Xopero Blog

StrandHogg 2.0 / PonyFinal / ComRAT / NSA przestrzega przed luką Exim

Trzy największe cyberzagrożenia ostatniego tygodnia pokazują, że atakujący opanowali do perfekcji sprawne adaptowanie się do nowych warunków. Interface webowy Gmaila służy przestępcom do komunikacji command and control. Microsoft przestrzega użytkowników przed tzw, human-operated ransomware attacks. Ale dzisiejsze zestawienie otwiera nowo odkryta wada w systemie Android, która pozwala na przeprowadzenie rozszerzonego ataku StrandHogg 2.0 – znacznie groźniejszego, ponieważ na dużo większą skalę.  

Read more

RagnarLocker / Bluetooth – ataki BIAS i Spectra / Wyciek z EasyJet

W tym tygodniu donosimy wam o ciekawym przypadku wykorzystania Oracle VirtulaBox w cyberataku. Przestępcy wykorzystali ją do ukrycia obecności ransomware RagnarLocker przed programami antywirusowymi. Do tego – bardzo skutecznie. W dzisiejszym zestawieniu także… Urządzenia z Bluetooth podatne na ataki BIAS oraz Spectra. Kod GhostDNS wpadł w ręce firmy antywirusowej… zupełnie przypadkiem. Nowa strona logowania do Azure cieszy się szczególnym zainteresowaniem przestępców. Na koniec wyciek danych z EasyJet.  

Read more

ThunderSpy / Ramsey / Astaroth / Jak stracić 100 mln koron

Jak zhackować urządzenie wyposażone w porty Thunderbolt – nawet jeśli jest ono zablokowane, a dysk zaszyfrowany? Wygląda na to, że atakujący potrzebuje tylko dostęp do urządzenia (na bardzo krótko), śrubokręt i dodatkowo przenośny hardware. Jednak nie dajcie się zwieść, atak ThunderSpy – którego opracowanie zajęło lata – jest naprawdę elegancki. W tym tygodniu także… Ramsey, nowe zagrożenie dla sieci izolowanych. Trafił na Ciebie ransomware? – zapłacisz dwa razy. Do tego: infostealer Astaroth, norweski Norfund traci 100 mln koron i ransomware atakuje kancelarię prawną amerykańskich celebrytów.

Read more

LockBit / Kaiji / 2FA ze spyware / części do Tesli z masą danych

Na rynku cyberzagrożeń pojawił się nowy gracz. LockBit jest oferowany w modelu RaaS (Ransomware as a Service) i jest wyjątkowo szybki. Aby zaszyfrować całą firmową sieć potrzebuje zaledwie kilku godzin. W tym tygodniu również piszemy nt. botnetu Kaiji oraz nowego spyware, który ukryty w aplikacji 2FA atakuje użytkowników macOS. Znaleźliśmy także gorącą ciekawostkę [a w zasadzie przestrogę] dla fanów Tesli (i ich posiadaczy) oraz newsa, który zainteresuje fanów Anime (ach, młodość się przypomina). Zaczynamy.

Read more

Podsumowanie kwietnia: Data Protection Academy / Zdalna kawa / XCM w CRN

Za nami kolejny miesiąc pracy zdalnej. I choć na odległość, realizujemy wiele działań, aby umilić Wam czas trwania akcji #zostańwdomu. Internet zawsze był dla nas podstawą istnienia – ale teraz pozwolił odkryć swój dodatkowy potencjał. Okazało się, że nawet trudne, techniczne warsztaty, na które zawsze przemierzaliśmy setki kilometrów mogą sprawnie odbyć się online. Tęsknimy już za bezpośrednim kontaktem, ale póki jeszcze siedzimy w domach – wykorzystajmy to. 

Read more

Błąd w Microsoft Teams / Sophos 0-day / EventBot / Antywirus z podatnością

Microsoft załatał nietypowy błąd w Microsoft Teams. Umożliwiał on przejęcie konta za pomocą m.in. obrazka .GIF. W tym tygodniu opisujemy również Sophos 0-day wykryty w urządzeniach z serii XG Firewall, „narodziny” nowego trojana bankowego oraz błąd, który zmienia antywirusa w samodestrukcyjne narzędzie. Mamy również dobrą wiadomość dla ofiar ransomware Shade. Jego twórcy spakowali walizki i… przepraszają za złe uczynki. Na koniec jako ciekawostkę opisujemy historię przerwanej aukcji – licytowano najdroższą kolekcję whisky na świecie.

Read more

Banker.BR / Kod CS:GO i Team Fortress 2 w sieci / VictoryGate wyeliminowany

Witajcie w ostatnim kwietniowym przeglądzie newsów IT. W sieci zadebiutowały kody CS:GO i Team Fortress 2. Valve uspokaja graczy, jednak największe serwisy zawiesiły działanie swoich serwerów i czekają na szczegółowe wyjaśnienia. Więcej na ten temat przeczytacie poniżej. W tym tygodniu także Banker.BR, czyli Twój nowy trojan bankowy, kolejna kampania Trickbot i historia hackera, który… oddał 25 mln USD. A także ESET eliminuje botnet składający się z 35 tys. komputerów oraz hacker otrzymał 1,3 mln USD od trzech firm inwestorskich.

Read more

TA505 z kampanią HR / Microsoft Patch Tuesday / Tajemnica xHelper rozwiązana

Zaczęło się od niewinnego maila… Wiele czarnych scenariuszy inicjuje właśnie kliknięcie w załącznik przesłany mailem… który wydawał się być w porządku. W tym zestawieniu ostrzegamy was przed kampanią, w której przestępcy podszywają się pod pracowników działu HR. Dodatkowo: Google pozbył się 49 rozszerzeń dla Chrome, Microsoft Patch Tuesday z 113 łatkami, międzynarodowy koncern energetyczny padł ofiarą ransomware. Publikujemy także najnowsze ustalenia nt. xHelper. Wygląda na to, że jego ofiary będą mogły odetchnąć z ulgą. Na koniec AgentTesla otrzymał nowy moduł, który umożliwia kradzież haseł WiFi.  

Read more

Dark-Nexus / Zagrożony Docker / VPN wykorzystany w ataku MITM

Wszystko wskazuje na to, że Qbot oraz Mirai doczekały się godnego następcy. Swoją drogą, naprawdę imponującego – Dark-Nexus to najbardziej złożony botnet w historii. Przestępcy poszukują coraz bardziej innowacyjnych metod ataku. Dobrym tego przykładem jest również malware Kinsing, który stanowi zagrożenia dla klastrów Docker. W tym tygodniu piszemy także na temat aplikacji SuperVPN, której podatność umożliwia atak Man in the Middle. Dodatkowo: ponad 350 tys. serwerów Microsoft Exchange posiada krytyczną lukę, nowa taktyka twórców Raccoon, a także najnowsze kampanie COVID-19.

Read more

Zoom z poważną luką / Hackerzy zhakowali hackerów

Wiele firm rozpoczyna dziś kolejny tydzień pracy zdalnej – w tym także Xopero. Jednak wzmożone wykorzystywanie narzędzi do komunikacji nie uszło uwadze przestępców. W ostatnim dniach m.in. wyszło na jaw, że popularna aplikacja Zoom posiada kilka poważnych problemów w zakresie bezpieczeństwa i prywatności. W tym tygodniu także: przestępcy wykorzystują bazy MS SQL do kopania kryptowalut oraz hacker z zemsty na firmie z obszaru cybersecurity czyści serwery ElasticSearch. W czasach zwiększonej liczby kampanii phishingowych przestępca żeby się dorobić, musi być naprawdę pomysłowy. Jedno z najpopularniejszych forów hackerskich na świecie zostało…zhakowane. Już po raz drugi – i oczywiście przez innych hackerów. Na koniec: również w tym tygodniu wybraliśmy najciekawsze cyber-fakty powiązane z kampaniami „na koronawirusa”.

Read more