1. GRUB2 z dziur\u0105 \u2018BootHole\u2019 – zagro\u017ceni s\u0105 u\u017cytkownicy system\u00f3w Linux oraz Windows<\/h2>\n\n\n
Podatno\u015b\u0107 nosz\u0105ca nazw\u0119 BootHole pozwala atakuj\u0105cym wp\u0142yn\u0105\u0107 bezpo\u015brednio na proces rozruchowy systemu, kt\u00f3ry poprzedza start samego systemu operacyjnego.<\/p>\n\n\n\n
Proces bootowania stanowi element kluczowy dla zabezpieczenia urz\u0105dzenia. Opiera si\u0119 on na r\u00f3\u017cnych komponentach okre\u015blanych jako bootloaders lub programy rozruchowe. Odpowiadaj\u0105 one za \u0142adowanie firmware dla wszystkich komponent\u00f3w hardware\u2019owych urz\u0105dzenia. Wr\u00f3\u0107my do BootHole. Jest to podatno\u015b\u0107 w GRUB2 \u2013 czyli jednym z najpolularniejszych komponent\u00f3w typu bootloaders obecnie na rynku. Jest on wykorzystywany we wszystkich najwi\u0119kszych dystrybucjach Linux, w cz\u0119\u015bci maszyn dzia\u0142aj\u0105cych pod kontrol\u0105 Windows OS, macOS a tak\u017ce systemach opartych na BSD. Wychodzi wi\u0119c na to, \u017ce Secure Boot nie jest taki bezpieczny\u2026<\/p>\n\n\n\n
G\u0142\u00f3wne zadanie Secure Boot to ochrona proces\u00f3w przed z\u0142o\u015bliwymi aplikacjami. Podczas procesu rozruchu, wszystko co \u0142aduje si\u0119 wcze\u015bniej ma wi\u0119ksze uprawnienia ni\u017c to, co \u0142aduje si\u0119 p\u00f3\u017aniej. Atakuj\u0105cy, mog\u0105 wykorzysta\u0107 podatno\u015b\u0107 BootHole do ingerencji w proces rozruchowy urz\u0105dzenia, a co za tym idzie kontrolowa\u0107 spos\u00f3b \u0142adowania sk\u0142adnik\u00f3w systemu operacyjnego, omijaj\u0105c zabezpieczenia. Podatno\u015b\u0107 mo\u017cna wykorzysta\u0107 tak\u017ce w systemach, kt\u00f3re wykorzystuj\u0105 Secure Boot nawet je\u015bli nie korzystaj\u0105 one z GRUB2. Czyli chodzi o wszystkie urz\u0105dzenia Win z Secure Boot podpisanych standardowym certyfikatem Microsoft Third Party UEFI. Problem wi\u0119c dotyczy wi\u0119kszo\u015bci laptop\u00f3w, komputer\u00f3w stacjonarnych, serwer\u00f3w i stacji roboczych, a tak\u017ce urz\u0105dze\u0144 i sprz\u0119tu sieciowego u\u017cywanego w przemy\u015ble, opiece zdrowotnej i finansach.<\/p>\n\n\n
BootHole – \u017ar\u00f3d\u0142o problemu<\/h6>\n\n\n
BootHole to podatno\u015b\u0107 przeci\u0105\u017cenia bufora, kt\u00f3ra wynika ze sposobu w jaki GRUB2 parsuje zawarto\u015b\u0107 pliku konfiguracji GRUB2. Plik konfiguracyjny GRUB2 jest plikiem tekstowym i zwykle nie jest podpisany tak jak inne pliki czy .exe. Atakuj\u0105cy mo\u017ce zmieni\u0107 zawarto\u015b\u0107 pliku konfiguracyjnego GRUB2 i w ten spos\u00f3b umo\u017cliwi\u0107 \u0142adowanie z\u0142o\u015bliwego oprogramowania przed startem systemu operacyjnego.<\/p>\n\n\n\n
Udana eksploatacja tej podatno\u015bci umo\u017cliwi\u0142aby wy\u0142\u0105czenie weryfikacji integralno\u015bci kodu, dzi\u0119ki czemu staje si\u0119 mo\u017cliwe \u0142adowanie wi\u0119kszej liczby sterownik\u00f3w lub plik\u00f3w .exe. W ten spos\u00f3b atakuj\u0105cy jest w stanie przej\u0105\u0107 pe\u0142n\u0105 kontrol\u0119 nad systemem operacyjnym, aplikacjami oraz danymi zgromadzonymi na urz\u0105dzeniu. Atak jest mo\u017cliwy nawet wtedy gdy Secure Boot jest w\u0142\u0105czony i poprawnie weryfikuje sygnatury wszystkich za\u0142adowanych plik\u00f3w wykonywalnych.<\/p>\n\n\n
Nie\u0142atwe rozwi\u0105zanie problemu\u2026<\/strong><\/h6>\n\n\n\u2026 w kt\u00f3re zaanga\u017cowanych jest wiele podmiot\u00f3w \u2013 od wydawc\u00f3w system\u00f3w operacyjnych, poprzez vendor\u00f3w, na administratorach ko\u0144cz\u0105c. Wszystkie wersje GRUB2, kt\u00f3re \u0142aduj\u0105 polecenia z zewn\u0119trznego pliku konfiguracyjnego grub.cfg, s\u0105 podatne na atak. Rozwi\u0105zanie problemu wymaga wydania nowych instalator\u00f3w oraz program\u00f3w rozruchowych dla wszystkich wersji Linux. Tak\u017ce vendorzy musz\u0105 wypu\u015bci\u0107 nowe wersje swoich podk\u0142adek bootloadera z podpisem Microsoft 3rd Party UEFI CA. Nowe programy rozruchowe b\u0119d\u0105 musia\u0142y zosta\u0107 podpisane i wdro\u017cone \u2013 a ich wcze\u015bniejsze wersje, podatne na atak, wycofane, by uniemo\u017cliwi\u0107 ich u\u017cycie w przysz\u0142o\u015bci. Administratorzy b\u0119d\u0105 musieli przeprowadzi\u0107 pe\u0142ny update wszystkich system\u00f3w operacyjnych \u2013 tak\u017ce zainstalowanych obraz\u00f3w, w tym kopii system\u00f3w, kt\u00f3re w przypadku awarii mo\u017cna uruchomi\u0107 w zwirtualizowanej postaci. Jak wida\u0107, nie jest to \u0142atwe zadanie i z ca\u0142\u0105 pewno\u015bci\u0105 b\u0119dzie wymaga\u0142o przeprowadzenia wielu test\u00f3w nim wszystkie zmiany zostan\u0105 finalnie wprowadzone. Wdro\u017cenie wszystkich wymaganych \u015brodk\u00f3w naprawczych b\u0119dzie niestety d\u0142ugotrwa\u0142ym procesem.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Niewykrywalny Doki celuje w serwery Docker hostowane na AWS czy Azure<\/h2>\n\n\n
Badacze odkryli ca\u0142kowicie niewykrywalne z\u0142o\u015bliwe oprogramowanie dla systemu Linux. Atakuje ono publicznie dost\u0119pne serwery Docker hostowane na popularnych platformach chmurowych, w tym AWS, Azure i Alibaba Cloud.<\/p>\n\n\n\n
Nazwane Doki jest cz\u0119\u015bci\u0105 kampanii kryptominera Ngrok, aktywnej od co najmniej 2018 roku. Hakerzy wykorzystuj\u0105 interfejs Docker API do wdra\u017cania nowych serwer\u00f3w wewn\u0105trz infrastruktury chmurowej firmy. Serwery, na kt\u00f3rych dzia\u0142a wersja Alpine Linux, s\u0105 nast\u0119pnie infekowane z\u0142o\u015bliwym oprogramowaniem typu cryptominer, ale tak\u017ce malware Doki.<\/p>\n\n\n\n
Wed\u0142ug naukowc\u00f3w Doki:<\/p>\n\n\n\n
- zosta\u0142 zaprojektowany do wykonywania polece\u0144 otrzymywanych od operator\u00f3w,<\/li>
- u\u017cywa eksploratora blok\u00f3w kryptowaluty Dogecoin do dynamicznego generowania swojej domeny C2 w czasie rzeczywistym<\/li>
- wykorzystuje bibliotek\u0119 embedTLS do funkcji kryptograficznych i komunikacji sieciowej,<\/li>
- tworzy unikalne adresy URL o kr\u00f3tkim czasie \u017cycia i u\u017cywa ich do pobierania \u0142adunk\u00f3w w trakcie ataku.<\/li><\/ul>\n\n\n\n
Doki, w przeciwie\u0144stwie do innych malware, nie polega na okre\u015blonej domenie czy zestawie z\u0142o\u015bliwych adres\u00f3w IP. Korzysta z dynamicznych us\u0142ug DNS, takich jak DynDNS, a w po\u0142\u0105czeniu z unikalnym algorytmem generowania domeny (Domain Generation Algorithms – DGA) opartym na \u0142a\u0144cuchu blok\u00f3w, mo\u017ce generowa\u0107 i lokalizowa\u0107 adres swojego serwera C2 w czasie rzeczywistym i korzysta\u0107 z atak\u00f3w typu \u201cphone home\u201d. <\/p>\n\n\n\n
Atakuj\u0105cym uda\u0142o si\u0119 r\u00f3wnie\u017c z\u0142ama\u0107 zabezpieczenia host\u00f3w i po\u0142\u0105czy\u0107 nowo utworzone kontenery z katalogiem g\u0142\u00f3wnym serwera, umo\u017cliwiaj\u0105c im dost\u0119p i mo\u017cliwo\u015b\u0107 modyfikowania dowolnych plik\u00f3w w systemie. Osoba atakuj\u0105ca mo\u017ce wi\u0119c kontrolowa\u0107 narz\u0119dzie cron hosta, a nawet przej\u0105\u0107 kontrol\u0119 nad ca\u0142\u0105 infrastruktur\u0105 ofiary.<\/p>\n\n\n\n
Szkodliwe oprogramowanie wykorzystuje r\u00f3wnie\u017c zainfekowane systemy do dalszego skanowania sieci w poszukiwaniu port\u00f3w powi\u0105zanych z Redis, Docker, SSH i HTTP, przy u\u017cyciu narz\u0119dzia skanuj\u0105cego, takiego jak zmap, zgrap i jq.<\/p>\n\n\n\n
Doki pozostawa\u0142 w ukryciu przez ponad sze\u015b\u0107 miesi\u0119cy, mimo tego, \u017ce zosta\u0142 zg\u0142oszony do VirusTotal (serwisu skanuj\u0105cego zagro\u017cenia) w styczniu 2020 roku i wielokrotnie skanowany. Zaskakuj\u0105cy jest r\u00f3wnie\u017c fakt, \u017ce nadal nie znajduje go \u017caden z 61 najlepszych silnik\u00f3w do wykrywania z\u0142o\u015bliwego oprogramowania. Wed\u0142ug VirusTotal tylko sze\u015b\u0107 program\u00f3w antywirusowych okre\u015bla jego pr\u00f3bk\u0119 jako z\u0142o\u015bliw\u0105. <\/p>\n\n\n\n
U\u017cytkownikom i organizacjom, kt\u00f3re uruchamiaj\u0105 instancje Dockera, zaleca si\u0119, aby nie ujawniali interfejs\u00f3w Docker API w Internecie. Je\u017celi musisz to zrobi\u0107, upewnij si\u0119,\u017ce jest on dost\u0119pny tylko w zaufanej sieci lub VPN i wy\u0142\u0105cznie dla zaufanych u\u017cytkownik\u00f3w. <\/p>\n\n\n\n
Zapoznaj si\u0119 r\u00f3wnie\u017c z najlepszymi praktykami w zakresie bezpiecze\u0144stwa Dockera tutaj<\/a>.<\/p>\n\n\n\n\u0179r\u00f3d\u0142a: 1<\/a> | 2<\/a> | 3<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Uwa\u017cajcie na fa\u0142szywe powiadomienia SharePoint \u2013 to element nowej kampanii phishingowej<\/strong><\/h2>\n\n\nU\u017cytkownicy <\/strong>Microsoft Office 365 znajduj\u0105 si\u0119 pod nieustannym ostrza\u0142em targetowanych kampanii phishingowych. Cel oczywi\u015bcie jest jeden \u2013 kradzie\u017c mo\u017cliwie jak najwi\u0119kszej ilo\u015bci danych uwierzytelniaj\u0105cych.<\/p>\n\n\n\nRozsy\u0142ane aktualnie maile udaj\u0105 automatyczne powiadomienia SharePoint \u2013 trafiaj\u0105 one do wszystkich pracownik\u00f3w organizacji, kt\u00f3ra pada ofiar\u0105 ataku. Statystyki zebrane przez Abnormal Security pokazuj\u0105, \u017ce na ten moment liczba \u201eatakowanych\u201d skrzynek przekroczy\u0142a ju\u017c 50 tys.<\/p>\n\n\n\n
Tre\u015b\u0107 powiadomienia jest bardzo kr\u00f3tka i og\u00f3lna \u2013 wr\u0119cz chce si\u0119 powiedzie\u0107 \u201eNic nie m\u00f3wi\u0105ca\u201d. Nazwa atakowanej firmy przewija si\u0119 kilkakrotnie. Zazwyczaj w tytule, g\u0142\u00f3wnej tre\u015bci oraz nazwie udost\u0119pnianego dokumentu. Jest to dosy\u0107 popularna taktyka maj\u0105ca na celu przekonanie u\u017cytkownika do tego, \u017ce wiadomo\u015b\u0107 pochodzi z wiarygodnego \u017ar\u00f3d\u0142a. Jak przy wi\u0119kszo\u015bci tego typu kampanii przest\u0119pcy chc\u0105 sk\u0142oni\u0107 odbiorc\u0119 do klikni\u0119cia w hiper\u0142\u0105cze, kt\u00f3re przeniesie ich na spreparowan\u0105 stron\u0119 logowania SharePoint \u2013 po drodze czeka go jednak ca\u0142a seria przekierowa\u0144. Je\u015bli u\u017cytkownik da si\u0119 nabra\u0107 i \u201ezaloguje\u201d si\u0119 do konta SharePoint, jego dane pos\u0142u\u017c\u0105 do dalszego ataku na firmow\u0105 infrastruktur\u0119 Microsoft 365. Istnieje r\u00f3wnie\u017c ryzyko, \u017ce osoby atakuj\u0105ce przeprowadz\u0105 wewn\u0119trzne ataki w celu kradzie\u017cy wi\u0119kszej liczby danych z organizacji.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n4. QSnatch atakuje urz\u0105dzenia QNAP NAS – 54% infekcji wykryto w Europie<\/strong><\/h2>\n\n\nZ\u0142o\u015bliwe oprogramowanie QSnatch, kt\u00f3re po raz pierwszy wykryto pod koniec 2019 r. zbiera \u017cniwo. Wed\u0142ug ameryka\u0144skiej agencji CISA oraz brytyjskiej NCSC ilo\u015b\u0107 zagro\u017conych urz\u0105dze\u0144 od tego momentu wzros\u0142a z 7 tysi\u0119cy bot\u00f3w do 62 tys. – 46% z nich wykryto w Europie Wschodniej, a 8% Europie Zachodniej. <\/p>\n\n\n\n
To wyrafinowane z\u0142o\u015bliwe oprogramowanie atakuje QTS, system operacyjny oparty na systemie Linux, na kt\u00f3rym dzia\u0142aj\u0105 urz\u0105dzenia tajwa\u0144skiego producenta. Jest w stanie rejestrowa\u0107 has\u0142a i dane uwierzytelniaj\u0105ce, konfigurowa\u0107 backdoor SSH i webshell czy eksfiltrowa\u0107 pliki. Co istotne, QSnatch zapewnia sobie trwa\u0142o\u015b\u0107 uniemo\u017cliwiaj\u0105c u\u017cytkownikom instalacj\u0119 aktualizacji, kt\u00f3re mog\u0105 go usun\u0105\u0107 lub oraz zapobiegaj\u0105c dzia\u0142aniu aplikacji QNAP Malware Remover. <\/p>\n\n\n\n
QSnatch nie jest nowym odkryciem – jego pocz\u0105tki si\u0119gaj\u0105 2014 roku. Ostatni raz QNAP zaalarmowa\u0142 swoich u\u017cytkownik\u00f3w o kolejnej kampanii w listopadzie 2019 r. Co ciekawe, wci\u0105\u017c pozostaje tajemnic\u0105, w jaki spos\u00f3b z\u0142o\u015bliwe oprogramowanie jest dystrybuowane.<\/p>\n\n\n\n
![\"Zabezpieczenie](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/06\/580-x-400.png\")
<\/a><\/figure><\/div>\n\n\n\nCo zrobi\u0107, je\u015bli QNAP zosta\u0142 zainfekowany?<\/strong> Agencje twierdz\u0105, \u017ce infrastruktura u\u017cywana przez cyberprzest\u0119pc\u00f3w w obu kampaniach nie jest obecnie aktywna, ale nieza\u0142atane urz\u0105dzenia mog\u0105 zosta\u0107 naruszone.<\/p>\n\n\n\nNie zosta\u0142o potwierdzone, \u017ce aktualizacja wystarczy do usuni\u0119cia z\u0142o\u015bliwego oprogramowania. Zalecane jest przeprowadzenie pe\u0142nego przywr\u00f3cenia ustawie\u0144 fabrycznych na urz\u0105dzeniu, a nast\u0119pnie sprawdzenie czy aktualizacje zosta\u0142y zastosowane. Spowoduje to \u201czniszczenie\u201d z\u0142o\u015bliwego oprogramowania, ale jednocze\u015bnie poci\u0105gnie za sob\u0105 usuni\u0119cie wszystkich danych przechowywanych na urz\u0105dzeniu. By\u0107 mo\u017ce to najlepszy moment, aby dodatkowo zainwestowa\u0107 w backup w chmurze<\/a> i zastosowa\u0107 regu\u0142\u0119 backupu 3-2-1<\/a> w swojej strategii ochrony danych.\u00a0<\/p>\n\n\n\nAgencje dodatkowo zalecaj\u0105 organizacjom blokowanie po\u0142\u0105cze\u0144 zewn\u0119trznych, gdy urz\u0105dzenie jest przeznaczone wy\u0142\u0105cznie do u\u017cytku wewn\u0119trznego.<\/p>\n\n\n\n
2. Niewykrywalny Doki celuje w serwery Docker hostowane na AWS czy Azure<\/h2>\n\n\n
Badacze odkryli ca\u0142kowicie niewykrywalne z\u0142o\u015bliwe oprogramowanie dla systemu Linux. Atakuje ono publicznie dost\u0119pne serwery Docker hostowane na popularnych platformach chmurowych, w tym AWS, Azure i Alibaba Cloud.<\/p>\n\n\n\n
Nazwane Doki jest cz\u0119\u015bci\u0105 kampanii kryptominera Ngrok, aktywnej od co najmniej 2018 roku. Hakerzy wykorzystuj\u0105 interfejs Docker API do wdra\u017cania nowych serwer\u00f3w wewn\u0105trz infrastruktury chmurowej firmy. Serwery, na kt\u00f3rych dzia\u0142a wersja Alpine Linux, s\u0105 nast\u0119pnie infekowane z\u0142o\u015bliwym oprogramowaniem typu cryptominer, ale tak\u017ce malware Doki.<\/p>\n\n\n\n
Wed\u0142ug naukowc\u00f3w Doki:<\/p>\n\n\n\n
- zosta\u0142 zaprojektowany do wykonywania polece\u0144 otrzymywanych od operator\u00f3w,<\/li>
- u\u017cywa eksploratora blok\u00f3w kryptowaluty Dogecoin do dynamicznego generowania swojej domeny C2 w czasie rzeczywistym<\/li>
- wykorzystuje bibliotek\u0119 embedTLS do funkcji kryptograficznych i komunikacji sieciowej,<\/li>
- tworzy unikalne adresy URL o kr\u00f3tkim czasie \u017cycia i u\u017cywa ich do pobierania \u0142adunk\u00f3w w trakcie ataku.<\/li><\/ul>\n\n\n\n
Doki, w przeciwie\u0144stwie do innych malware, nie polega na okre\u015blonej domenie czy zestawie z\u0142o\u015bliwych adres\u00f3w IP. Korzysta z dynamicznych us\u0142ug DNS, takich jak DynDNS, a w po\u0142\u0105czeniu z unikalnym algorytmem generowania domeny (Domain Generation Algorithms – DGA) opartym na \u0142a\u0144cuchu blok\u00f3w, mo\u017ce generowa\u0107 i lokalizowa\u0107 adres swojego serwera C2 w czasie rzeczywistym i korzysta\u0107 z atak\u00f3w typu \u201cphone home\u201d. <\/p>\n\n\n\n
Atakuj\u0105cym uda\u0142o si\u0119 r\u00f3wnie\u017c z\u0142ama\u0107 zabezpieczenia host\u00f3w i po\u0142\u0105czy\u0107 nowo utworzone kontenery z katalogiem g\u0142\u00f3wnym serwera, umo\u017cliwiaj\u0105c im dost\u0119p i mo\u017cliwo\u015b\u0107 modyfikowania dowolnych plik\u00f3w w systemie. Osoba atakuj\u0105ca mo\u017ce wi\u0119c kontrolowa\u0107 narz\u0119dzie cron hosta, a nawet przej\u0105\u0107 kontrol\u0119 nad ca\u0142\u0105 infrastruktur\u0105 ofiary.<\/p>\n\n\n\n
Szkodliwe oprogramowanie wykorzystuje r\u00f3wnie\u017c zainfekowane systemy do dalszego skanowania sieci w poszukiwaniu port\u00f3w powi\u0105zanych z Redis, Docker, SSH i HTTP, przy u\u017cyciu narz\u0119dzia skanuj\u0105cego, takiego jak zmap, zgrap i jq.<\/p>\n\n\n\n
Doki pozostawa\u0142 w ukryciu przez ponad sze\u015b\u0107 miesi\u0119cy, mimo tego, \u017ce zosta\u0142 zg\u0142oszony do VirusTotal (serwisu skanuj\u0105cego zagro\u017cenia) w styczniu 2020 roku i wielokrotnie skanowany. Zaskakuj\u0105cy jest r\u00f3wnie\u017c fakt, \u017ce nadal nie znajduje go \u017caden z 61 najlepszych silnik\u00f3w do wykrywania z\u0142o\u015bliwego oprogramowania. Wed\u0142ug VirusTotal tylko sze\u015b\u0107 program\u00f3w antywirusowych okre\u015bla jego pr\u00f3bk\u0119 jako z\u0142o\u015bliw\u0105. <\/p>\n\n\n\n
U\u017cytkownikom i organizacjom, kt\u00f3re uruchamiaj\u0105 instancje Dockera, zaleca si\u0119, aby nie ujawniali interfejs\u00f3w Docker API w Internecie. Je\u017celi musisz to zrobi\u0107, upewnij si\u0119,\u017ce jest on dost\u0119pny tylko w zaufanej sieci lub VPN i wy\u0142\u0105cznie dla zaufanych u\u017cytkownik\u00f3w. <\/p>\n\n\n\n
Zapoznaj si\u0119 r\u00f3wnie\u017c z najlepszymi praktykami w zakresie bezpiecze\u0144stwa Dockera tutaj<\/a>.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142a: 1<\/a> | 2<\/a> | 3<\/a><\/p>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n3. Uwa\u017cajcie na fa\u0142szywe powiadomienia SharePoint \u2013 to element nowej kampanii phishingowej<\/strong><\/h2>\n\n\n
U\u017cytkownicy <\/strong>Microsoft Office 365 znajduj\u0105 si\u0119 pod nieustannym ostrza\u0142em targetowanych kampanii phishingowych. Cel oczywi\u015bcie jest jeden \u2013 kradzie\u017c mo\u017cliwie jak najwi\u0119kszej ilo\u015bci danych uwierzytelniaj\u0105cych.<\/p>\n\n\n\n
Rozsy\u0142ane aktualnie maile udaj\u0105 automatyczne powiadomienia SharePoint \u2013 trafiaj\u0105 one do wszystkich pracownik\u00f3w organizacji, kt\u00f3ra pada ofiar\u0105 ataku. Statystyki zebrane przez Abnormal Security pokazuj\u0105, \u017ce na ten moment liczba \u201eatakowanych\u201d skrzynek przekroczy\u0142a ju\u017c 50 tys.<\/p>\n\n\n\n
Tre\u015b\u0107 powiadomienia jest bardzo kr\u00f3tka i og\u00f3lna \u2013 wr\u0119cz chce si\u0119 powiedzie\u0107 \u201eNic nie m\u00f3wi\u0105ca\u201d. Nazwa atakowanej firmy przewija si\u0119 kilkakrotnie. Zazwyczaj w tytule, g\u0142\u00f3wnej tre\u015bci oraz nazwie udost\u0119pnianego dokumentu. Jest to dosy\u0107 popularna taktyka maj\u0105ca na celu przekonanie u\u017cytkownika do tego, \u017ce wiadomo\u015b\u0107 pochodzi z wiarygodnego \u017ar\u00f3d\u0142a. Jak przy wi\u0119kszo\u015bci tego typu kampanii przest\u0119pcy chc\u0105 sk\u0142oni\u0107 odbiorc\u0119 do klikni\u0119cia w hiper\u0142\u0105cze, kt\u00f3re przeniesie ich na spreparowan\u0105 stron\u0119 logowania SharePoint \u2013 po drodze czeka go jednak ca\u0142a seria przekierowa\u0144. Je\u015bli u\u017cytkownik da si\u0119 nabra\u0107 i \u201ezaloguje\u201d si\u0119 do konta SharePoint, jego dane pos\u0142u\u017c\u0105 do dalszego ataku na firmow\u0105 infrastruktur\u0119 Microsoft 365. Istnieje r\u00f3wnie\u017c ryzyko, \u017ce osoby atakuj\u0105ce przeprowadz\u0105 wewn\u0119trzne ataki w celu kradzie\u017cy wi\u0119kszej liczby danych z organizacji.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n
<\/div>\n\n\n\n<\/a>\n\n\n4. QSnatch atakuje urz\u0105dzenia QNAP NAS – 54% infekcji wykryto w Europie<\/strong><\/h2>\n\n\n
Z\u0142o\u015bliwe oprogramowanie QSnatch, kt\u00f3re po raz pierwszy wykryto pod koniec 2019 r. zbiera \u017cniwo. Wed\u0142ug ameryka\u0144skiej agencji CISA oraz brytyjskiej NCSC ilo\u015b\u0107 zagro\u017conych urz\u0105dze\u0144 od tego momentu wzros\u0142a z 7 tysi\u0119cy bot\u00f3w do 62 tys. – 46% z nich wykryto w Europie Wschodniej, a 8% Europie Zachodniej. <\/p>\n\n\n\n
To wyrafinowane z\u0142o\u015bliwe oprogramowanie atakuje QTS, system operacyjny oparty na systemie Linux, na kt\u00f3rym dzia\u0142aj\u0105 urz\u0105dzenia tajwa\u0144skiego producenta. Jest w stanie rejestrowa\u0107 has\u0142a i dane uwierzytelniaj\u0105ce, konfigurowa\u0107 backdoor SSH i webshell czy eksfiltrowa\u0107 pliki. Co istotne, QSnatch zapewnia sobie trwa\u0142o\u015b\u0107 uniemo\u017cliwiaj\u0105c u\u017cytkownikom instalacj\u0119 aktualizacji, kt\u00f3re mog\u0105 go usun\u0105\u0107 lub oraz zapobiegaj\u0105c dzia\u0142aniu aplikacji QNAP Malware Remover. <\/p>\n\n\n\n
QSnatch nie jest nowym odkryciem – jego pocz\u0105tki si\u0119gaj\u0105 2014 roku. Ostatni raz QNAP zaalarmowa\u0142 swoich u\u017cytkownik\u00f3w o kolejnej kampanii w listopadzie 2019 r. Co ciekawe, wci\u0105\u017c pozostaje tajemnic\u0105, w jaki spos\u00f3b z\u0142o\u015bliwe oprogramowanie jest dystrybuowane.<\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\nCo zrobi\u0107, je\u015bli QNAP zosta\u0142 zainfekowany?<\/strong> Agencje twierdz\u0105, \u017ce infrastruktura u\u017cywana przez cyberprzest\u0119pc\u00f3w w obu kampaniach nie jest obecnie aktywna, ale nieza\u0142atane urz\u0105dzenia mog\u0105 zosta\u0107 naruszone.<\/p>\n\n\n\n
Nie zosta\u0142o potwierdzone, \u017ce aktualizacja wystarczy do usuni\u0119cia z\u0142o\u015bliwego oprogramowania. Zalecane jest przeprowadzenie pe\u0142nego przywr\u00f3cenia ustawie\u0144 fabrycznych na urz\u0105dzeniu, a nast\u0119pnie sprawdzenie czy aktualizacje zosta\u0142y zastosowane. Spowoduje to \u201czniszczenie\u201d z\u0142o\u015bliwego oprogramowania, ale jednocze\u015bnie poci\u0105gnie za sob\u0105 usuni\u0119cie wszystkich danych przechowywanych na urz\u0105dzeniu. By\u0107 mo\u017ce to najlepszy moment, aby dodatkowo zainwestowa\u0107 w backup w chmurze<\/a> i zastosowa\u0107 regu\u0142\u0119 backupu 3-2-1<\/a> w swojej strategii ochrony danych.\u00a0<\/p>\n\n\n\n
Agencje dodatkowo zalecaj\u0105 organizacjom blokowanie po\u0142\u0105cze\u0144 zewn\u0119trznych, gdy urz\u0105dzenie jest przeznaczone wy\u0142\u0105cznie do u\u017cytku wewn\u0119trznego.<\/p>\n\n\n\n