{"id":1261,"date":"2019-04-30T10:10:07","date_gmt":"2019-04-30T08:10:07","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=1261"},"modified":"2024-05-15T17:26:49","modified_gmt":"2024-05-15T15:26:49","slug":"twoj-cotygodniowy-przeglad-newsow-9","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/twoj-cotygodniowy-przeglad-newsow-9\/","title":{"rendered":"Tw\u00f3j cotygodniowy przegl\u0105d news\u00f3w"},"content":{"rendered":"\n

Zapraszamy do naszego przegl\u0105du news\u00f3w IT – w tym tygodniu m.in.: o wykryciu zmodyfikowanego trojana Emotet, nowych atakach rosyjskich haker\u00f3w z grupy TA505, wycieku 2 milion\u00f3w hase\u0142 do sieci WiFi, czy krytycznych lukach w produktach Oracle. <\/strong><\/p>\n\n\n\n\n\n\n\n<\/a>\n\n\n\n

1.Zmodyfikowany Emotet uderza po raz kolejny<\/strong><\/p>\n\n\n\n

W sieci uaktywni\u0142 si\u0119 nowy wariant konia troja\u0144skiego Emotet, o kt\u00f3rym pisali\u015bmy wcze\u015bniej tutaj<\/a>. Zosta\u0142 on wzbogacony o funkcje, kt\u00f3re pozwalaj\u0105 mu na maskowanie serwer\u00f3w C&C. W tym celu u\u017cywa zainfekowanych wcze\u015bniej urz\u0105dze\u0144 traktuj\u0105c je jak serwery proxy. Nowy Emotet wykorzystuje r\u00f3wnie\u017c losowo generowane \u015bcie\u017cki katalog\u00f3w URL w \u017c\u0105daniach POST, by lepiej wpasowa\u0107 si\u0119 w wychodz\u0105cy ruch sieciowy.<\/p>\n\n\n\n

Wykradzione z zainfekowanych urz\u0105dze\u0144 informacje zaszyfrowane kluczem RSA lub AES, a tak\u017ce zakodowane w Base64 przesy\u0142ane s\u0105 w tre\u015bci wiadomo\u015bci HTTP POST. Pozwala to unikn\u0105\u0107 wykrycia lub op\u00f3\u017ani\u0107 ewentualne dochodzenie.<\/p>\n\n\n\n

Z\u0142o\u015bliwy trojan stara si\u0119 infekowa\u0107 kamery internetowe, routery, panele administracyjne witryn, oraz kamery IP. Z urz\u0105dze\u0144 tych tworzy armi\u0119 botnetu pozostaj\u0105c\u0105 do us\u0142ug cyberprzest\u0119pc\u00f3w, kt\u00f3rzy mog\u0105 j\u0105 wykorzysta\u0107 do przeprowadzania dalszych atak\u00f3w. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a>
<\/p>\n\n\n\n<\/a>\n\n\n\n

2. Cyberprzest\u0119pcy z grupy TA505 w natarciu<\/strong> <\/p>\n\n\n\n

Rosyjscy hakerzy ponownie zaatakowali firmy handlowe oraz mi\u0119dzynarodowe instytucje finansowe.<\/p>\n\n\n\n

Funkcjonuj\u0105ca od 5 lat grupa TA505, bo o niej mowa, w przesz\u0142o\u015bci obiera\u0142a ju\u017c za cel instytucje finansowe m.in.: z Chile, Indii, W\u0142och, Pakistanu czy Korei Po\u0142udniowej. Atakowa\u0142a r\u00f3wnie\u017c firmy zajmuj\u0105ce si\u0119 handlem detalicznym w USA. Grupa znana jest poza tym z przeprowadzanych na du\u017c\u0105 skal\u0119 kampanii spamowych rozpowszechniaj\u0105cych trojany Dridex i The Trick oraz programy ransomware Jaff i Locky. Ten drugi by\u0142 w swoim czasie jednym z najpopularniejszych program\u00f3w szyfruj\u0105cych. Szacuje si\u0119, \u017ce w latach 2016 i 2017 na okupach z Locky\u2019ego grupa zarobi\u0142a 200 milion\u00f3w dolar\u00f3w. <\/p>\n\n\n\n

W najnowszej kampanii rosyjscy cyberprzest\u0119pcy wykorzystuj\u0105 wiadomo\u015bci phishingowe kierowane do os\u00f3b z wybranych instytucji i firm. Z\u0142o\u015bliwe oprogramowanie – backdoor o nazwie SerVHelper – ukrywa si\u0119 pod plikami, kt\u00f3re s\u0105 podpisane legalnym certyfikatem Sectigo. Malware pozostaje praktycznie niewykrywalny przez tradycyjne systemy ochrony, a przest\u0119pcy przy jego pomocy mog\u0105 prowadzi\u0107 rozeznanie, komunikowa\u0107 si\u0119 z serwerami C&C, wykrada\u0107 wra\u017cliwe dane firmy oraz blokowa\u0107 dzia\u0142anie jej system\u00f3w \u017c\u0105daj\u0105c okupu.<\/p>\n\n\n\n

Skoro programy antywirusowe zawodz\u0105, firmy powinny chroni\u0107 si\u0119 przed tego typu atakami m.in. poprzez szkolenie pracownik\u00f3w. \u015awiadoma zagro\u017ce\u0144 kadra z pewno\u015bci\u0105 ostro\u017cniej podchodzi\u0107 b\u0119dzie do w\u0105tpliwych wiadomo\u015bci, a tym samym by\u0107 mo\u017ce uchroni firm\u0119 przed nieprzyjemnymi konsekwencjami ataku.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a>
<\/p>\n\n\n\n<\/a>\n\n\n\n

3. Wyciek\u0142y 2 miliony hase\u0142 do sieci Wi-Fi<\/strong><\/p>\n\n\n\n

Z popularnej aplikacji do wyszukiwania hotspot\u00f3w wyciek\u0142y has\u0142a do ponad 2 mln sieci Wi-Fi. HotSpot Finder, bo o niej mowa, pozwala u\u017cytkownikom urz\u0105dze\u0144 z systemem Androida odnale\u017a\u0107 miejsca, w kt\u00f3rych bezprzewodowo po\u0142\u0105czy\u0107 si\u0119 mog\u0105 z internetem. Przy jej pomocy mog\u0105 udost\u0119pnia\u0107 sobie nawzajem has\u0142a Wi-Fi. Powsta\u0142a tym sposobem baza danych liczy przesz\u0142o dwa miliony rekord\u00f3w. Ka\u017cdy wpis zawiera nazw\u0119 sieci Wi-Fi, dok\u0142adn\u0105 geolokalizacj\u0119, unikalny identyfikator oraz has\u0142o sieciowe zapisane zwyk\u0142ym tekstem. <\/p>\n\n\n\n

Baza nie zosta\u0142a w odpowiedni spos\u00f3b zabezpieczona, przez co zgromadzone w niej informacje by\u0142y do niedawna powszechnie dost\u0119pne.<\/p>\n\n\n\n

Odkrywcy tego faktu przez dwa tygodnie pr\u00f3bowali skontaktowa\u0107 si\u0119 z deweloperem aplikacji. Bezskutecznie. Z pro\u015bb\u0105 o interwencj\u0119 zwr\u00f3cili si\u0119 wi\u0119c do firmy hostingowej, kt\u00f3ra usun\u0119\u0142a baz\u0119 ze swojego serwera w dniu zg\u0142oszenia. Informacje zawarte w bazie umo\u017cliwia\u0142y cyberprzest\u0119pcom dost\u0119p do 2 mln sieci Wi-Fi. Znaj\u0105c has\u0142a mogli modyfikowa\u0107 ustawienia routera i przekierowywa\u0107 niczego nie podejrzewaj\u0105cych u\u017cytkownik\u00f3w sieci na szkodliwe strony internetowe. Mogli r\u00f3wnie\u017c odczyta\u0107 niezaszyfrowany ruch w sieci bezprzewodowej kradn\u0105c poufne informacje, np. dane uwierzytelniaj\u0105ce.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a>
<\/p>\n\n\n\n<\/a>\n\n\n\n

4. Krytyczna luka bezpiecze\u0144stwa Oracle WebLogic<\/strong><\/p>\n\n\n\n

Oracle WebLogic to wielopoziomowy serwer aplikacji oparty na Javie, kt\u00f3ry umo\u017cliwia firmom szybkie wdra\u017canie nowych produkt\u00f3w i us\u0142ug w chmurze oraz wygodne nimi zarz\u0105dzanie.<\/p>\n\n\n\n

W aplikacji Oracle WebLogic znaleziono luk\u0119 bezpiecze\u0144stwa umo\u017cliwiaj\u0105c\u0105 zdalne wykonanie kodu w procesie deserializacji. Podatno\u015b\u0107 mo\u017ce zosta\u0107 wykorzystana w sytuacji, gdy w\u0142\u0105czone s\u0105 komponenty „wls9_async_response.war” i „wls-wsat.war”. B\u0142\u0105d pozwala atakuj\u0105cemu na zdalnie wykonanie dowolnego polecenia, bez konieczno\u015bci autoryzacji, poprzez wys\u0142anie specjalnie spreparowanego \u017c\u0105dania HTTP.<\/p>\n\n\n\n

Oracle publikuje aktualizacje swoich produkt\u00f3w co trzy miesi\u0105ce. Data kolejnej publikacji, kt\u00f3ra powinna za\u0142ata\u0107 opisan\u0105 podatno\u015b\u0107, przypada w lipcu. Do tego czasu administratorzy serwer\u00f3w powinni zabezpieczy\u0107 swoje systemy poprzez zmian\u0119 jednego z dw\u00f3ch ustawie\u0144:<\/p>\n\n\n\n