Hrozby kybernetické bezpečnosti ovlivňující podniky v srpnu 2023
Zjednodušte bezpečnost a bezproblémové pro tisíce webových stránek a podniků po celém světě.
Nedávné kybernetické útoky – 2023
Nivedita je technický spisovatel s Astra, která má hlubokou lásku ke znalostem a všem věcem zvědavým v přírodě. Vračnější čtenářka našla její volání psaní o SEO, robotice a v současné době kybernetické bezpečnosti.
Tento web používá Akismet ke snížení spamu. Zjistěte, jak se zpracovávají data komentáře.
0 komentářů Inline zpětné vazby Zobrazit všechny komentáře
Související články
Psst! Ahoj. Jsme Astra.
Zjednodušte bezpečnost a bezproblémové pro tisíce webových stránek a podniků po celém světě.
Naše sada bezpečnostních produktů zahrnuje skener zranitelnosti, firewall, malware skener a pentest, aby chránil váš web před zlými silami na internetu, i když spíte.
Získejte nejasnější
Chraňte svůj web
Zjednodušte bezpečnost a bezproblémové pro tisíce webových stránek a podniků po celém světě.
Hrozby kybernetické bezpečnosti ovlivňující podniky v srpnu 2023
Kybernetická bezpečnost a digitální forenzní
Hrozby kybernetické bezpečnosti se rychle zvyšují. Výsledkem je, že si vedoucí společnosti musí být více vědomi možných nedostatků ve své celkové strategii kybernetické bezpečnosti. Dotazy na Hunt Hunt, nabízené jako součást SOC služeb společnosti Marcum Technology, jsou klíčem k identifikaci potenciálních hrozeb v prostředí organizace.
Níže jsou nejvyšší čtyři hrozby, které se objevily za poslední měsíc.
Blackbyte 2.0
Útoky ransomwaru jsou pro organizace po celém světě rostoucím problémem, a to jak v rozsahu, tak v závažnosti. Tým pro reakci na incidenty společnosti Microsoft vyšetřoval nedávný Blackbyte 2.0 Ransomware útoky, odhalující alarmující rychlost a destruktivní povahu těchto kybernetických úderů. Zjištění naznačují, že hackeři mohou provést celý proces útoku, z získání počátečního přístupu k způsobujícím značnému poškození, za pouhých pět dní. Rychle infiltrují systémy, šifrují klíčová data a požadují výkupné pro jeho vydání. Tato zhuštěná časová osa představuje významnou výzvu pro organizace, které se snaží bránit proti těmto škodlivým operacím.
Ransomware Blackbyte je zaměstnán v závěrečné fázi útoku a využívá 8místný číselný klíč k šifrování dat. Útočníci používají silnou kombinaci nástrojů a technik a využívají výhody nepatřených serverů Microsoft Exchange k získání přístupu a položení základu pro jejich škodlivé činnosti. Procesní dutý, antivirové únikové strategie, webové skořápky pro vzdálený přístup a kobalt stávkové majáky pro operace velení a kontroly dále zvyšují jejich schopnosti, což organizace ztěžuje bránit proti nim. Kromě toho kybernetičtí zločinci používají nástroje „obyvadlo-zemí“ k maskování jejich činností a vyhýbání se detekci. Upravují kopie objemu na infikované stroje, aby zabránily obnově dat prostřednictvím bodů obnovení systému a nasadily vlastní zadní vdoor.
Vzhledem k tomu, že útoky ransomwaru jsou častější a sofistikovanější, mohou herci hrozby rychle narušit obchodní operace, pokud organizace nejsou adekvátně připraveny. Závažnost těchto útoků vyžaduje okamžité jednání organizací po celém světě a v reakci na tato zjištění poskytuje Microsoft praktická doporučení. Povzbuzuje implementaci robustních postupů správy záplaty k uplatňování kritických aktualizací zabezpečení včas. Povolení ochrany manipuláře je také zásadní, protože posiluje bezpečnostní řešení proti škodlivým pokusům o jejich deaktivaci nebo obejmu. Dodržováním osvědčených postupů, jako je udržování aktuálních systémů a omezení administrativních privilegií, mohou organizace výrazně zmírnit riziko útoků Blackbyte Ransomware a další podobné hrozby.
Dusíková kampaň využívající DLL nakládání pro C2
V nedávné kampani, dabovaném „dusíku“, bylo viděno, že nakládání na straně DLL bylo využíváno pro komunikaci C2. Místo obvyklého vektoru phishingu začal útok stažením z kompromitovaného webu WordPress. Soubor, obrázek ISO, obsahuje instalační soubor, který musí být prováděn ručně koncovým uživatelem. Instalační program poté načte MSI.Soubor dll a dešifruje doprovodný datový soubor. Vestavěná distribuce Pythonu a DLL jsou upuštěny tak, aby byly načteny v uživateli C: \ Users \ Public \ Music \ Python Path.
Malware pak vytvoří naplánovaný úkol: “OneDrive Security Task-1-5-21-5678566754-9123742832-2638705499-2003“, Který provozuje Pythonw.exe. To poskytuje perzistenci malwaru. Plány úloh se spustí při spuštění systému a vyprší 1. prosince 2029 o půlnoci.
Se stanovenou perzistencí může malware plnit své povinnosti. Bylo viděno, že využívá boční načtení DLL k udržení přetrvávajícího spojení se servery C2 a jde tak daleko, že načte komprimovaná/kódovaná data a poté je provedena místně.
Kobaltová úder byla pozorována jako zvolený užitečná zatížení v jednom bodě a zdá se, že ostatní mohou být také implementováni. Tento malware má určitě potenciál způsobit velkou škodu, ale v této kampani je útěcha, že uživatel musí ručně provádět soubor stažený prostřednictvím stahování na kompromitovaném webu. To by však mohlo být vždy doručeno prostřednictvím phishingu, který zůstává jedním z nejběžnějších vektorů kvůli jeho snadnosti a účinnosti.
Aktualizovaná distribuce malwaru Lazarus
Vědci zjistili, že Lazarus, národně financovaná skupina, útočí na webové servery Windows Internet Information Service (IIS) a používá je k šíření malwaru. Skupina je známá tím, že používá techniky zavlažovací díry k získání počátečního přístupu. Když skenování detekuje server s zranitelnou verzí, používají zranitelnost vhodnou pro verzi k instalaci webového pláště, stahování souborů nebo spuštění příkazů. Nedávno identifikovaný útok ukázal, že kmeny malwaru LAZARUS Threat Group byly generovány pomocí W3WP.exe, proces webového serveru IIS. Malware generovaný W3WP.Proces exe je usopriv.exe, malware juicypotato plné themida.
Kmeny malwaru brambor jsou zodpovědné za eskalaci privilegií. Existuje několik typů využívaných, včetně juicypotato, rottenpotato a sweetpotato, v závislosti na metodě eskalace privilegií. Kmeny brambor eskalují privilegium zneužíváním procesů s určitými aktivovanými privilegiami. Poté může herec hrozby provádět škodlivé akce pomocí zvýšeného privilegia. Příkaz Whoami byl použit ke kontrole, zda bylo dosaženo eskalace o privilegii. Byl také nalezen protokol, který ukazuje, že byl proveden malware nakladače, který je zodpovědný za skutečné škodlivé chování. Nakladač je ve formátu DLL, takže Rundll32 byl použit k jeho provedení. Nakladač dešifruje název souboru dat, která se mají použít, a získá řetězec. Tento řetězec je název datového souboru, který je hledán celkem v celkem tři cesty. Malware nakladače poté dešifruje šifrované datové soubory a provádí je v oblasti paměti.
Skupina Lazarus byla také pozorována pomocí různých jiných útočných vektorů pro počáteční přístup, jako jsou zranitelnosti společného certifikátu a útoky dodavatelského řetězce 3CX. Toto je jedna z nejnebezpečnějších skupin hrozeb, které v současné době fungují a je celosvětově vysoce aktivní. Neustále používají útoky zranitelnosti k získání přístupu k netsated systémům. Pokud systém nemá nainstalovanou nejnovější verzi zranitelného produktu, musí být nejnovější aktualizace použita okamžitě.
Microsoft zranitelnosti
V posledním kole aktualizací se společnost Microsoft zabývala dvěma zranitelnostmi s nulovým dnem, jmenovitě CVE-2023-36884 a CVE-2023-38180. Tyto zranitelnosti byly aktivně využívány herci hrozby a vyvolaly rychlou akci od společnosti Microsoft. Aktualizace tohoto měsíce zahrnuje také opravy pro 87 dalších zranitelnosti, což zdůrazňuje důležitost zůstat ostražití proti potenciálním kybernetickým hrozbám.
CVE-2023-36884, zranitelnost provádění vzdáleného kódu, použila ruský herecký herec Storm-0978/Romcom. Tato chyba umožnila útočníkům chytře manipulovat s dokumenty Microsoft Office, aby se vyhýbali bezpečnostním mechanismům, jako je značka webu (MOTW), což jim umožňuje dálkově provádět kód. Microsoft odpověděl na hloubku kancelářské obrany, aby toto riziko zmírnil. Storm-0978/Romcom, dříve zapojený do nasazení průmyslového špionážního ransomwaru, nedávno rebrandingoval jako „podzemí“ a rozšířil své činnosti tak, aby zahrnoval vydírání ransomware.
Další znepokojivá zranitelnost, CVE-2023-38180, byla v této aktualizaci také věnována. Ačkoli Microsoft neodhalil konkrétní podrobnosti o jeho vykořisťování nebo identitě objevovače, tato zranitelnost byla aktivně zneužívána a mohla by potenciálně vést k distribuovaným útokům za popření služby (DDOS) na .Čisté aplikace a vizuální studio. Zejména tato chyba nevyžaduje, aby útočník měl oprávnění uživatelů v cílovém systému, což z něj činí závažnější obavy.
Odborníci na zabezpečení radí organizacím, aby provedly rychlé opatření zavedením doporučených bezpečnostních opatření a použitím poskytnutých záplat. Tyto aktualizace slouží jako připomínka stále přítomných kybernetických hrozeb, které vyžadují důsledné úsilí o ochranu systémů a dat před možnými porušeními.
Pokud čelíte výzvám souvisejícím s hrozbami kybernetické bezpečnosti, porušením a špatnými aktéry, nebo máte zájem dozvědět se více o identifikaci potenciálních hrozeb pro vaši organizaci, kontaktujte dnes Marcum Technology.
Kybernetický útok v roce 2023
VPN 0 Comments
Hrozby kybernetické bezpečnosti ovlivňující podniky v srpnu 2023
Nedávné kybernetické útoky – 2023
Nivedita je technický spisovatel s Astra, která má hlubokou lásku ke znalostem a všem věcem zvědavým v přírodě. Vračnější čtenářka našla její volání psaní o SEO, robotice a v současné době kybernetické bezpečnosti.
Tento web používá Akismet ke snížení spamu. Zjistěte, jak se zpracovávají data komentáře.
0 komentářů
Inline zpětné vazby
Zobrazit všechny komentáře
Související články
Psst! Ahoj. Jsme Astra.
Zjednodušte bezpečnost a bezproblémové pro tisíce
webových stránek a podniků po celém světě.
Naše sada bezpečnostních produktů zahrnuje skener zranitelnosti, firewall, malware skener a pentest, aby chránil váš web před zlými silami na internetu, i když spíte.
Zjednodušte bezpečnost a bezproblémové pro tisíce webových stránek a podniků po celém světě.
Podívejte se na naše zářící recenze
Pentest
Ochrana webových stránek
Společnost
Zdroje
Vyrobeno s ❤ v
Copyright © 2022 Astra it, inc. Všechna práva vyhrazena.
Hrozby kybernetické bezpečnosti ovlivňující podniky v srpnu 2023
Kybernetická bezpečnost a digitální forenzní
Hrozby kybernetické bezpečnosti se rychle zvyšují. Výsledkem je, že si vedoucí společnosti musí být více vědomi možných nedostatků ve své celkové strategii kybernetické bezpečnosti. Dotazy na Hunt Hunt, nabízené jako součást SOC služeb společnosti Marcum Technology, jsou klíčem k identifikaci potenciálních hrozeb v prostředí organizace.
Níže jsou nejvyšší čtyři hrozby, které se objevily za poslední měsíc.
Blackbyte 2.0
Útoky ransomwaru jsou pro organizace po celém světě rostoucím problémem, a to jak v rozsahu, tak v závažnosti. Tým pro reakci na incidenty společnosti Microsoft vyšetřoval nedávný Blackbyte 2.0 Ransomware útoky, odhalující alarmující rychlost a destruktivní povahu těchto kybernetických úderů. Zjištění naznačují, že hackeři mohou provést celý proces útoku, z získání počátečního přístupu k způsobujícím značnému poškození, za pouhých pět dní. Rychle infiltrují systémy, šifrují klíčová data a požadují výkupné pro jeho vydání. Tato zhuštěná časová osa představuje významnou výzvu pro organizace, které se snaží bránit proti těmto škodlivým operacím.
Ransomware Blackbyte je zaměstnán v závěrečné fázi útoku a využívá 8místný číselný klíč k šifrování dat. Útočníci používají silnou kombinaci nástrojů a technik a využívají výhody nepatřených serverů Microsoft Exchange k získání přístupu a položení základu pro jejich škodlivé činnosti. Procesní dutý, antivirové únikové strategie, webové skořápky pro vzdálený přístup a kobalt stávkové majáky pro operace velení a kontroly dále zvyšují jejich schopnosti, což organizace ztěžuje bránit proti nim. Kromě toho kybernetičtí zločinci používají nástroje „obyvadlo-zemí“ k maskování jejich činností a vyhýbání se detekci. Upravují kopie objemu na infikované stroje, aby zabránily obnově dat prostřednictvím bodů obnovení systému a nasadily vlastní zadní vdoor.
Vzhledem k tomu, že útoky ransomwaru jsou častější a sofistikovanější, mohou herci hrozby rychle narušit obchodní operace, pokud organizace nejsou adekvátně připraveny. Závažnost těchto útoků vyžaduje okamžité jednání organizací po celém světě a v reakci na tato zjištění poskytuje Microsoft praktická doporučení. Povzbuzuje implementaci robustních postupů správy záplaty k uplatňování kritických aktualizací zabezpečení včas. Povolení ochrany manipuláře je také zásadní, protože posiluje bezpečnostní řešení proti škodlivým pokusům o jejich deaktivaci nebo obejmu. Dodržováním osvědčených postupů, jako je udržování aktuálních systémů a omezení administrativních privilegií, mohou organizace výrazně zmírnit riziko útoků Blackbyte Ransomware a další podobné hrozby.
Dusíková kampaň využívající DLL nakládání pro C2
V nedávné kampani, dabovaném „dusíku“, bylo viděno, že nakládání na straně DLL bylo využíváno pro komunikaci C2. Místo obvyklého vektoru phishingu začal útok stažením z kompromitovaného webu WordPress. Soubor, obrázek ISO, obsahuje instalační soubor, který musí být prováděn ručně koncovým uživatelem. Instalační program poté načte MSI.Soubor dll a dešifruje doprovodný datový soubor. Vestavěná distribuce Pythonu a DLL jsou upuštěny tak, aby byly načteny v uživateli C: \ Users \ Public \ Music \ Python Path.
Malware pak vytvoří naplánovaný úkol: “OneDrive Security Task-1-5-21-5678566754-9123742832-2638705499-2003“, Který provozuje Pythonw.exe. To poskytuje perzistenci malwaru. Plány úloh se spustí při spuštění systému a vyprší 1. prosince 2029 o půlnoci.
Se stanovenou perzistencí může malware plnit své povinnosti. Bylo viděno, že využívá boční načtení DLL k udržení přetrvávajícího spojení se servery C2 a jde tak daleko, že načte komprimovaná/kódovaná data a poté je provedena místně.
Kobaltová úder byla pozorována jako zvolený užitečná zatížení v jednom bodě a zdá se, že ostatní mohou být také implementováni. Tento malware má určitě potenciál způsobit velkou škodu, ale v této kampani je útěcha, že uživatel musí ručně provádět soubor stažený prostřednictvím stahování na kompromitovaném webu. To by však mohlo být vždy doručeno prostřednictvím phishingu, který zůstává jedním z nejběžnějších vektorů kvůli jeho snadnosti a účinnosti.
Aktualizovaná distribuce malwaru Lazarus
Vědci zjistili, že Lazarus, národně financovaná skupina, útočí na webové servery Windows Internet Information Service (IIS) a používá je k šíření malwaru. Skupina je známá tím, že používá techniky zavlažovací díry k získání počátečního přístupu. Když skenování detekuje server s zranitelnou verzí, používají zranitelnost vhodnou pro verzi k instalaci webového pláště, stahování souborů nebo spuštění příkazů. Nedávno identifikovaný útok ukázal, že kmeny malwaru LAZARUS Threat Group byly generovány pomocí W3WP.exe, proces webového serveru IIS. Malware generovaný W3WP.Proces exe je usopriv.exe, malware juicypotato plné themida.
Kmeny malwaru brambor jsou zodpovědné za eskalaci privilegií. Existuje několik typů využívaných, včetně juicypotato, rottenpotato a sweetpotato, v závislosti na metodě eskalace privilegií. Kmeny brambor eskalují privilegium zneužíváním procesů s určitými aktivovanými privilegiami. Poté může herec hrozby provádět škodlivé akce pomocí zvýšeného privilegia. Příkaz Whoami byl použit ke kontrole, zda bylo dosaženo eskalace o privilegii. Byl také nalezen protokol, který ukazuje, že byl proveden malware nakladače, který je zodpovědný za skutečné škodlivé chování. Nakladač je ve formátu DLL, takže Rundll32 byl použit k jeho provedení. Nakladač dešifruje název souboru dat, která se mají použít, a získá řetězec. Tento řetězec je název datového souboru, který je hledán celkem v celkem tři cesty. Malware nakladače poté dešifruje šifrované datové soubory a provádí je v oblasti paměti.
Skupina Lazarus byla také pozorována pomocí různých jiných útočných vektorů pro počáteční přístup, jako jsou zranitelnosti společného certifikátu a útoky dodavatelského řetězce 3CX. Toto je jedna z nejnebezpečnějších skupin hrozeb, které v současné době fungují a je celosvětově vysoce aktivní. Neustále používají útoky zranitelnosti k získání přístupu k netsated systémům. Pokud systém nemá nainstalovanou nejnovější verzi zranitelného produktu, musí být nejnovější aktualizace použita okamžitě.
Microsoft zranitelnosti
V posledním kole aktualizací se společnost Microsoft zabývala dvěma zranitelnostmi s nulovým dnem, jmenovitě CVE-2023-36884 a CVE-2023-38180. Tyto zranitelnosti byly aktivně využívány herci hrozby a vyvolaly rychlou akci od společnosti Microsoft. Aktualizace tohoto měsíce zahrnuje také opravy pro 87 dalších zranitelnosti, což zdůrazňuje důležitost zůstat ostražití proti potenciálním kybernetickým hrozbám.
CVE-2023-36884, zranitelnost provádění vzdáleného kódu, použila ruský herecký herec Storm-0978/Romcom. Tato chyba umožnila útočníkům chytře manipulovat s dokumenty Microsoft Office, aby se vyhýbali bezpečnostním mechanismům, jako je značka webu (MOTW), což jim umožňuje dálkově provádět kód. Microsoft odpověděl na hloubku kancelářské obrany, aby toto riziko zmírnil. Storm-0978/Romcom, dříve zapojený do nasazení průmyslového špionážního ransomwaru, nedávno rebrandingoval jako „podzemí“ a rozšířil své činnosti tak, aby zahrnoval vydírání ransomware.
Další znepokojivá zranitelnost, CVE-2023-38180, byla v této aktualizaci také věnována. Ačkoli Microsoft neodhalil konkrétní podrobnosti o jeho vykořisťování nebo identitě objevovače, tato zranitelnost byla aktivně zneužívána a mohla by potenciálně vést k distribuovaným útokům za popření služby (DDOS) na .Čisté aplikace a vizuální studio. Zejména tato chyba nevyžaduje, aby útočník měl oprávnění uživatelů v cílovém systému, což z něj činí závažnější obavy.
Odborníci na zabezpečení radí organizacím, aby provedly rychlé opatření zavedením doporučených bezpečnostních opatření a použitím poskytnutých záplat. Tyto aktualizace slouží jako připomínka stále přítomných kybernetických hrozeb, které vyžadují důsledné úsilí o ochranu systémů a dat před možnými porušeními.
Pokud čelíte výzvám souvisejícím s hrozbami kybernetické bezpečnosti, porušením a špatnými aktéry, nebo máte zájem dozvědět se více o identifikaci potenciálních hrozeb pro vaši organizaci, kontaktujte dnes Marcum Technology.