Witamy w Centrum Bezpieczeństwa! Naszym cotygodniowym przeglądzie precyzyjnie wyselekcjonowanych newsów o najbardziej niszczycielskich cyberatakach, krytycznych lukach i najgłośniejszych wyciekach danych.
Nie przegap tego i rozpocznij tydzień cyber-bezpiecznie! Zapisz się na newsletter, a w każdy poniedziałek dostarczymy go na Twoją skrzynkę mailową. Dodatkowo otrzymasz porcję najgorętszych wiadomości firmowych oraz dostęp do wybranych artykułów technicznych przygotowanych przez naszych ekspertów z poradami i trikami dla skutecznego zabezpieczenia Twojej infrastruktury IT.
TinyTurla — nowy malware, który ma utrzymać backdoory na komputerach ofiar w sekrecie
Specjaliści z Cisco Talos odkryli niedawno nowego backdoora używanego przez rosyjską grupę Turla APT. Prawdopodobnie jest on używany jako backdoor “awaryjny” w celu zachowania dostępu do zainfekowanych urządzeń w momencie, gdy pierwotne zagrożenie zostanie usunięte. Może on również infekować dodatkowym malware.
Atakujący instalują backdoora TinyTurla jako usługę ukrywając ją pod nazwą istniejącej już usługi “Windows Time Service”. Backdoor może przesyłać i uruchamiać pliki lub wydobywać je z zainfekowanego systemu. Co pięć sekund łączy się z serwerem C2 za pośrednictwem, aby sprawdzić, czy pojawiły się nowe polecenia od operatora. Wygląda na to, że ze względu na ograniczoną funkcjonalność i prosty styl kodowania, programom antywirusowym nie jest łatwo wykryć go jako złośliwe oprogramowanie. Oznacza to, że backdoor może w ukryciu zbierać dane przez wiele miesięcy.
Fałszywe ostrzeżenia o wygasłym certyfikacie zainstalują złośliwy TeamViewer
Przestępcy atakują serwery Windows IIS i dodają do stron powiadomienia o wygasłych certyfikatach, które mają zachęcić odwiedzających do aktualizacji certyfikatu bezpieczeństwa i pobrania złośliwego instalatora.
Sposób włamywania się na urządzenia nie jest jeszcze znany, ale spójrzmy prawdzie w oczy – wielu administratorów zmaga się z łataniem swoich systemów na czas. Wiadomo jednak, że złośliwy ładunek to TVRAT (znany również jako TVSPY, TeamSpy, TeamViewerENT lub Team Viewer RAT). Po zainfekowaniu urządzenia złośliwe oprogramowanie po cichu zainstaluje i uruchomi oprogramowanie do zdalnego sterowania – TeamViewer, który poinformuje serwery C2 przestępców, że mogą zdalnie przejąć pełną kontrolę nad nowo zaatakowanym komputerem.
Malware Capoae infiltruje witryny WordPress i instaluje wtyczkę z backdoorem
Nowa kampania malware Capoae wykorzystuje kalejdoskop technik i luk, aby zająć jak najwięcej komputerów. Oprogramowanie jest dostarczane za pomocą dodatku do wtyczki WordPress o nazwie “download-monitor”, która jest Instalowana po pomyślnym wymuszeniu poświadczeń administratora WordPress.
Zagrożenie wykorzystuje exploity dla wielu luk RCE, czyli zdalnego wykonania kodu w Oracle WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062) i Jenkins (CVE-2019-1003029 i CVE-2019-1003030). W ten sposób malware włamuje się do systemów z protokołem SSH i uruchamia oprogramowanie do kopania XMRig. Łańcuch ataku obejmuje również kilka sztuczek zapewniających programowi trwałość. Dobra rada? Regularnie aktualizuj systemy i przestań używać słabych, domyślnych danych uwierzytelniających lub… przygotuj się na surową karę.
Pozostałe newsy ze świata IT
- How to fix the Windows 0x0000011b network printing error (Bleeping Computer)
- Cring Ransomware Gang Exploits 11-Year-Old ColdFusion Bug (The Hacker News)
- New Mac malware masquerades as iTerm2, Remote Desktop and other apps (Malwarebytes Labs)
- iOS 15 lets you spy on apps that might be spying on you (ZDNet)
- Nagios XI vulnerabilities open enterprise IT infrastructure to attack (Help Net Security)
- Why You Should Consider QEMU Live Patching (The Hacker News)
- Large-Scale Phishing-as-a-Service Operation Exposed (Threat Post)
- Urgent Apple iOS and macOS Updates Released to Fix Actively Exploited Zero-Days (ZDNet)
- 100M IoT Devices Exposed By Zero-Day Bug (Threat Post)
- New FamousSparrow APT group used ProxyLogon exploits in attacks on hotels worldwide (Security Affairs)