AntiBotNet


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

TellYouThePass ransomware се придружува на нападите на Apache ActiveMQ RCE

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Серверите на Apache ActiveMQ кои се изложени на Интернет, исто така, се насочени кон нападите на TellYouThePass ransomware, чија цел е критична ранливост за далечинско извршување на кодот (RCE) претходно искористена како нулти ден.

Недостатокот, следен како CVE-2023-46604 , е грешка со максимална сериозност во скалабилниот брокер за пораки со отворен код ActiveMQ што им овозможува на неавтентицираните напаѓачи да извршуваат произволни команди на школка на ранливи сервери.

Додека Apache објави безбедносни ажурирања за да ја поправи ранливоста на 27 октомври, компаниите за сајбер безбедност ArcticWolf и Huntress Labs открија дека актерите за закана го користат како нулти ден за распоредување на малициозен софтвер SparkRAT повеќе од две недели, најмалку од 10 октомври.

Според податоците од услугата за следење закани ShadowServer, моментално има повеќе од 9.200 Apache ActiveMQ сервери изложени на интернет, со над 4.770 ранливи на CVE-2023-46604 експлоатирања.

Бидејќи Apache ActiveMQ се користи како посредник за пораки во деловните средини, примената на безбедносните ажурирања треба да се смета за чувствителна на време.

Администраторите се советуваат веднаш да ги закрпат сите ранливи системи со надградба на ActiveMQ верзии 5.15.16, 5.16.7, 5.17.6 и 5.18.3.

Сервери незакрпени против CVE-2023-46604 (ShadowServer)

Насочени од банди за ransomware

Една недела откако Apache ја закрпи оваа критична ранливост на ActiveMQ, Huntress Labs и Rapid7 објавија дека забележале напаѓачи кои ја искористуваат грешката за да распоредат товари за откупни софтвер HelloKitty на мрежите на клиентите.

Нападите забележани од безбедносните истражувачи на двете компании за сајбер безбедност започнаа на 27 октомври, само неколку дена откако Apache ги објави безбедносните закрпи.

Arctic Wolf Labs откри во извештајот објавен еден ден подоцна дека актерите на закана кои активно го користат пропустот CVE-2023-46604, исто така, го користат за почетен пристап во нападите насочени кон системите на Linux и туркањето на TellYouThePass ransomware.

Истражувачите за безбедност, исто така, открија сличности меѓу нападите HelloKitty и TellYouThePass, при што двете кампањи споделуваат „адреса на е-пошта, инфраструктура, како и адреси на биткоин паричник“.

„Доказите за експлоатација на CVE-2023-46604 во дивината од асортиман на актери за закана со различни цели ја демонстрираат потребата за брза санација на оваа ранливост“, предупредија истражувачите од Аrctic Wolf.

TellYouThePass ransomware забележа огромен и ненадеен скок во активноста откако Log4Shell доказ за концепт беа објавени онлајн пред две години.

Со неговото враќање како злонамерен ,malware оставен од Голанг во декември 2021 година, видот на ransomware додаде и можности за таргетирање на повеќе платформи , што овозможува да се нападнат Linux и macOS системи (примероците на macOS допрва треба да се забележат во дивината).

Извор: bleepingcomputer.

 

Microsoft ќе воведе политики за спроведување на МFA за пристап до административните портали

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Мicrоsоft наскоро ќе започне со воведување политики за условен пристап кои бараат повеќефакторска автентикација (MFA) од администраторите при најавување на административните портали на Microsoft како што се Microsoft Entra, Microsoft 365, Exchange и Azure.

Компанијата, исто така, ќе воведе политики што ќе бараат MFA за корисниците на MFA по корисник за сите апликации во облак и она што ќе бара MFA за пријавување со висок ризик (второто е достапно само за клиентите на Microsoft Entra ID Premium Plan 2).

Овие политики управувани од Microsoft (создадени од Microsoft за станарите на клиентите) постепено ќе се додаваат во режим само за извештаи на подобните закупци на Microsoft Entra почнувајќи од следната недела. Откако објавувањето ќе стигне до нивниот закупец, администраторите ќе имаат 90 дена да ги прегледаат и да изберат дали сакаат да ги овозможат или не.

Редмонд автоматски ќе ги овозможи овие правила за условен пристап само за станарите каде што не биле исклучени во рок од 90 дена по објавувањето.

„Обратете многу внимание на првата политика. Наша силна препорака – и политика што ќе ја примениме во ваше име – е мултифакторската автентикација да го заштити целиот кориснички пристап до административни портали како што се https://portal.azure.com, администратор на Microsoft 365 центар и административен центар на Exchange“, рече потпретседателот на Microsoft за безбедност на идентитетот Alex Weinert.

„Ве молиме имајте предвид дека иако можете да се откажете од овие правила, тимовите на Microsoft сè повеќе ќе бараат повеќефакторска автентикација за специфични интеракции, како што веќе бараат за одредени сценарија за управување со претплати на Azure, Центар за партнери и упис на уреди Microsoft Intune.

Microsoft-managed Conditional Access policies

Политики за условен пристап управувани од Microsoft (Microsoft)

Откако ќе се додадат, администраторите со барем улога на Администратор за условен пристап можат да ги најдат овие правила во административниот центар на Microsoft Entra под Заштита > Условен пристап > Политики.

Тие исто така можат да ја менуваат состојбата (вклучено, исклучено или само за известување) за сите политики управувани од Microsoft, како и за исклучените идентитети (корисници, групи и улоги) во полисата.

Редмонд ги советува организациите да го исклучат пристапот за итни случаи или сметките за скршено стакло од овие правила, исто како што би направиле со другите политики за условен пристап.

Мicrosoft, исто така, обезбедува опција за дополнително менување на овие политики со нивно клонирање со користење на копчето Дупликат во приказот на списокот со политики и приспособувајќи ги како и секоја друга политика за условен пристап, почнувајќи со стандардните препорачани од Microsoft.

„Нашата цел е 100 проценти мултифакторска автентикација. Со оглед на тоа што формалните студии покажуваат дека автентикацијата со повеќе фактори го намалува ризикот од преземање на сметката за над 99 проценти , секој корисник што автентицира треба да го направи тоа со модерна силна автентикација“, рече Weinert.

„Нашата евентуална цел е да ги комбинираме увидите и препораките за политиките засновани на машинско учење со автоматизирано објавување политики за да го зајакнеме вашето безбедносно држење во ваше име со правилните контроли.

 

Извор:  (bleepingcomputer.com)

Услугата за компјутерски криминал ја заобиколува безбедноста на Android за да инсталира малициозен софтвер

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Се појави нова операција за сајбер криминал со dropper-as-a-service (DaaS) наречена „SecuriDropper“, користејќи метод што ја заобиколува функцијата „Ограничени поставки“ во Android за да инсталира малициозен софтвер на уредите и да добие пристап до услугите за пристапност.

Ограничените поставки е безбедносна карактеристика воведена со Android 13 која ги спречува странично вчитаните апликации (APK-датотеки) инсталирани надвор од Google Play да пристапуваат до моќните функции како што се поставките за пристапност и Слушачот за известувања.

Двете дозволи најчесто се злоупотребуваат од малициозен софтвер, така што функцијата беше наменета да ги заштити корисниците со блокирање на одобрувањето на барањата со прикажување предупредување кога се бараат овие дозволи.

Restricted Settings warning pop-up

Скокачки прозорец за предупредување за Ограничени поставки
(ThreatFabric)

Пристапноста може да се злоупотреби за снимање текст на екранот, давање дополнителни дозволи и далечинско извршување на дејства за навигација, додека слушателот на известувања може да се користи за кражба на еднократни лозинки.

Во август 2022 година, ThreatFabric објави дека развивачите на малициозен софтвер веќе ги прилагодуваат своите тактики на оваа нова мерка преку нов dropper наречен „BugDrop“.

Врз основа на своите набљудувања, фирмата создаде капалка за доказ за концепт (PoC) за да покаже дека бајпасот е возможен.

Трикот е да се користи API-то за инсталирање базирано на сесија за злонамерните датотеки APK (Android пакет), кој ги инсталира во повеќе чекори, вклучувајќи „базен“ пакет и разни „поделени“ датотеки со податоци.

Кога се користи одреденото API наместо методот без сесии, Ограничените поставки се заобиколуваат и на корисниците не им се прикажува дијалогот „Ограничена поставка“ што ги спречува да му дадат пристап на малициозниот софтвер до опасните дозволи.

BleepingComputer потврди дека безбедносниот проблем е сè уште присутен во Android 14 и, според новиот извештај на ThreatFabric, SecuriDropper ја следи истата техника за странично вчитување на малициозен софтвер на целните уреди и да им даде пристап до ризичните подсистеми.

Ова е прв забележан случај овој метод да се користи во операции за сајбер криминал насочени кон корисниците на Android.

Операции на Android Dropper-as-a-Service

SecuriDropper ги инфицира уредите со Android што се претставуваат како легитимна апликација, најчесто имитирање на апликација на Google, ажурирање на Android, видео плеер, безбедносна апликација или игра, а потоа инсталира втор товар, што е некаква форма на малициозен софтвер.

Видови апликации имитираат SecuriDropper (ThreatFabric)

Капкачот го постигнува ова со обезбедување пристап до дозволите „Читање и запишување надворешно складирање“ и „Инсталирај и бришење пакети“ при инсталацијата.

Корисното оптоварување во втората фаза се инсталира преку измама на корисникот и манипулација со интерфејсот, што ги поттикнува корисниците да кликнат на копчето „Преинсталирај“ откако ќе прикажат лажни пораки за грешка за инсталацијата на апликацијата dropper.

Процес на отпуштање на товарот (ThreatFabric)

ThreatFabric видел SpyNote малициозен софтвер дистрибуиран преку SecuriDropper преправен како апликација Google Translate.

Во други случаи, SecuriDropper беше забележан како дистрибуира банкарски тројанци Ermac маскирани како прелистувачот Chrome, насочени кон стотици апликации за криптовалути и е-банкарство.

ThreatFabric, исто така, известува  за повторното појавување на Zombinder , операција на DaaS за прв пат документирана во декември 2022 година. Оваа услуга „лепи“ злонамерни товари со легитимни апликации за да ги инфицира уредите со Android со крадци на информации и банкарски тројанци.

Загрижувачки е тоа што неодамнешните реклами на Zombinder ја нагласуваат истата стратегија за заобиколување на Ограничените поставки за која претходно беше дискутирана, така што на товарите им се дава дозвола да ги користат поставките за пристапност при инсталацијата.

Најновата реклама на Zombinder (ThreatFabric)

За да се заштитат од овие напади, корисниците на Android треба да избегнуваат преземање APK-датотеки од нејасни извори или издавачи на кои не им веруваат и не ги познаваат.

Пристапот до дозволите за која било инсталирана апликација може да се прегледа и отповика со одење во Поставки → Апликации → [избери апликација] → Дозволи .

BleepingComputer стапи во контакт со Google за да праша дали ќе се применат нови безбедносни мерки за да се реши овој проблем кој активно се користи, но не добивме одговор до времето на објавување.

Извор: bleepingcomputer

 

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB