MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Тимот за одговор на компјутерски инциденти на Соединетите Американски Држави (US-CERT) издаде предупредување за активностите на Северна Кореа, под име „Скриена Кобра“ (анг. Hidden Cobra), меѓу кои и DDoS напади.

DoS (анг. Distributed Denial of Service – Oдбивање на услуга) е напад кој го спречува или нарушува нормалното функционирање на мрежите, системите или апликациите со исцрпување на ресурсите. Кај DDoS (анг. Distributed Denial of Service) нападите се користат повеќе компјутери и интернет врски, дистрибуирани на различни географски локации.

Напаѓачите, кои владата на САД ги нарекува „Скриена Кобра“, се познати и под името „Група Лазарус“ (анг. Lazarus Group). Групата Лазарус се поврзува и со повеќе напади од висок профил, вклучувајќи ги и нападите на Sony Pictures, Централната банка на Бангладеш и финансиски организации во Полска.

Предупредувањето содржи индикатори на компромитираност (анг. Indicators of Compromise – IoC), поврзани со ботнет наречен “DeltaCharlie”. Според извештајот за „Operation Blockbuster“ од компанијата Novetta, алатката DeltaCharlie наводно била користена од Владата на Северна Кореа за DDoS напади.

„DeltaCharlie е DDoS алатка со способност за напади на доменскиот именски систем (ang. Domain Name System -DNS), и напади на Character Generation протоколот” – стои во соопштението од US-CERT. „Малверот функционира на компјутерот од жртвата како сервис под svchost.еxe и има способност да преземе извршни датотеки, да ја промени сопствената конфигурација, да се надградува себеси, да ги прекинува сопствените процеси и да активира и деактивира DDoS напади”.

US-CERT објави информации за експлоити, малвер, IP адреси, податочни хешови и други податоци поврзани со „Скриена Кобра“. Во предупредувањето стои дека постојат ситуации кога малверот може да биде присутен во мрежата на жртвата подолг период пред да се активира.

US-CERT на својата веб-страница објави и препораки кои мрежните администратори треба да ги следат за ублажување на нападите и за одговор на неавторизиран мрежен пристап.

Извор: US-CERT

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Според истражувачите од Fortinet, иако откриениот рансомвер за Mac е технички инфериорен на оние кои го напаѓаат Windows, тој сепак може да криптира и да не дозволи пристап до датотеките на жртвата и со тоа да прави реална штета.

MacRansom користи симетрично криптирање со клуч кој е вграден во кодот (анг. hard-coded, а според анализата од Fortinet, може да криптира најмногу 128 датотеки.

Овој рансомвер се нуди како сервис (ransomware-as-a-service), што значи дека не е потребно никакво искуство во кодирање за да се искористи за заработка преку „откуп“. Соучесниците го набавуваат кодот со контактирање на авторот преку портал  на т.н, „мрачна мрежа“ (ang. dark net).

Овој рансомвер бара „откуп“ од 0.25 биткоини (околу $700) за клучевите за декрипција. По успешната наплата, авторот префрла 30% на биткоин адресите на своите соучесници. Улогата на соучесниците е ограничена на дистрибуција на штетниот софтвер преку е-пошта или директна инсталација.

Извор: theregister.co.uk

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

„Иклучете ги макроата во Office и секогаш бидете исклучително внимателни кога рачно ги вклучувате”.

Можеби досега сте го сретнале претходното предупредување, со оглед на тоа што злонамерните хакери во последните десетина години често користат техника за хакирање базирана на макроа, кои се вметнати во специјално изработени Microsoft Office датотеки (особено Word датотеки), прикачени за спам е-пораки. Во претходно известување, МКД-ЦИРТ предупреди за ваков тип на закана за Windows и на MacOS оперативните системи.

Се појави нов вид на закана, базирана на социјален инженеринг (анг. social engineering), кај која нема потреба да се вклучени макроа – наместо тоа, се извршуваат PowerShell команди вградени во PowerPoint (PPT, PPTX) датотека.

Уште пострашно, злонамерниот PowerShell код во документот се активира и без жртвата да кликне на линкот – само со поминување со глувчето преку линкот може да се преземе дополнителна злонамерна содржина на компромитираната машина.

Истражувачите од компанијата за безбедност SentinelOne откриле група хакери кои користат злонамерни PowerPoint датотеки за да дистрибуираат „Zusy“, т.н. банкарски тројанец, познат и како „Tinba“(Tiny Banker). Банкарскиот тројанец Zusy, кој е насочен кон финансиски веб-страници е откриен во 2012 година. Тој може да го прислушкува мрежниот сообраќај и да изведува т.н. Man-in-The-Browser напади со цел да вметне дополнителни форми во легитимните банкарски веб-страници со кои бара од жртвата дополнитени информации како броеви од кредитни картички, броеви за автентикациски трансакции и автентикациски токени.

„Новата варијанта од малверот Zusy беснее ширејќи се преку PowerPoint датотека прикачена на спам е-пораки со наслови како ‘Нарачка број #130527’или ’Потврда ’. Интересно е што за да се изврши не е потребно корисникот да има вклучено макроа“ – тврдат истражувачите од SentinelOne Labs.

PowerPoint датотеките се шират преку спам е-пораки со наслов ‘Нарачка број #130527’или ’Потврда ’ во која е запишан текстот “Loading…Please Wait” како хипер-врска.

Кога корисникот поминува со глувчето преку линкот, автоматски се активира PowerShell код, но безбедносната опција Protected View која е вклучена во сите последни верзии на Office (вклучително и Office 2013 и Office 2010), прикажува сериозно предупредување и го прашува корисникот дали дозволува извршување на надворешни програми. Корисниците ги имаа следните опции „Дозволи ги сите“ (анг. Enable All), „Дозволи“ (анг.Enable) и „Оневозможи“ (анг.Disable).

Ако корисникот го ингорира предупредувањето и дозволи преглед на содржината, злонамерната програма ќе се поврзе на доменското име „cccn.nl“, од каде што презема и извршува датотека која е одоговорна за испорака на банкарскиот тројанец Zusy.

„Корисниците би можеле да дозволат извршување на надворешни програми од причина се мрзливи, брзаат или се навикнати да блокираат само макроа“ – изјавуваат од SentinelOne Labs. „Исто така, можно е некои конфигурации да се потолерантни за извршување на надворешни програми отколку што се за макроа“.

Овој нов вид на напад бил анализиран и од страна на друг истражувач од областа на информациска безбедност, Ruben Daniel Dodge, кој потврдил дека методот на извршување не се базира на макроа, Javascript илиVBA.

Овој вид на напад не работи доколку злонамерната датотека е отворена во PowerPoint Viewer, кој одбива да го изврши програмот. Сепак, техниката би можела да биде ефикасна во некои ситуации.

Според Microsoft, Office има заштита од оваа хакерска техника затоа што Office Protected View е стандардно вклучен како  опција.  Windows Defender и Office 365 Advanced Threat Protection го пронаоѓаат и го отстрануваат овој малвер.

Корисниците и организациите треба да проверат дали ја имаат вклучено безбедносната опција Office Protected View и дали ги имаат исклучено макроата во Office.

Извор: thehackernews.com