Wiele firm rozpoczyna dzi\u015b kolejny tydzie\u0144 pracy zdalnej \u2013 w tym tak\u017ce Xopero. Jednak wzmo\u017cone wykorzystywanie narz\u0119dzi do komunikacji nie usz\u0142o uwadze przest\u0119pc\u00f3w. W ostatnim dniach m.in. wysz\u0142o na jaw, \u017ce popularna aplikacja Zoom posiada kilka powa\u017cnych problem\u00f3w w zakresie bezpiecze\u0144stwa i prywatno\u015bci. W tym tygodniu tak\u017ce: przest\u0119pcy wykorzystuj\u0105 bazy MS SQL do kopania kryptowalut oraz hacker z zemsty na firmie z obszaru cybersecurity czy\u015bci serwery ElasticSearch. W czasach zwi\u0119kszonej liczby kampanii phishingowych przest\u0119pca \u017ceby si\u0119 dorobi\u0107, musi by\u0107 naprawd\u0119 pomys\u0142owy. Jedno z najpopularniejszych for\u00f3w hackerskich na \u015bwiecie zosta\u0142o…zhakowane. Ju\u017c po raz drugi – i oczywi\u015bcie przez innych hacker\u00f3w. Na koniec: r\u00f3wnie\u017c w tym tygodniu wybrali\u015bmy najciekawsze cyber-fakty powi\u0105zane z kampaniami \u201ena koronawirusa\u201d. <\/p>\n\n\n\n
Grupa stoj\u0105ca za botnetem Vollgar obra\u0142a sobie za cel bazy MS SQL z adresem IP rozpoczynaj\u0105cym si\u0119 od 120+. G\u0142\u00f3wnym celem atakuj\u0105cych jest kopanie kryptowalut \u2013 na ten moment s\u0105 to V-Dimension (Vollar) oraz Monero. Atak jest aktywny od maja 2018.<\/p>\n\n\n\n
Statystycznie 61% maszyn zosta\u0142o zainfekowanych na okres maksymalnie dw\u00f3ch dni (lub jeszcze kr\u00f3cej). 21,8% znajdowa\u0142o si\u0119 w r\u0119kach przest\u0119pc\u00f3w przez okres 7-14 dni. Na koniec \u2013 najwa\u017cniejsza statystyka \u2013 17,1% maszyn zainfekowano ponownie. Specjali\u015bci s\u0105 zdania, \u017ce ponowne przej\u0119cia s\u0105 efektem niew\u0142a\u015bciwie wdro\u017conych (lub ich braku) mechanizm\u00f3w zabezpieczaj\u0105cych. Malware nie zosta\u0142 kompletnie usuni\u0119ty z serwera \u2013 st\u0105d ponowna infekcja.<\/p>\n\n\n\n
Przest\u0119pcy wykorzystuj\u0105 brute force do w\u0142amania si\u0119 na maszyn\u0119. Na ten moment celem jest kopanie kryptowalut, jednak nie nale\u017cy wyklucza\u0107 scenariusza w kt\u00f3rym atakuj\u0105cych wykradaj\u0105 tak\u017ce dane z zainfekowanych serwer\u00f3w.<\/p>\n\n\n\n
W jaki spos\u00f3b zweryfikowa\u0107, czy maszyna wpad\u0142a w r\u0119ce atakuj\u0105cych?<\/strong><\/p>\n\n\n\n Specjali\u015bci z Guardicore na swoim repozytorium GitHub<\/a> opublikowali list\u0119 wskaz\u00f3wek, kt\u00f3ra ma w tym pom\u00f3c. Nale\u017cy zwr\u00f3ci\u0107 uwag\u0119, czy na urz\u0105dzeniu nie znajduj\u0105 si\u0119 skrypty lub pliki binarne z nazwami powi\u0105zanymi z t\u0105 grup\u0105 przest\u0119pcz\u0105. Dalej, czy nie wyst\u0119puj\u0105 po\u0142\u0105czone domeny i adresy IP serwer\u00f3w. Dodatkowo warto zwr\u00f3ci\u0107 uwag\u0119, czy aktualnie wykonywane zadania lub dzia\u0142aj\u0105ce us\u0142ugi nie zosta\u0142y skonfigurowane przez kogo\u015b z zewn\u0105trz. Na koniec \u2013 zweryfikowa\u0107, czy nie zosta\u0142y nadane nowe dane uwierzytelniaj\u0105ce (backdoor).<\/p>\n\n\n\n Jak zabezpieczy\u0107 si\u0119 przed atakiem?<\/strong><\/p>\n\n\n\n Najpro\u015bciej, wdra\u017caj\u0105c zbi\u00f3r dobrych praktyk IT. Nie udost\u0119pnia\u0107 serwer\u00f3w\/baz w internecie, co w oczywisty spos\u00f3b ograniczy dost\u0119p do nich podmiotom z zewn\u0105trz. Wdro\u017cy\u0107 mechanizmy kontroli dost\u0119pu oparte na bia\u0142ej li\u015bcie (whitelisting) \u2013 li\u015bcie adres\u00f3w IP, kt\u00f3re mog\u0105 skontaktowa\u0107 si\u0119 z okre\u015blonym serwerem. Kolejn\u0105 wa\u017cn\u0105 rzecz\u0105 jest wprowadzenie ograniczonej liczby dopuszczalnych pr\u00f3b b\u0142\u0119dnego logowania. W ten spos\u00f3b najpro\u015bciej uniemo\u017cliwi\u0107 przeprowadzenie ataku z wykorzystaniem techniki brute force\u2026 To w\u0142a\u015bnie z niej korzystaj\u0105 przest\u0119pcy. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n W ci\u0105gu ostatnich dw\u00f3ch tygodni hacker w\u0142amywa\u0142 si\u0119 na serwery Elasticsearch, kt\u00f3re by\u0142y dost\u0119pne w internecie bez \u017cadnego zabezpieczenie a nast\u0119pnie wymazywa\u0142 wszystkie zgromadzone na nich dane. Po sobie pozostawi\u0142 wy\u0142\u0105cznie straty finansowe\u2026 oraz nazw\u0119 firmy specjalizuj\u0105cej si\u0119 z bezpiecze\u0144stwie IT.<\/p>\n\n\n\n Wiele wskazuje na to, \u017ce atak zosta\u0142 przeprowadzony z wykorzystaniem skryptu automatyzacji, kt\u00f3ry skanuje internet w poszukiwaniu niezabezpieczonych system\u00f3w ElasticSearch. Co dzieje si\u0119 dalej? Skrypt \u0142\u0105czy si\u0119 z baz\u0105, wymazuje wszystkie dane i tworzy nowy pusty index o nazwie nightlionsecurity.com. Co ciekawe, ta operacja nie jest skuteczna na wszystkich wyszukanych urz\u0105dzeniach \u2013 jednak pusty index zostaje utworzony r\u00f3wnie\u017c w bazach, kt\u00f3re nie uda\u0142o si\u0119 przest\u0119pcy wyczy\u015bci\u0107.<\/p>\n\n\n\n Wmieszani w ca\u0142\u0105 spraw\u0119\u2026<\/strong><\/p>\n\n\n\n Firma Night Lion Security zaprzecza, \u017ce jest w jakikolwiek spos\u00f3b odpowiedzialna za atak. Jej za\u0142o\u017cyciel, Vinny Troia w wywiadzie dla DataBreaches.net stwierdzi\u0142, \u017ce o atak podejrzewa hackera kt\u00f3rego \u015bledzi\u0142 przez ca\u0142y poprzedni rok (bohatera jego nowej ksi\u0105\u017cki). Zemsta?<\/p>\n\n\n\n Skala ataku<\/strong><\/p>\n\n\n\n Cho\u0107 pocz\u0105tkowo atak dotkn\u0105\u0142 tylko 150 serwer\u00f3w ElasticSearch, na dzie\u0144 dzisiejszy ta liczba jest du\u017co wi\u0119ksze \u2013 dok\u0142adnie chodzi o ponad 15 tys. urz\u0105dze\u0144. Wed\u0142ug wynik\u00f3w BinaryEdge w internecie mo\u017cna wyszuka\u0107 obecnie 34 500 serwer\u00f3w ElasticSearch. Sprawa staje si\u0119 wi\u0119c coraz powa\u017cniejsza.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Kiedy chodzi o nowe metody dystrybuowania wiadomo\u015bci phishingowych, oszu\u015bci potrafi\u0105 by\u0107 wyj\u0105tkowo pomys\u0142owi. W kampanii kt\u00f3r\u0105 chcemy wam w\u0142a\u015bnie przybli\u017cy\u0107, atakuj\u0105cy pos\u0142u\u017cyli si\u0119 atrybutem styli w HTML \u2013 text direction. Zmusili silnik renderowania do prawid\u0142owego czytania tekstu, kt\u00f3ry zosta\u0142 w kodzie celowo wprowadzony wspak. Tekst, kt\u00f3ry w kodzie HTML zapisano w postaci \u201e563 eciffO\u201d po wymuszonym renderowaniu wy\u015bwietli si\u0119 poprawnie jako \u201eOffice 365\u201d.<\/p>\n\n\n\n Po co to wszystko? Nowa taktyka umo\u017cliwia oszukanie system\u00f3w odpowiedzialnych za filtrowanie wiadomo\u015bci mailowych: weryfikacj\u0119 tego, czy mail zawiera tekst lub sekwencj\u0119 znak\u00f3w powi\u0105zan\u0105 z kampaniami phishingowymi.<\/p>\n\n\n\n Jest to o tyle niepokoj\u0105ce, \u017ce wraz ze wzrostem infekcji COVID-19, wzros\u0142a r\u00f3wnie\u017c liczba atak\u00f3w bazuj\u0105cych na strachu przed koronawirusem \u2013 a w szczeg\u00f3lno\u015bci kampanii phishingowych. Nale\u017cy oczekiwa\u0107, \u017ce opisana przez nas technika w najbli\u017cszym czasie b\u0119dzie wykorzystywana na szerok\u0105 skal\u0119. Dlaczego? W obecnych czasach, coraz wi\u0119cej przest\u0119pc\u00f3w si\u0119ga po innowacyjne taktyki. Tylko w jednej z ostatnich kampanii atakuj\u0105cy nadali problematycznemu fragmentowi tekstu wielko\u015b\u0107 czcionki \u201e0\u201d (to kolejny przyk\u0142ad nadu\u017cy\u0107 w oparciu o HTML). W ten spos\u00f3b sta\u0142 si\u0119 on niedostrzegalny dla wi\u0119kszo\u015bci popularnych bram.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Zoom to popularna platforma do komunikacji wideo online, ch\u0119tnie wykorzystywana dzi\u015b w pracy zdalnej i marketingu. Najwyra\u017aniej jednak ma kilka powa\u017cnych problem\u00f3w w zakresie bezpiecze\u0144stwa i prywatno\u015bci.<\/p>\n\n\n\n Eksperci ostrzegaj\u0105 przed mo\u017cliwo\u015bci\u0105 kradzie\u017cy danych logowania do systemu Windows. Problem le\u017cy w sposobie, w jakim czat aplikacji obs\u0142uguje linki. Program konwertuje \u015bcie\u017cki sieciowe UNC (Universal Naming Convention) w Windows w klikalne \u0142\u0105cze. Je\u015bli u\u017cytkownik w nie kliknie, system Windows spr\u00f3buje po\u0142\u0105czy\u0107 si\u0119 ze zdaln\u0105 witryn\u0105 przy u\u017cyciu protoko\u0142u udost\u0119pniania plik\u00f3w SMB w celu otwarcia zdalnego pliku cat.jpg. Robi\u0105c to, system domy\u015blnie wy\u015ble \u200b\u200bnazw\u0119 u\u017cytkownika i skr\u00f3t has\u0142a NTLM. Mo\u017cna je z\u0142ama\u0107 za pomoc\u0105 bezp\u0142atnych narz\u0119dzi, takich jak Hashcat.<\/p>\n\n\n\n Wstrzykni\u0119cia UNC mog\u0105 by\u0107 r\u00f3wnie\u017c u\u017cywane do uruchamiania program\u00f3w na komputerze lokalnym po klikni\u0119ciu \u0142\u0105cza.<\/p>\n\n\n\n Aby ostatecznie rozwi\u0105za\u0107 ten problem, Zoom musi uniemo\u017cliwi\u0107 systemowi czatu przekszta\u0142canie \u015bcie\u017cek UNC w klikalne hiper\u0142\u0105cza. Producent aplikacji w o\u015bwiadczeniu potwierdzi\u0142, \u017ce ju\u017c nad tym pracuje. <\/p>\n\n\n\n Dla tych, kt\u00f3rzy nie chc\u0105 czeka\u0107 na poprawk\u0119, mo\u017cna u\u017cy\u0107 ustawie\u0144, kt\u00f3re zapobiegaj\u0105 automatycznemu wysy\u0142aniu po\u015bwiadcze\u0144 NTML na zdalny serwer po klikni\u0119ciu \u0142\u0105cza UNC. Jak? Przechodz\u0105c odpowiedni\u0105 \u015bcie\u017ck\u0119: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers<\/em><\/p>\n\n\n\n To nie jedyne problemy aplikacji. Jej wykorzystanie drastycznie wzros\u0142o wraz z wybuchem pandemii (dzi\u015b ma ok. 20% rynku). Korzystaj\u0105 z niej firmy i w\u0142adze. <\/p>\n\n\n\n Warto zauwa\u017cy\u0107, \u017ce Zoom jest aplikacj\u0105 ch\u0119tnie wykorzystywan\u0105 dzi\u015b przez firmy i w\u0142adze. W tym m.in. Boris Jonson, premier Wielkiej Brytanii, kt\u00f3ry za jej pomoc\u0105 komunikuje si\u0119 z urz\u0119dnikami administracji pa\u0144stwowej. <\/p>\n\n\n\n Firma Check Point zbada\u0142a, \u017ce od pocz\u0105tku roku zarejestrowano 1700 domen z fa\u0142szywym oprogramowaniem, z czego 25% zarejestrowano w ci\u0105gu ostatnich kilku dni. <\/p>\n\n\n\n \u0179r\u00f3d\u0142a: 1<\/a> | 2<\/a> | 3<\/a><\/p>\n\n\n\n Haker hakerowi hakerem… Jedno z najpopularniejszych for\u00f3w hakerskich na \u015bwiecie – OGUsers – zosta\u0142o…zhakowane. Ju\u017c po raz drugi. Prawdopodobnie osoba atakuj\u0105ca w\u0142ama\u0142a si\u0119 na serwer przez luk\u0119 w funkcji wgrywania…avatara. Skradziono dane ponad 200 tys. u\u017cytkownik\u00f3w. <\/p>\n\n\n\n Przed zawieszeniem witryny administratorzy og\u0142osili reset hase\u0142 i wezwali u\u017cytkownik\u00f3w do w\u0142\u0105czenia 2FA na swoich kontach. Wszystko po to, aby \u017cadne dane zebrane podczas w\u0142amania nie mog\u0142y zosta\u0107 u\u017cyte do przej\u0119cia kont. A o tym przecie\u017c, nikt nie wie lepiej ni\u017c sami hakerzy…<\/p>\n\n\n\n OGUsers zyska\u0142a niechlubny rozg\u0142os w 2018 roku, gdy zosta\u0142a zidentyfikowana jako g\u0142\u00f3wna lokalizacja handlu wykradzionymi kontami na Instagramie. S\u0142u\u017cy\u0142a r\u00f3wnie\u017c jako miejsce treningowe i punkt spotka\u0144 cyberprzest\u0119pc\u00f3w planuj\u0105cych ataki typu SIM swapping (SIM jacking).<\/p>\n\n\n\n W maju 2019 roku z forum przest\u0119pcy wykradli 113 tys.danych u\u017cytkownik\u00f3w witryny, wyczy\u015bcili dyski twarde, a skradzione informacje opublikowali na konkurencyjnym forum. <\/p>\n\n\n\n Tak jak poprzednio, wykradzione dane tym razem r\u00f3wnie\u017c trafi\u0142y na inne forum hakerskie. Czy mamy do czynienia z wojn\u0105 haker\u00f3w? <\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Skala korona-przekr\u0119t\u00f3w si\u0119gn\u0119\u0142a takiego stopnia, \u017ce sam Microsoft po raz pierwszy apeluje do szpital<\/a> ostrzegaj\u0105c przed lukami w swoich urz\u0105dzeniach VPN, kt\u00f3re mog\u0105 zosta\u0107 wykorzystane przez cyberprzest\u0119pc\u00f3w. Zw\u0142aszcza po odkryciu atak\u00f3w izraelskich haker\u00f3w wykorzystuj\u0105cych luki w serwerach VPN od Pulse Secure, Palo Alto Networks, Fortinet i Citrix. <\/p>\n\n\n\n Z pandemi\u0105 zwi\u0105zane jest r\u00f3wnie\u017c szkodliwe oprogramowanie<\/a>, kt\u00f3re niszczy zainfekowane systemy czyszcz\u0105c pliki lub przepisuj\u0105c g\u0142\u00f3wny rekord rozruchowy komputera (MBR). Wsp\u00f3lnym tematem wszystkich czterech pr\u00f3bek wykrytych przez badaczy jest to, \u017ce u\u017cywaj\u0105 motywu koronawirusa. Nie s\u0105 one nastawione na zysk. Jaki jest ich cel? C\u00f3\u017c, najwidoczniej przest\u0119pcy traktuj\u0105 to jako sport online. <\/p>\n\n\n\n2. Nieznany hacker wyczy\u015bci\u0142 ponad 15 000 serwer\u00f3w Elasticsearch<\/strong><\/h2>\n\n\n
3. My\u015blisz, \u017ce kampanie phishingowe s\u0105 nudne? Ta ci\u0119 niemile zaskoczy<\/strong><\/h2>\n\n\n
4. Popularna aplikacja do wideokonferencji Zoom z luk\u0105, kt\u00f3ra umo\u017cliwia kradzie\u017c hase\u0142 systemu Windows<\/strong><\/h2>\n\n\n
5. Forum hakerskie OGUsers…zhakowane! <\/strong><\/h2>\n\n\n
6. Korona-news\u00f3w ci\u0105g dalszy <\/strong><\/h2>\n\n\n