MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Забележана е нова варијанта на тројанец за далечински пристап наречен Bandook како се шири преку фишинг напади со цел да се инфилтрира во машините на Windows, нагласувајќи го континуирана еволуција на малициозен софтвер.

Fortinet FortiGuard Labs, која ја идентификуваше активноста во октомври 2023 година, рече дека малициозниот софтвер се дистрибуира преку PDF-датотека која вградува врска до архива .7z заштитена со лозинка.

“Откако жртвата ќе го извлече малициозниот софтвер со лозинката во PDF-датотеката, малициозниот софтвер го вбризгува својот товар во msinfo32.exe,” безбедносниот истражувач Pei Han Liao рече.

Bandook, првпат откриен во 2007 година, е off-the-shelf malware  кој доаѓа со широк спектар на функции за далечинско стекнување контрола на заразените системи.

Во јули 2021 година, словачката компанија за сајбер безбедност ESET детализираше кампања за сајбер шпионажа која користеше надградена варијанта на  Bandook за да ги наруши корпоративните мрежи на шпански- земји што зборуваат како што е Венецуела.

Почетната точка на најновата секвенца напади е компонента за инјектор која е дизајнирана да го дешифрира и вчита товарот во  msinfo32.exe, легитимен бинарен на Windows што собира системски информации за дијагностицирање проблеми со компјутерот.

Злонамерниот софтвер, покрај тоа што прави промени во регистарот на Windows за да воспостави упорност на компромитираниот хост, воспоставува контакт со серверот за команда и контрола (C2) за да добие дополнителни носивост и инструкции.

„Овие дејства може грубо да се категоризираат како манипулација со датотеки, манипулација со регистар, преземање, крадење информации, извршување на датотеки, повикување на функции во DLL од C2, контрола на компјутерот на жртвата, убивање процес и деинсталирање на малициозен софтвер,“ ; – изјави Han Liao.

Извор: thehackernews

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

LastPass ги извести клиентите денес дека сега од нив се бара да користат сложени главни лозинки со минимум 12 знаци за да ги зголемат нивните сметки’ безбедност.

Иако LastPass has repeatedly said дека има барање за главна лозинка од 12 знаци од 2018 година, корисниците имаа можност да користат послаба.

“Историски гледано, додека главната лозинка со 12 знаци е стандардна поставка на LastPass од 2018 година, клиентите сè уште имаа можност да се откажат од препорачаните стандардни поставки и да изберат да создадат главна лозинка со помалку знаци, доколку сакаат да го стори тоа,” LastPass се вели во новото соопштение денес.

LastPass почна да спроведува барање за главна лозинка од 12 знаци од април 2023 година за нови сметки или ресетирање на лозинка, но постарите сметки сè уште може да користат лозинки со помалку од 12 знаци. Почнувајќи од овој месец, LastPass сега го спроведува барањето за главната лозинка од 12 знаци за сите сметки.

Понатаму, LastPass додаде дека исто така ќе започне да ги проверува новите или ажурираните главни лозинки во базата на податоци со акредитиви кои претходно протекоа на темната мрежа за да се осигура дека тие не се совпаѓаат со веќе компромитирани сметки.

Ако се најде совпаѓање, клиентите ќе бидат предупредени преку безбедносно предупредување и ќе биде побарано да изберат друга лозинка за да ги блокираат идните обиди за пробивање.

Како дел од истиот напор за зголемување на безбедноста на сметката, LastPass исто така започна процес на повторно запишување присилна повеќефакторска автентикација (MFA) во мај 2023 година, што доведе до тоа многу корисници да искусат significant login issues and getting locked out на нивните сметки.

„Овие промени вклучуваат барање од клиентите да ја ажурираат должината и сложеноста на нивната основна лозинка за да ги исполнат препорачаните најдобри практики и да ги поттикнат клиентите повторно да ја запишат својата повеќефакторска автентикација (MFA), меѓу другото,“; рече Мајк Косак, виш главен разузнавачки аналитичар во LastPass.

„Почнувајќи од јануари 2024 година, LastPass ќе го наметне барањето сите клиенти да користат главна лозинка со најмалку 12 знаци.

“Следниот месец, LastPass ќе започне и со итни проверки на нови или ресетирање на главните лозинки на базата на податоци со познати прекршени акредитиви со цел да се осигура дека лозинката не била претходно изложена на Dark Web.”

LastPass изјави за BleepingComputer дека клиентите на B2C ќе почнат да добиваат е-пошта за овие промени денес, а клиентите на B2B ќе ги добиваат на 10-ти јануари.

Главните лозинки пробиени по прекршувањето во 2022 година

Овие мерки се директен резултат на две безбедносни прекршувања на LastPass објавени во август 2022 и ноември 2022 година .

Во август, компанијата потврди дека нејзината околина за програмери била пробиена преку компромитирана програмерска сметка откако напаѓачите хакирале корпоративен лаптоп на софтверски инженер. За време на прекршувањето, тие украле изворен код, технички информации и некои внатрешни тајни на системот LastPass.

Информациите украдени во овој инцидент подоцна беа користени од актери за закани во декември кога тие исто така stole customer vault data од неговиот шифриран Amazon S3 кофи откако compromising a senior DevOps engineer’s computer користејќи ранливост за далечинско извршување на код за да инсталира тајлогер.

Во октомври 2023 година, хакерите украдоа криптовалути во вредност од 4,4 милиони долари од над 25 жртви користејќи приватни клучеви и фрази за пристап што можеа да ги извлечат од базите на податоци на LastPass украдени во LastPass’ Прекршувања од 2022 година.

Според истражувањето на развивачот на MetaMask Taylor Monahan и ZachXBT, се верува дека актерите на закани сега ги пробиваат украдените главни лозинки на LastPass за да добијат пристап до лозинката.

Користејќи го овој пристап, актерите за закана бараат пристапни фрази на паричникот за криптовалути, ингеренции и приватни клучеви и ги користат за да ги вчитаат паричниците на нивните сопствени уреди за да ги исцрпат од сите средства.

LastPass вели дека неговото решение за управување со лозинка сега го користат над 33 милиони луѓе и 100.000 бизниси ширум светот.

Извор:bleepingcomputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Речиси 11 милиони SSH сервери изложени на интернет се ранливи на нападот Terrapin кој го загрозува интегритетот на некои SSH конекции.

Terrapin attack го таргетира протоколот SSH, што влијае и на клиентите и на серверите, а беше развиен од академски истражувачи од Универзитетот Рур во Бохум во Германија.

Тој манипулира со секвенциските броеви за време на процесот на ракување за да го загрози интегритетот на SSH каналот, особено кога се користат специфични режими на шифрирање како ChaCha20-Poly1305 или CBC со Encrypt-then-MAC.

Напаѓачот би можел на тој начин да ги деградира алгоритмите со јавен клуч за автентикација на корисникот и да ја оневозможи одбраната од нападите со тајмингот при притискање на тастатурата во OpenSSH 9.5.

Забележителен услов за нападот Terrapin е потребата напаѓачите да бидат во позиција на противник-во-средината (AitM) за да ја пресретнат и изменат размената на ракување.

Вреди да се напомене дека актерите на закана често ги компромитираат мрежите на интерес и чекаат вистински момент за да го продолжат нападот.

Неодамнешниот извештај на платформата за следење на безбедносните закани Shadowserver предупредува дека има скоро 11 милиони SSH сервери на јавната веб – идентификувани со единствени IP адреси, кои се ранливи на напади на Terrapin.

Ова сочинува приближно 52% од сите скенирани примероци во просторот IPv4 и IPv6 надгледуван од Shadoserver.

Најголем дел од ранливите системи се идентификувани во САД (3,3 милиони), потоа Кина (1,3 милиони), Германија (1 милион), Русија (700.000), Сингапур (390.000) и Јапонија (380.000).

                                                 Глобална изложеност на ризикот од Терапин (Shadowserver)

Значењето на извештајот на Shadowserver лежи во нагласувањето дека нападите на Terrapin можат да имаат широко распространето влијание.

Иако сите 11 милиони примероци не се изложени на непосреден ризик да бидат нападнати, тоа покажува дека противниците имаат голем избор од кој може да изберат.

Ако сакате да проверите SSH клиент или сервер за неговата подложност на Terrapin, тимот на Универзитетот Ruhr во Bochum обезбедува vulnerability scanner.

Извор: bleepingcomputer