Nowe malware: TinyTurla i Capoae / Fałszywe powiadomienia o certyfikatach i złośliwy TeamViewer

Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych. 

Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.

TinyTurla — nowy malware, który ma utrzymać backdoory na komputerach ofiar w sekrecie

Specjaliści z Cisco Talos odkryli niedawno nowego backdoora używanego przez rosyjską grupę Turla APT. Prawdopodobnie jest on używany jako backdoor “awaryjny” w celu zachowania dostępu do zainfekowanych urządzeń w momencie, gdy pierwotne zagrożenie zostanie usunięte. Może on również infekować  dodatkowym malware.

Atakujący instalują backdoora TinyTurla jako usługę ukrywając ją pod nazwą istniejącej już usługi “Windows Time Service”. Backdoor może przesyłać i uruchamiać pliki lub wydobywać je z zainfekowanego systemu. Co pięć sekund łączy się z serwerem C2 za pośrednictwem, aby sprawdzić, czy pojawiły się nowe polecenia od operatora. Wygląda na to, że ze względu na ograniczoną funkcjonalność i prosty styl kodowania, programom antywirusowym nie jest łatwo wykryć go jako złośliwe oprogramowanie. Oznacza to, że backdoor może w ukryciu zbierać dane przez wiele miesięcy. 

Źródło

Fałszywe ostrzeżenia o wygasłym certyfikacie zainstalują złośliwy TeamViewer 

Przestępcy atakują serwery Windows IIS i dodają do stron powiadomienia o wygasłych certyfikatach, które mają zachęcić odwiedzających do aktualizacji certyfikatu bezpieczeństwa i pobrania złośliwego instalatora.

Sposób włamywania się na urządzenia nie jest jeszcze znany, ale spójrzmy prawdzie w oczy – wielu administratorów zmaga się z łataniem swoich systemów na czas. Wiadomo jednak, że złośliwy ładunek to TVRAT (znany również jako TVSPY, TeamSpy, TeamViewerENT lub Team Viewer RAT). Po zainfekowaniu urządzenia złośliwe oprogramowanie po cichu zainstaluje i uruchomi oprogramowanie do zdalnego sterowania – TeamViewer, który poinformuje serwery C2 przestępców, że mogą zdalnie przejąć pełną kontrolę nad nowo zaatakowanym komputerem.

Źródło

Malware Capoae infiltruje witryny WordPress i instaluje wtyczkę z backdoorem

Nowa kampania malware Capoae wykorzystuje kalejdoskop technik i luk, aby zająć jak najwięcej komputerów. Oprogramowanie jest dostarczane za pomocą dodatku do wtyczki WordPress o nazwie “download-monitor”, która jest Instalowana po pomyślnym wymuszeniu poświadczeń administratora WordPress.

Zagrożenie wykorzystuje exploity dla wielu luk RCE, czyli zdalnego wykonania kodu w Oracle WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062) i Jenkins (CVE-2019-1003029 i CVE-2019-1003030). W ten sposób malware włamuje się do systemów z protokołem SSH i uruchamia oprogramowanie do kopania XMRig. Łańcuch ataku obejmuje również kilka sztuczek zapewniających programowi trwałość. Dobra rada? Regularnie aktualizuj systemy i przestań używać słabych, domyślnych danych uwierzytelniających lub… przygotuj się na surową karę. 

Źródło

Pozostałe newsy ze świata IT

  1. How to fix the Windows 0x0000011b network printing error (Bleeping Computer)
  2. Cring Ransomware Gang Exploits 11-Year-Old ColdFusion Bug (The Hacker News)
  3. New Mac malware masquerades as iTerm2, Remote Desktop and other apps (Malwarebytes Labs)
  4. iOS 15 lets you spy on apps that might be spying on you (ZDNet)
  5. Nagios XI vulnerabilities open enterprise IT infrastructure to attack (Help Net Security)
  6. Why You Should Consider QEMU Live Patching (The Hacker News)
  7. Large-Scale Phishing-as-a-Service Operation Exposed (Threat Post)
  8. Urgent Apple iOS and macOS Updates Released to Fix Actively Exploited Zero-Days (ZDNet)
  9. 100M IoT Devices Exposed By Zero-Day Bug (Threat Post)
  10. New FamousSparrow APT group used ProxyLogon exploits in attacks on hotels worldwide (Security Affairs)