1. Strona SolarLeaks wystawia na sprzeda\u017c dane skradzione podczas ataku na SolarWinds<\/strong><\/h2>\n\n\nNieustannie kr\u0105\u017c\u0105 r\u00f3\u017cne pog\u0142oski o w\u0142amaniu do SolarWinds i wyrafinowanym hacku, kt\u00f3ry doprowadzi\u0142 do ataku na \u0142a\u0144cuch dostaw i dotkn\u0105\u0142 18 000 klient\u00f3w. W poprzedni wtorek uruchomiono witryn\u0119 internetow\u0105 solarleaks [.] net, kt\u00f3rej autorzy og\u0142aszaj\u0105 sprzeda\u017c danych takich firm jak Microsoft, Cisco, FireEye i SolarWinds. Wiadomo, \u017ce wszystkie te firmy pad\u0142y ofiarami ataku\u2026<\/p>\n\n\n\n
Na stronie wystawiono kod \u017ar\u00f3d\u0142owy i repozytoria firmy Microsoft za…600 tys. dolar\u00f3w. A jak ju\u017c wiemy z poprzedniego Centrum Bezpiecze\u0144stwa Xopero<\/a>, firma potwierdza, \u017ce przest\u0119pcy faktycznie wykradli te informacje.\u00a0<\/p>\n\n\n\nAtakuj\u0105cy gro\u017c\u0105 r\u00f3wnie\u017c Cisco sprzeda\u017c\u0105 kodu \u017ar\u00f3d\u0142owego r\u00f3\u017cnych produkt\u00f3w, w tym wewn\u0119trznego narz\u0119dzia do \u015bledzenia b\u0142\u0119d\u00f3w firmy. Gigant IT twierdzi jednak, \u017ce nie posiada dowod\u00f3w na to, aby te dane zosta\u0142y wykradzione.<\/p>\n\n\n\n
Co z FireEye? Za 50 tys. dolar\u00f3w atakuj\u0105cy oferuj\u0105 prywatne narz\u0119dzia red team oraz kod \u017ar\u00f3d\u0142owy. Producent potwierdza, \u017ce faktycznie kod wyciek\u0142 podczas ataku. <\/p>\n\n\n\n
Wreszcie witryna sprzedaje kod \u017ar\u00f3d\u0142owy SolarWinds za 250 tys. USD.<\/p>\n\n\n\n
Aha, jest rabat ilo\u015bciowy! Za 1 milion dolar\u00f3w mo\u017cna naby\u0107 wszystkie wykradzione dane. Aktorzy SolarLeaks twierdz\u0105, \u017ce b\u0119d\u0105 sprzedawa\u0107 skradzione dane partiami – wi\u0119cej ju\u017c wkr\u00f3tce.<\/p>\n\n\n\n
Patrz\u0105c na rekord WHOIS dla strony solarleaks [.] Net, przypisane serwery nazw r\u00f3wnie\u017c drwi\u0105 z badaczy stwierdzeniem \u201eNie mo\u017cna uzyska\u0107 informacji\u201d. Nie jest potwierdzone, czy ta witryna jest legalna i czy w\u0142a\u015bciciele witryny faktycznie s\u0105 w posiadaniu danych, kt\u00f3re sprzedaj\u0105. <\/p>\n\n\n\n
Kilka dni p\u00f3\u017aniej witryna SolarLeaks zosta\u0142a zaktualizowana o now\u0105 wiadomo\u015b\u0107 informuj\u0105c\u0105, \u017ce ProtonMail wy\u0142\u0105czy\u0142 poczt\u0119 e-mail. Zainteresowanie pr\u00f3bk\u0105 danych jest tak du\u017ce, \u017ce przest\u0119pcy oferuj\u0105 j\u0105 za 100 XMR czyli oko\u0142o 16 tys. dolar\u00f3w! <\/p>\n\n\n\n
Co gorsza, powsta\u0142a na\u015bladowcza strona SolarLeak [.] Net z t\u0105 sam\u0105 zawarto\u015bci\u0105, ale z innym adresem Monero.<\/p>\n\n\n\n
Ci\u0105g dalszy nast\u0105pi\u2026<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n2. Hakerzy nadu\u017cyli jednego z certyfikat\u00f3w Mimecast, aby uzyska\u0107 dost\u0119p do kont Microsoft 365. Trop prowadzi do atakuj\u0105cych SolarWinds.<\/strong><\/h2>\n\n\nMimecast to londy\u0144ska firma produkuj\u0105ca oprogramowanie do zarz\u0105dzania poczt\u0105 email w chmurze. Na pocz\u0105tku minionego tygodnia potwierdzi\u0142a, \u017ce atakuj\u0105cy z\u0142amali certyfikat wykorzystywany przez klient\u00f3w w celu uwierzytelniania produkt\u00f3w firmy u us\u0142ugach Microsoft 365 Exchange oraz uzyskali dost\u0119p do niekt\u00f3rych kont. Firma dowiedzia\u0142a si\u0119 o incydencie od Microsoft, gdy gigant IT wykry\u0142 nieautoryzowany dost\u0119p do niekt\u00f3rych kont. <\/p>\n\n\n\n
Londy\u0144ski producent twierdzi, \u017ce przedmiotowy certyfikat by\u0142 u\u017cywany przez kilka narz\u0119dzi do \u0142\u0105czenia si\u0119 z infrastruktur\u0105 Microsoft. W tym Mimecast Sync and Recover, Continuity Monitor oraz IEP. Firma deklaruje r\u00f3wnie\u017c, \u017ce z tych produkt\u00f3w i tego konkretnego certyfikatu korzysta ok. 10% wszystkich klient\u00f3w. Atakuj\u0105cy uzyskali dost\u0119p do cz\u0119\u015bci z tych kont. <\/p>\n\n\n\n
Firma prosi teraz wszystkich pozosta\u0142ych klient\u00f3w o natychmiastowe usuni\u0119cie istniej\u0105cego po\u0142\u0105czenia w ramach tenanta M365. Nast\u0119pnie – ponowne ustanowienie nowego po\u0142\u0105czenia opartego na nowym certyfikacie. <\/p>\n\n\n\n
Dochodzenie w sprawie incydentu jest w toku, a firma podkre\u015bla, \u017ce \u200b\u200bjest w \u015bcis\u0142ej wsp\u00f3\u0142pracy z Microsoft i organami \u015bcigania. Wed\u0142ug The Wall Street Journal, narz\u0119dzia i techniki u\u017cyte w tym ataku \u0142\u0105cz\u0105 operator\u00f3w z autorami afery SolarWinds. Mimecast by\u0142 w przesz\u0142o\u015bci ich klientem, ale nie u\u017cywa ju\u017c oprogramowania Orion. Firma nie ustali\u0142a jednak, w jaki spos\u00f3b napastnicy przedostali si\u0119 do \u015brodka. Nie wiadomo te\u017c, czy fakt wcze\u015bniejszego korzystania z produktu SolarWinds m\u00f3g\u0142 narazi\u0107 ich na niebezpiecze\u0144stwo. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142a 1<\/a> | 2<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\n3. Hakerzy-eksperci atakuj\u0105 Windows i Android z wykorzystaniem luk zero-day i n-days w Chrome<\/strong><\/h2>\n\n\nZespo\u0142y Google Project Zero wraz z Google Threat Analysis Group (TAG) odkry\u0142y atak typu watering hole na systemy Windows i Android. Stopie\u0144 zaawansowania i wyrafinowania atak\u00f3w wskazuje na ekspert\u00f3w w swojej dziedzinie. <\/p>\n\n\n\n
Atakuj\u0105cy wykorzystali luki w zabezpieczeniach system\u00f3w Android i Windows oraz powi\u0105zali je z b\u0142\u0119dami w Chrome. Mowa tu zar\u00f3wno o lukach zero-days jak i n-days, kt\u00f3re zosta\u0142y wykorzystane w pierwszym kroku zdalnego wykonania kodu. Ostatecznie, atak prowadzi\u0142 do przej\u0119cia urz\u0105dzenia ofiary. <\/p>\n\n\n\n
Ataki wykorzystywa\u0142y dwa serwery exploit\u00f3w, kt\u00f3re uruchamia\u0142y wiele luk w zabezpieczeniach poprzez r\u00f3\u017cne \u0142a\u0144cuchy exploit\u00f3w w atakach typu watering hole. Polegaj\u0105 one na przej\u0119ciu kontroli nad stronami internetowymi oraz wprowadzeniu na nich niewidocznych dla u\u017cytkownik\u00f3w zmian, kt\u00f3re umo\u017cliwiaj\u0105 infekcj\u0119 urz\u0105dze\u0144. <\/p>\n\n\n\n
![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2021\/01\/Atak.png\")
<\/figure><\/div>\n\n\n\nEksperci byli w stanie wyodr\u0119bni\u0107 nast\u0119puj\u0105cy kod z serwer\u00f3w exploit\u00f3w<\/a>:<\/p>\n\n\n\n- Exploity funkcji Renderer dla czterech b\u0142\u0119d\u00f3w w Chrome, z kt\u00f3rych jeden w momencie wykrycia wci\u0105\u017c by\u0142 0-dniowy.<\/li>
- Dwa exploity ucieczki z sandboxa wykorzystuj\u0105ce trzy luki 0-day w systemie Windows<\/li>
- Zestaw do eskalacji uprawnie\u0144 z\u0142o\u017cony z publicznie znanych exploit\u00f3w n-days dla starszych wersji Androida.<\/li><\/ul>\n\n\n\n
\u0141a\u0144cuchy u\u017cywane przez napastnik\u00f3w zawiera\u0142y nast\u0119puj\u0105ce wady zero-days:<\/p>\n\n\n\n
- CVE-2020-6418 – luka w Google Chrome TurboFan (naprawiona w lutym 2020 r.)<\/li>
- CVE-2020-0938 – b\u0142\u0105d font\u00f3w w systemie Windows (naprawiona w kwietniu 2020 r.)<\/li>
- CVE-2020-1020 – b\u0142\u0105d font\u00f3w w systemie Windows (naprawiona w kwietniu 2020 r.)<\/li>
- CVE-2020-1027 – luka w Windows CSRSS (naprawiona w kwietniu 2020 r.)<\/li><\/ul>\n\n\n\n
Google podkre\u015bla, \u017ce stopie\u0144 wyrafinowania kampanii, kompleksowo\u015b\u0107 kodu, r\u00f3\u017cnorodno\u015b\u0107 metod oraz technik wskazuje, \u017ce za atakiem stoj\u0105 fachowcy. Udost\u0119pniony przez firm\u0119 sze\u015bciocz\u0119\u015bciowy raport powinien umo\u017cliwi\u0107 innym dostawcom zabezpiecze\u0144 identyfikacj\u0119 atak\u00f3w na ich klient\u00f3w oraz \u015bledzenie innych podobnych atak\u00f3w przeprowadzanych przez tego samego autora.<\/p>\n\n\n\n
Uwaga!<\/strong> W innej kampanii przest\u0119pcy aktywnie wykorzystuj\u0105 luk\u0119 zero-day w Microsoft Defender. Firma wyda\u0142a ju\u017c aktualizacj\u0119 i za\u0142ata\u0142a 83 b\u0142\u0119dy w swoich produktach. Zaktualizuj teraz! <\/p>\n\n\n\n\u0179r\u00f3d\u0142a 1 <\/a>| 2<\/a><\/p>\n\n\n\n
Atakuj\u0105cy gro\u017c\u0105 r\u00f3wnie\u017c Cisco sprzeda\u017c\u0105 kodu \u017ar\u00f3d\u0142owego r\u00f3\u017cnych produkt\u00f3w, w tym wewn\u0119trznego narz\u0119dzia do \u015bledzenia b\u0142\u0119d\u00f3w firmy. Gigant IT twierdzi jednak, \u017ce nie posiada dowod\u00f3w na to, aby te dane zosta\u0142y wykradzione.<\/p>\n\n\n\n
Co z FireEye? Za 50 tys. dolar\u00f3w atakuj\u0105cy oferuj\u0105 prywatne narz\u0119dzia red team oraz kod \u017ar\u00f3d\u0142owy. Producent potwierdza, \u017ce faktycznie kod wyciek\u0142 podczas ataku. <\/p>\n\n\n\n
Wreszcie witryna sprzedaje kod \u017ar\u00f3d\u0142owy SolarWinds za 250 tys. USD.<\/p>\n\n\n\n
Aha, jest rabat ilo\u015bciowy! Za 1 milion dolar\u00f3w mo\u017cna naby\u0107 wszystkie wykradzione dane. Aktorzy SolarLeaks twierdz\u0105, \u017ce b\u0119d\u0105 sprzedawa\u0107 skradzione dane partiami – wi\u0119cej ju\u017c wkr\u00f3tce.<\/p>\n\n\n\n
Patrz\u0105c na rekord WHOIS dla strony solarleaks [.] Net, przypisane serwery nazw r\u00f3wnie\u017c drwi\u0105 z badaczy stwierdzeniem \u201eNie mo\u017cna uzyska\u0107 informacji\u201d. Nie jest potwierdzone, czy ta witryna jest legalna i czy w\u0142a\u015bciciele witryny faktycznie s\u0105 w posiadaniu danych, kt\u00f3re sprzedaj\u0105. <\/p>\n\n\n\n
Kilka dni p\u00f3\u017aniej witryna SolarLeaks zosta\u0142a zaktualizowana o now\u0105 wiadomo\u015b\u0107 informuj\u0105c\u0105, \u017ce ProtonMail wy\u0142\u0105czy\u0142 poczt\u0119 e-mail. Zainteresowanie pr\u00f3bk\u0105 danych jest tak du\u017ce, \u017ce przest\u0119pcy oferuj\u0105 j\u0105 za 100 XMR czyli oko\u0142o 16 tys. dolar\u00f3w! <\/p>\n\n\n\n
Co gorsza, powsta\u0142a na\u015bladowcza strona SolarLeak [.] Net z t\u0105 sam\u0105 zawarto\u015bci\u0105, ale z innym adresem Monero.<\/p>\n\n\n\n
Ci\u0105g dalszy nast\u0105pi\u2026<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Mimecast to londy\u0144ska firma produkuj\u0105ca oprogramowanie do zarz\u0105dzania poczt\u0105 email w chmurze. Na pocz\u0105tku minionego tygodnia potwierdzi\u0142a, \u017ce atakuj\u0105cy z\u0142amali certyfikat wykorzystywany przez klient\u00f3w w celu uwierzytelniania produkt\u00f3w firmy u us\u0142ugach Microsoft 365 Exchange oraz uzyskali dost\u0119p do niekt\u00f3rych kont. Firma dowiedzia\u0142a si\u0119 o incydencie od Microsoft, gdy gigant IT wykry\u0142 nieautoryzowany dost\u0119p do niekt\u00f3rych kont. <\/p>\n\n\n\n Londy\u0144ski producent twierdzi, \u017ce przedmiotowy certyfikat by\u0142 u\u017cywany przez kilka narz\u0119dzi do \u0142\u0105czenia si\u0119 z infrastruktur\u0105 Microsoft. W tym Mimecast Sync and Recover, Continuity Monitor oraz IEP. Firma deklaruje r\u00f3wnie\u017c, \u017ce z tych produkt\u00f3w i tego konkretnego certyfikatu korzysta ok. 10% wszystkich klient\u00f3w. Atakuj\u0105cy uzyskali dost\u0119p do cz\u0119\u015bci z tych kont. <\/p>\n\n\n\n Firma prosi teraz wszystkich pozosta\u0142ych klient\u00f3w o natychmiastowe usuni\u0119cie istniej\u0105cego po\u0142\u0105czenia w ramach tenanta M365. Nast\u0119pnie – ponowne ustanowienie nowego po\u0142\u0105czenia opartego na nowym certyfikacie. <\/p>\n\n\n\n Dochodzenie w sprawie incydentu jest w toku, a firma podkre\u015bla, \u017ce \u200b\u200bjest w \u015bcis\u0142ej wsp\u00f3\u0142pracy z Microsoft i organami \u015bcigania. Wed\u0142ug The Wall Street Journal, narz\u0119dzia i techniki u\u017cyte w tym ataku \u0142\u0105cz\u0105 operator\u00f3w z autorami afery SolarWinds. Mimecast by\u0142 w przesz\u0142o\u015bci ich klientem, ale nie u\u017cywa ju\u017c oprogramowania Orion. Firma nie ustali\u0142a jednak, w jaki spos\u00f3b napastnicy przedostali si\u0119 do \u015brodka. Nie wiadomo te\u017c, czy fakt wcze\u015bniejszego korzystania z produktu SolarWinds m\u00f3g\u0142 narazi\u0107 ich na niebezpiecze\u0144stwo. <\/p>\n\n\n\n \u0179r\u00f3d\u0142a 1<\/a> | 2<\/a><\/p>\n\n\n\n Zespo\u0142y Google Project Zero wraz z Google Threat Analysis Group (TAG) odkry\u0142y atak typu watering hole na systemy Windows i Android. Stopie\u0144 zaawansowania i wyrafinowania atak\u00f3w wskazuje na ekspert\u00f3w w swojej dziedzinie. <\/p>\n\n\n\n Atakuj\u0105cy wykorzystali luki w zabezpieczeniach system\u00f3w Android i Windows oraz powi\u0105zali je z b\u0142\u0119dami w Chrome. Mowa tu zar\u00f3wno o lukach zero-days jak i n-days, kt\u00f3re zosta\u0142y wykorzystane w pierwszym kroku zdalnego wykonania kodu. Ostatecznie, atak prowadzi\u0142 do przej\u0119cia urz\u0105dzenia ofiary. <\/p>\n\n\n\n Ataki wykorzystywa\u0142y dwa serwery exploit\u00f3w, kt\u00f3re uruchamia\u0142y wiele luk w zabezpieczeniach poprzez r\u00f3\u017cne \u0142a\u0144cuchy exploit\u00f3w w atakach typu watering hole. Polegaj\u0105 one na przej\u0119ciu kontroli nad stronami internetowymi oraz wprowadzeniu na nich niewidocznych dla u\u017cytkownik\u00f3w zmian, kt\u00f3re umo\u017cliwiaj\u0105 infekcj\u0119 urz\u0105dze\u0144. <\/p>\n\n\n\n Eksperci byli w stanie wyodr\u0119bni\u0107 nast\u0119puj\u0105cy kod z serwer\u00f3w exploit\u00f3w<\/a>:<\/p>\n\n\n\n \u0141a\u0144cuchy u\u017cywane przez napastnik\u00f3w zawiera\u0142y nast\u0119puj\u0105ce wady zero-days:<\/p>\n\n\n\n Google podkre\u015bla, \u017ce stopie\u0144 wyrafinowania kampanii, kompleksowo\u015b\u0107 kodu, r\u00f3\u017cnorodno\u015b\u0107 metod oraz technik wskazuje, \u017ce za atakiem stoj\u0105 fachowcy. Udost\u0119pniony przez firm\u0119 sze\u015bciocz\u0119\u015bciowy raport powinien umo\u017cliwi\u0107 innym dostawcom zabezpiecze\u0144 identyfikacj\u0119 atak\u00f3w na ich klient\u00f3w oraz \u015bledzenie innych podobnych atak\u00f3w przeprowadzanych przez tego samego autora.<\/p>\n\n\n\n Uwaga!<\/strong> W innej kampanii przest\u0119pcy aktywnie wykorzystuj\u0105 luk\u0119 zero-day w Microsoft Defender. Firma wyda\u0142a ju\u017c aktualizacj\u0119 i za\u0142ata\u0142a 83 b\u0142\u0119dy w swoich produktach. Zaktualizuj teraz! <\/p>\n\n\n\n \u0179r\u00f3d\u0142a 1 <\/a>| 2<\/a><\/p>\n\n\n\n2. Hakerzy nadu\u017cyli jednego z certyfikat\u00f3w Mimecast, aby uzyska\u0107 dost\u0119p do kont Microsoft 365. Trop prowadzi do atakuj\u0105cych SolarWinds.<\/strong><\/h2>\n\n\n
3. Hakerzy-eksperci atakuj\u0105 Windows i Android z wykorzystaniem luk zero-day i n-days w Chrome<\/strong><\/h2>\n\n\n
<\/figure><\/div>\n\n\n\n