Сајбер одговорна организација


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

DuckTail (кампања) – нов малициозен софтвер за крадење информации напишан во PHP што ги таргетира сметките на Facebook

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Брзо ширење на новата Ducktail фишинг кампања со малвер за крадење информации напишан во PHP кој се користи за крадење на Facebook сметки, податоци од прелистувачи и паричници за криптовалути.

Кампањите за прв пат биле откриени од истражувачите од WithSecure во јули 2022 година, кои ги поврзале нападите со виетнамски хакери.

Злонамерниот софтвер ги таргетира информациите зачувани во прелистувачите, фокусирајќи се на податоците од сметките на Facebook Business, и ги ексфилтрира на приватен канал на Telegram кој дејствувал како сервер C2. Овие украдени креденцијали  потоа се користат за финансиска измама или за спроведување на злонамерно рекламирање.

MKD-CIRT ги дава следните препораки како да избегнете малициозен софтвер:

Еден клучен начин да избегнете инфицирање на вашите уреди со малициозен софтвер е да се држите подалеку од пиратски софтвер. Ветувањата за бесплатни холивудски блокбастери или скапи програми како Microsoft Office обично се трикови за криење на опасниот малициозен софтвер. Никогаш не верувајте на пиратски софтвер. Но, постојат и други безбедносни мерки што се:

  • Бидете внимателни со врските (links) и прилозите (attachs). Не кликнувајте на линкови и прилози што ги добивате во несакани е-пошта. Тие би можеле да бидат злонамерни и создадени да го заразат вашиот уред со малициозен софтвер.
  • Преземeтe апликации само од официјални продавници за апликации.Секогаш одете на официјалните извори како App Store на Apple и Google Play Store.
  • Одржувајте ги вашите уреди ажурирани со најновите закрпи и поправки.
  • Користете двофакторна автентикација за подобра безбедност. Дали знаевте дека Facebook нуди 2FA? Да нуди. Кликнете овде за да дознаете како да го поставите.
  • Инсталирајте доверлив антивирусен софтвер на сите ваши уреди.

 

Извор: BleepingComputer

 

Нови ранливости zero-days на Microsoft Exchange

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Актерите за закани ги искористуваат сè уште необјавените грешки zero-days на Microsoft Exchange што овозможуваат далечинско извршување на кодот, според тврдењата на безбедносните истражувачи во виетнамската компанија за сајбер безбедност GTSC, кои први ги забележале и пријавиле нападите.

Напаѓачите го поврзуваат парот zero-days за да ги распоредат Кинеските Chopper web shells на компромитирани сервери за упорност и кражба на податоци, како и странично преместување на други системи на мрежите на жртвите.

„Ранливоста се испостави дека е толку критична што му дозволува на напаѓачот да направи RCE на компромитиран систем“, велат истражувачите.

Искористувањето работи во две фази:

  1. Барање со сличен формат на ProxyShell ранливостautodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
  2. Употреба на врската погоре за пристап до компонента во задниот дел каде што RCE може да се имплементира.

“Бројот на верзијата на овие сервери на Exchange покажа дека последното ажурирање е веќе инсталирано, така што експлоатацијата со користење на ранливоста на Proxyshell беше невозможна“, велат истражувачите.

MKD-CIRT ги дава следните препораки за привремено ублажување:

Сè додека Мајкрософт не објави безбедносни ажурирања за решавање на двата zero-days, привремено ублажување што би ги блокирало обидите за напад со додавање на ново правило за серверот IIS користејќи го модулот за повторно запишување на URL-то:

  1. Во Autodiscover на FrontEnd, изберете го табот URL Rewrite, а потоа побарајте блокирање.
  2. Add string “.*autodiscover\.json.*\@.*Powershell.*“ до патеката за URL.
  3. Влезна состојба: Изберете {REQUEST_URI}

Препорачуваме сите организации/претпријатија кои користат Microsoft Exchange Server да го проверат, прегледаат и применат горенаведениот привремен лек што е можно поскоро за да се избегнат потенцијални сериозни штети.

Администраторите кои сакаат да проверат дали нивните сервери на Exchange се веќе компромитирани со користење на овој експлоат може да ја извршат следнава команда на PowerShell за да ги скенираат датотеките за евиденција на IIS за индикатори на потенцијални злонамерни активности:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200’

Извор: BleepingComputer

CISA и FBI објавија заедничко соопштение – Иранските државни актери спроведуваат сајбер операции против Владата на Албанија

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Во врска со сајбер нападите во Албанија, објавено е заедничко соопштение од Федералното биро за истраги (ФБИ) и Агенцијата за сајбер безбедност и инфраструктурна безбедност (CISA)  од САД, со анализа за случувањата, атрибуција на нападот кон криминални групи спонзорирани од странски држави и совети за подобрување на безбедноста кај организациите базирани на идентификувани ранливости во системите кои биле искористени.

Во насока за подобро информирање и заштита на организациите, Ви препорачуваме да имплементирате мерки за заштита на организациските системи дадени во соопштението на следниот линк: https://mkd-cirt.mk/soopshtenie/

MKD-CIRT им препорачува на организациите покрај мерките наведени во претходното сооштение, да ги проверат ранливостите наведени во соопштението од CISA и FBI кои биле зоупотребени при нападите во Албанија. Препорачуваме организациите најитно да ги имплементираат предложените мерки за митигација во случај ако се ранливи на слабости наведени во тоа соопштение.

Линк кон советодавната информација (соопштението) на FBI и CISA: https://www.cisa.gov/uscert/ncas/alerts/aa22-264a

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB