige in vodočrto, ki je izkoriščala napake na spletnih straneh ciljnih organizacij za razdelitev nevarne kode. Skupina Kimsuky je ciljala na gradbeni sektor tako, da je ukradla legitimne digitalne certifikate in jih uporabila za podpis malwareja, ki je bil nato razširjen prek okuženih spletnih strani, ki jih pogosto obiskujejo uporabniki iz gradbeniškega sektorja.

Glavni cilj napada so bile vlade in organizacije v gradbenem sektorju za pridobitev dostopa do zaupnih informacij o velikih gradbenih projektih in tehničnih podatkov od udeležencev. Vključitev funkcije kraje podatkov GPKI (General Public Key Infrastructure) v programski opremi malwareja nakazuje na namerni poskus povečanja obsega napada in ohranitve stalnega dostopa do kompromitiranih sistemov.

Andariel in ciljani napadi na strojni sektor

Skupina Andariel je izkoriščala pomanjkljivosti v domači informacijski varnostni programski opremi (VPN in strežnikih) za izvajanje ciljanih napadov na gradbeni in strojni sektor aprila 2024. Skupina je zamenjala legitimne datoteke za upravljanje z malwarejem, kar je omogočilo razširjanje DoraRAT-ja, remote dostopa trojana. Napadna veriga je uporabila napako v komunikacijskem protokolu med klientom in strežnikom VPN-ja, da bi zaobšla več varnostnih preverjanj in razdelila nevarno kodo.

DoraRAT malware je osnovna, vendar omogoča prenos datotek in izvrševanje nalog in je verjetno bila uporabljena za pridobitev velikih količin načrtov dokumentov, povezanih z mehanično opremo in inženiringom.

Po podatkih KCIC (Korea Cybercrime Investigation Center) so napadalci tudi izkoriščali pomanjkljivosti v programih za upravljanje strežnikov, kar kaže na tveganje, da bi ciljali na IT upravljalno programsko opremo zaradi njihovih privilegiranih dostopov.

Proaktivno pristopanje k varnosti

Severna Koreja usmerja svoje napade na pomanjkljivosti spletnih strani in informacijske varnostne programske opreme. Da bi se zaščitili, naj bi organizacije izvajale osebno varnostno usposabljanje za vse zaposlene, izvajale strožji nadzor nad distribucijo programske opreme in bile na tekočem z varnostnimi svetili vladnih organov.

Organizacije lahko izboljšajo razvoj svoje programske opreme z rednimi varnostnimi ocenami, ki jih nudi KISA (Korea Internet & Security Agency). Proaktivno obravnavanje teh področij lahko organizacijam pomaga zaščititi se pred kibernetskimi napadi.

💡 Namig dneva 💡

Zaključek

Kibernetski napadi, posebej usmerjeni proti sektorjem gradbeništva in strojnega inženirstva, predstavljajo resno grožnjo za varnost in stabilnost južnokorejske industrije. Skupine, kot sta Kimsuky in Andariel, uporabljajo izpopolnjene taktike za dostop do zaupnih informacij. Z rednim nadzorom varnostnih svetil in izvajanjem robustnih varnostnih ukrepov lahko organizacije bolje zaščitijo svoje kritične sisteme in preprečijo morebitne kršitve varnosti.

URL izvora novice: [CyberPress](https://cyberpress.org/vpn-update-flaw-to-breach-networks/)

**Vir: CyberPress**