Заплахи за киберсигурност, засягащи бизнеса през август 2023 г
Ние правим сигурността проста и безпроблемна за хиляди на уебсайтове и предприятия по целия свят.
Скорошни кибер атаки – 2023 г
Ниведита е технически писател с Астра, която има дълбока любов към знанието и всички любопитни неща в природата. Запален читател по сърце, тя откри, че се обажда на писане за SEO, Robotics и в момента киберсигурност.
Този сайт използва Akismet за намаляване на спама. Научете как се обработват вашите данни за коментари.
0 коментара Вградени отзиви Вижте всички коментари
Свързани статии
Psst! Здрасти. Ние сме Астра.
Ние правим сигурността проста и безпроблемна за хиляди на уебсайтове и предприятия по целия свят.
Нашият пакет от продукти за сигурност включва скенер за уязвимост, защитна стена, скенер за злонамерен софтуер и пентести, за да защитите вашия сайт от злите сили в интернет, дори когато спите.
Вземете Pentest
Защитете уебсайта си
Ние правим сигурността проста и безпроблемна за хиляди уебсайтове и фирми по целия свят.
Заплахи за киберсигурност, засягащи бизнеса през август 2023 г
Киберсигурност и цифрова криминалистика
Заплахите за киберсигурност се увеличават бързо. В резултат на това ръководителите на компанията трябва да бъдат по -наясно с потенциалните недостатъци в общата си стратегия за киберсигурност. Запитванията за лов на заплахи, предлагани като част от SOC услугите на Marcum Technology, са от ключово значение за идентифициране на потенциални заплахи в околната среда на организацията.
По -долу са първите четири заплахи, които се появиха през последния месец.
Blackbyte 2.0
Атаките за откуп са все по -голям проблем за организациите по целия свят, както по обхват, така и по тежест. Екипът за реагиране на инциденти на Microsoft разследва неотдавнашния Blackbyte 2.0 Атаки за откуп, разкриващи тревожната скорост и разрушителния характер на тези кибер удари. Констатациите показват, че хакерите могат да изпълнят целия процес на атака, от получаване на първоначален достъп до причиняване на значителни щети само за пет дни. Те бързо проникват в системите, криптират решаващи данни и изискват откуп за неговото освобождаване. Тази кондензирана времева линия представлява значително предизвикателство за организациите, които се стремят да се защитават срещу тези злонамерени операции.
В последния етап на атаката се използва откуп от BlackByte, използвайки 8-цифрен номер на номера за криптиране на данни. Нападателите използват мощна комбинация от инструменти и техники, като се възползват от безпадните сървъри на Microsoft Exchange, за да получат достъп и да поставят основите за своите злонамерени дейности. Процеси за кухи, антивирусни стратегии за укриване, уеб черупки за отдалечен достъп и кобалт удар на маяци за операции на командване и контрол допълнително подобряват техните възможности, което затруднява организациите да се защитават срещу тях. Освен това, киберпрестъпниците използват инструменти „Живот-оф“, за да камуфлират дейността си и да избягват откриването. Те променят копията на силата на звука на заразени машини, за да предотвратят възстановяването на данните чрез точките за възстановяване на системата и разгръщат персонализирани задни пътища за постоянен достъп дори след първоначалния компромис.
Тъй. Тежестта на тези атаки налага незабавни действия от организациите по целия свят и в отговор на тези открития Microsoft предоставя практически препоръки. Той насърчава прилагането на стабилни процедури за управление на пластира, за да се прилагат критични актуализации на сигурността рано. Активирането на защитата на подправите също е от решаващо значение, тъй като засилва решенията за сигурност срещу злонамерени опити за деактивиране или заобикаляне. Следвайки най-добрите практики, като например поддържане на актуални системи и ограничаване на административните привилегии, организациите могат значително да смекчат риска от атаки на откуп на BlackByte и други подобни заплахи.
Азотна кампания, използващо странично зареждане на DLL за C2
В неотдавнашна кампания, наречено „Азот“, се наблюдава странично зареждане на DLL, което се използва за C2 Communications. Вместо обичайния вектор на фишинг, атаката започна с изтегляне от компрометиран уебсайт на WordPress. Файлът, ISO изображение, съдържа файл за инсталиране, който трябва да се изпълнява ръчно от крайния потребител. След това инсталаторът продължава да зарежда MSI.DLL файл и дешифрира придружаващия файл с данни. Вградената питонна дистрибуция и DLL са изпуснати, за да бъдат натоварени в C: \ Потребители \ Public \ Music \ Python Path.
След това зловредният софтуер създава планирана задача: “Задача за сигурност на OneDrive-S-1-5-21-5678566754-9123742832-2638705499-2003”, Който управлява pythonw.Exe. Това предоставя на постоянството на злонамерен софтуер. Задачата планира да се задейства при стартиране на системата и изтича 1 декември 2029 г. в полунощ.
С установяването на постоянство злонамерен софтуер може да изпълнява своите задължения. Виждано е, че използва DLL странично зареждане за поддържане на постоянна връзка със С2 сървъри и стига дотам, че да извлече компресирани/кодирани данни, след което да го изпълнява локално.
Cobalt Strike се наблюдава като избран полезен товар в един момент и изглежда, че и други могат да бъдат приложени. Този зловреден софтуер със сигурност има потенциал да причини голяма вреда, но в тази кампания утехата е, че потребителят трябва ръчно да изпълни файл, изтеглена чрез изтегляне на задвижване от компрометиран уебсайт. Това обаче може винаги да се доставя чрез фишинг, което остава един от най -често срещаните вектори поради неговата лекота и ефективност.
Актуализирано разпространение на злонамерен софтуер Lazarus
Изследователите са открили, че Lazarus, национално финансирана група, атакува Windows Internet Information Service (IIS) и ги използва за разпространение на злонамерен софтуер. Групата е известна с използването на техники за поливане на отвори за получаване на първоначален достъп. Когато сканиране открие сървър с уязвима версия, те използват уязвимостта, подходяща за версията, за да инсталират уебшлеж, да изтеглят файлове или да изпълняват команди. Наскоро идентифицираната атака показа, че злонамерените щамове на групата на групата на Lazarus са генерирани от W3WP.Exe, IIS уеб сървър процес. Злонамерен софтуер, генериран от W3WP.EXE процесът е usopriv.Exe, злонамерен софтуер с сок, пълен с темида.
Картофените щамове са отговорни за ескалирането на привилегиите. Има няколко вида, включително Juicypotato, Rottenpotato и Sweetpotato, в зависимост от метода за ескалация на привилегиите. Картофените щамове ескалират привилегията, като злоупотребяват с процеси с определени привилегии, активирани. След това актьорът на заплаха може да извърши злонамерени действия, използвайки повишената привилегия. Командата Whoami е използвана за проверка дали е постигната ескалация на привилегиите. Намерен е и дневник, показващ, че злонамерен софтуер за товарач, който е отговорен за действителното злонамерено поведение. Товарачът е във формат DLL, така че Rundll32 е използван за изпълнението му. Товарачът дешифрира името на файла на данните, които ще се използват, и получава низ. Този низ е името на файла с данни, който се търси в общо три пътя. След това злонамерен софтуер за товарач декриптира криптирани файлове с данни и ги изпълнява в областта на паметта.
Групата на Лазар също е наблюдавана, използвайки различни други вектори за атака за първоначален достъп, като уязвимости на съвместния сертификат и 3CX атаки на веригата за доставки. Това е една от най -опасните групи за заплахи, които в момента работят и е много активна в световен мащаб. Те непрекъснато използват атаки на уязвимост, за да получат достъп до непредвидени системи. Ако дадена система няма инсталирана най -новата версия на уязвим продукт, тогава трябва незабавно последната актуализация да бъде приложена.
Уязвимости на Microsoft
В последния кръг от актуализации Microsoft се обърна към две уязвимости с нулев ден, а именно CVE-2023-36884 и CVE-2023-38180. Тези уязвимости активно се експлоатират от участниците в заплахата и предизвикаха бързи действия от Microsoft. Актуализацията на този месец също обхваща поправки за 87 други уязвимости, подчертавайки значението на това да останете бдителни срещу потенциални кибер заплахи.
CVE-2023-36884, уязвимост за изпълнение на отдалечен код, е използвана от руския актьор на заплаха Storm-0978/Romcom. Този недостатък позволи на нападателите умело да манипулират документите на Microsoft Office, за да избегнат механизмите за сигурност като маркировката на мрежата (MOTW), което им позволява да изпълняват код от разстояние. Microsoft отговори с офис защита в дълбочина, за да смекчи този риск. Storm-0978/ROMCOM, включен по-рано в разгръщането на индустриалния шпионски откуп, наскоро се ребрандира като „ъндърграунд“ и разшири дейността си, за да включи изнудване на изнудване на софтуер.
Друга тревожна уязвимост, CVE-2023-38180, също получи внимание в тази актуализация. Въпреки че Microsoft не е разкрил конкретни подробности за неговата експлоатация или самоличността на Discoverer, тази уязвимост активно е била злоупотребена и потенциално би могла да доведе до атаки на разпределение на отричане на услуга (DDOS) срещу атаки срещу атаки срещу атаки (DDOS) върху .Нетни приложения и визуално студио. По -специално, този недостатък не изисква нападателят да притежава потребителски привилегии в целевата система, което го прави по -сериозна загриженост.
Експертите по сигурността съветват организациите да предприемат бързи действия, като прилагат препоръчителните мерки за сигурност и прилагат предоставените пластири. Тези актуализации служат като напомняне за вечно присъстващите кибер заплахи, които изискват постоянни усилия за защита на системите и данни от потенциални нарушения.
Ако сте изправени пред предизвикателства, свързани със заплахи, нарушения и лоши участници в киберсигурността или се интересувате да научите повече за идентифициране на потенциални заплахи за вашата организация, свържете се с Marcum Technology днес.
Кибер атака през 2023 г
VPN 0 Comments
Заплахи за киберсигурност, засягащи бизнеса през август 2023 г
Скорошни кибер атаки – 2023 г
Ниведита е технически писател с Астра, която има дълбока любов към знанието и всички любопитни неща в природата. Запален читател по сърце, тя откри, че се обажда на писане за SEO, Robotics и в момента киберсигурност.
Този сайт използва Akismet за намаляване на спама. Научете как се обработват вашите данни за коментари.
0 коментара
Вградени отзиви
Вижте всички коментари
Свързани статии
Psst! Здрасти. Ние сме Астра.
Ние правим сигурността проста и безпроблемна за хиляди
на уебсайтове и предприятия по целия свят.
Нашият пакет от продукти за сигурност включва скенер за уязвимост, защитна стена, скенер за злонамерен софтуер и пентести, за да защитите вашия сайт от злите сили в интернет, дори когато спите.
Ние правим сигурността проста и безпроблемна за хиляди уебсайтове и фирми по целия свят.
Вижте нашите светещи отзиви за
Пентст
Защита на уебсайта
Компания
Ресурси
Направен с ❤ в
Copyright © 2022 Astra It, Inc. Всички права запазени.
Заплахи за киберсигурност, засягащи бизнеса през август 2023 г
Киберсигурност и цифрова криминалистика
Заплахите за киберсигурност се увеличават бързо. В резултат на това ръководителите на компанията трябва да бъдат по -наясно с потенциалните недостатъци в общата си стратегия за киберсигурност. Запитванията за лов на заплахи, предлагани като част от SOC услугите на Marcum Technology, са от ключово значение за идентифициране на потенциални заплахи в околната среда на организацията.
По -долу са първите четири заплахи, които се появиха през последния месец.
Blackbyte 2.0
Атаките за откуп са все по -голям проблем за организациите по целия свят, както по обхват, така и по тежест. Екипът за реагиране на инциденти на Microsoft разследва неотдавнашния Blackbyte 2.0 Атаки за откуп, разкриващи тревожната скорост и разрушителния характер на тези кибер удари. Констатациите показват, че хакерите могат да изпълнят целия процес на атака, от получаване на първоначален достъп до причиняване на значителни щети само за пет дни. Те бързо проникват в системите, криптират решаващи данни и изискват откуп за неговото освобождаване. Тази кондензирана времева линия представлява значително предизвикателство за организациите, които се стремят да се защитават срещу тези злонамерени операции.
В последния етап на атаката се използва откуп от BlackByte, използвайки 8-цифрен номер на номера за криптиране на данни. Нападателите използват мощна комбинация от инструменти и техники, като се възползват от безпадните сървъри на Microsoft Exchange, за да получат достъп и да поставят основите за своите злонамерени дейности. Процеси за кухи, антивирусни стратегии за укриване, уеб черупки за отдалечен достъп и кобалт удар на маяци за операции на командване и контрол допълнително подобряват техните възможности, което затруднява организациите да се защитават срещу тях. Освен това, киберпрестъпниците използват инструменти „Живот-оф“, за да камуфлират дейността си и да избягват откриването. Те променят копията на силата на звука на заразени машини, за да предотвратят възстановяването на данните чрез точките за възстановяване на системата и разгръщат персонализирани задни пътища за постоянен достъп дори след първоначалния компромис.
Тъй. Тежестта на тези атаки налага незабавни действия от организациите по целия свят и в отговор на тези открития Microsoft предоставя практически препоръки. Той насърчава прилагането на стабилни процедури за управление на пластира, за да се прилагат критични актуализации на сигурността рано. Активирането на защитата на подправите също е от решаващо значение, тъй като засилва решенията за сигурност срещу злонамерени опити за деактивиране или заобикаляне. Следвайки най-добрите практики, като например поддържане на актуални системи и ограничаване на административните привилегии, организациите могат значително да смекчат риска от атаки на откуп на BlackByte и други подобни заплахи.
Азотна кампания, използващо странично зареждане на DLL за C2
В неотдавнашна кампания, наречено „Азот“, се наблюдава странично зареждане на DLL, което се използва за C2 Communications. Вместо обичайния вектор на фишинг, атаката започна с изтегляне от компрометиран уебсайт на WordPress. Файлът, ISO изображение, съдържа файл за инсталиране, който трябва да се изпълнява ръчно от крайния потребител. След това инсталаторът продължава да зарежда MSI.DLL файл и дешифрира придружаващия файл с данни. Вградената питонна дистрибуция и DLL са изпуснати, за да бъдат натоварени в C: \ Потребители \ Public \ Music \ Python Path.
След това зловредният софтуер създава планирана задача: “Задача за сигурност на OneDrive-S-1-5-21-5678566754-9123742832-2638705499-2003”, Който управлява pythonw.Exe. Това предоставя на постоянството на злонамерен софтуер. Задачата планира да се задейства при стартиране на системата и изтича 1 декември 2029 г. в полунощ.
С установяването на постоянство злонамерен софтуер може да изпълнява своите задължения. Виждано е, че използва DLL странично зареждане за поддържане на постоянна връзка със С2 сървъри и стига дотам, че да извлече компресирани/кодирани данни, след което да го изпълнява локално.
Cobalt Strike се наблюдава като избран полезен товар в един момент и изглежда, че и други могат да бъдат приложени. Този зловреден софтуер със сигурност има потенциал да причини голяма вреда, но в тази кампания утехата е, че потребителят трябва ръчно да изпълни файл, изтеглена чрез изтегляне на задвижване от компрометиран уебсайт. Това обаче може винаги да се доставя чрез фишинг, което остава един от най -често срещаните вектори поради неговата лекота и ефективност.
Актуализирано разпространение на злонамерен софтуер Lazarus
Изследователите са открили, че Lazarus, национално финансирана група, атакува Windows Internet Information Service (IIS) и ги използва за разпространение на злонамерен софтуер. Групата е известна с използването на техники за поливане на отвори за получаване на първоначален достъп. Когато сканиране открие сървър с уязвима версия, те използват уязвимостта, подходяща за версията, за да инсталират уебшлеж, да изтеглят файлове или да изпълняват команди. Наскоро идентифицираната атака показа, че злонамерените щамове на групата на групата на Lazarus са генерирани от W3WP.Exe, IIS уеб сървър процес. Злонамерен софтуер, генериран от W3WP.EXE процесът е usopriv.Exe, злонамерен софтуер с сок, пълен с темида.
Картофените щамове са отговорни за ескалирането на привилегиите. Има няколко вида, включително Juicypotato, Rottenpotato и Sweetpotato, в зависимост от метода за ескалация на привилегиите. Картофените щамове ескалират привилегията, като злоупотребяват с процеси с определени привилегии, активирани. След това актьорът на заплаха може да извърши злонамерени действия, използвайки повишената привилегия. Командата Whoami е използвана за проверка дали е постигната ескалация на привилегиите. Намерен е и дневник, показващ, че злонамерен софтуер за товарач, който е отговорен за действителното злонамерено поведение. Товарачът е във формат DLL, така че Rundll32 е използван за изпълнението му. Товарачът дешифрира името на файла на данните, които ще се използват, и получава низ. Този низ е името на файла с данни, който се търси в общо три пътя. След това злонамерен софтуер за товарач декриптира криптирани файлове с данни и ги изпълнява в областта на паметта.
Групата на Лазар също е наблюдавана, използвайки различни други вектори за атака за първоначален достъп, като уязвимости на съвместния сертификат и 3CX атаки на веригата за доставки. Това е една от най -опасните групи за заплахи, които в момента работят и е много активна в световен мащаб. Те непрекъснато използват атаки на уязвимост, за да получат достъп до непредвидени системи. Ако дадена система няма инсталирана най -новата версия на уязвим продукт, тогава трябва незабавно последната актуализация да бъде приложена.
Уязвимости на Microsoft
В последния кръг от актуализации Microsoft се обърна към две уязвимости с нулев ден, а именно CVE-2023-36884 и CVE-2023-38180. Тези уязвимости активно се експлоатират от участниците в заплахата и предизвикаха бързи действия от Microsoft. Актуализацията на този месец също обхваща поправки за 87 други уязвимости, подчертавайки значението на това да останете бдителни срещу потенциални кибер заплахи.
CVE-2023-36884, уязвимост за изпълнение на отдалечен код, е използвана от руския актьор на заплаха Storm-0978/Romcom. Този недостатък позволи на нападателите умело да манипулират документите на Microsoft Office, за да избегнат механизмите за сигурност като маркировката на мрежата (MOTW), което им позволява да изпълняват код от разстояние. Microsoft отговори с офис защита в дълбочина, за да смекчи този риск. Storm-0978/ROMCOM, включен по-рано в разгръщането на индустриалния шпионски откуп, наскоро се ребрандира като „ъндърграунд“ и разшири дейността си, за да включи изнудване на изнудване на софтуер.
Друга тревожна уязвимост, CVE-2023-38180, също получи внимание в тази актуализация. Въпреки че Microsoft не е разкрил конкретни подробности за неговата експлоатация или самоличността на Discoverer, тази уязвимост активно е била злоупотребена и потенциално би могла да доведе до атаки на разпределение на отричане на услуга (DDOS) срещу атаки срещу атаки срещу атаки (DDOS) върху .Нетни приложения и визуално студио. По -специално, този недостатък не изисква нападателят да притежава потребителски привилегии в целевата система, което го прави по -сериозна загриженост.
Експертите по сигурността съветват организациите да предприемат бързи действия, като прилагат препоръчителните мерки за сигурност и прилагат предоставените пластири. Тези актуализации служат като напомняне за вечно присъстващите кибер заплахи, които изискват постоянни усилия за защита на системите и данни от потенциални нарушения.
Ако сте изправени пред предизвикателства, свързани със заплахи, нарушения и лоши участници в киберсигурността или се интересувате да научите повече за идентифициране на потенциални заплахи за вашата организация, свържете се с Marcum Technology днес.