Nieuws over bedreigingen en beveiligingsproblemen

Door: Sergiu Gatlan Cisco heeft vandaag bevestigd, dat de Yanluowang ransomware groep eind mei zijn bedrijfsnetwerk heeft gekraakt en dat de actor heeft geprobeerd hen af te persen onder de dreiging van het online lekken van gestolen bestanden. Het bedrijf onthulde, dat de aanvallers alleen niet-gevoelige gegevens konden oogsten en stelen uit een Box-map, die gekoppeld was aan het account van een gecompromitteerde werknemer. "Cisco heeft eind mei 2022 een beveiligingsincident meegemaakt op ons bedrijfsnetwerk en we hebben onmiddellijk actie ondernomen om de slechte actoren in te dammen en uit te roeien," vertelde een woordvoerder van Cisco aan BleepingComputer. "Cisco heeft geen gevolgen voor ons bedrijf vastgesteld. als gevolg van...

Door: Bill Toulas Een nieuwe ransomwarefamilie genaamd 'GwisinLocker' richt zich op Zuid-Koreaanse gezondheidszorg-, industriële en farmaceutische bedrijven met Windows- en Linux-encryptors, inclusief ondersteuning voor het versleutelen van VMware ESXi-servers en virtuele machines. De nieuwe malware is het product van een minder bekende bedreiger met de naam Gwisin, wat "spook" betekent in het Koreaans. De speler is van onbekende afkomst, maar lijkt de Koreaanse taal goed te beheersen. Ook vielen de aanvallen samen met Koreaanse feestdagen en vonden ze plaats in de vroege ochtenduren, dus Gwisin heeft een goed inzicht in de cultuur en de zakelijke routines van het land. Eind vorige maand verschenen er voor het eerst berichten over...

Door: Lawrence Adams Twitter heeft bevestigd, dat een recent datalek werd veroorzaakt door een nu gepatchte zero-day kwetsbaarheid, die werd gebruikt om e-mailadressen en telefoonnummers te koppelen aan de accounts van gebruikers, waardoor een bedreiger een lijst van 5,4 miljoen gebruikersaccountprofielen kon samenstellen. Vorige maand sprak BleepingComputer met een dreigingsactor die zei dat ze in staat waren om een lijst van 5,4 miljoen Twitter-accountprofielen samen te stellen met behulp van een kwetsbaarheid op de sociale mediasite. Via deze kwetsbaarheid kon iedereen een e-mailadres of telefoonnummer invoeren, controleren of dit gekoppeld was aan een Twitter-account en de bijbehorende account-id achterhalen. De bedreiger...

Door: Sergiu Gatlan VMware heeft beheerders vandaag gewaarschuwd voor het patchen van een kritieke beveiligingsfout in de authenticatieomleiding, die van invloed is op lokale domeingebruikers in meerdere producten en ongeauthenticeerde aanvallers in staat stelt beheerdersrechten te verkrijgen. Het lek (CVE-2022-31656) werd gemeld door Petrus Viet van VNG Security, die ontdekte dat het invloed heeft op VMware Workspace ONE Access, Identity Manager en vRealize Automation. VMware beoordeelde de ernst van dit beveiligingslek als kritiek, met een CVSSv3 basisscore van 9,8/10. Het bedrijf heeft ook meerdere andere beveiligingsbugs gepatcht waardoor aanvallers op ongepatchte servers remote code execution (CVE-2022-31658, CVE-2022-31659...

Door: Ax Sharma Duizenden GitHub-repositories zijn gekopieerd en hun klonen zijn aangepast om malware te bevatten, ontdekte een software-ingenieur vandaag. Hoewel het klonen van open source repositories een gebruikelijke ontwikkelpraktijk is en zelfs wordt aangemoedigd door ontwikkelaars, gaat het in dit geval om bedreigers die kopieën maken van legitieme projecten maar deze bezoedelen met kwaadaardige code om nietsvermoedende ontwikkelaars aan te vallen met hun kwaadaardige klonen. GitHub heeft de meeste van de kwaadaardige repositories gezuiverd na ontvangst van het rapport van de technicus. 35.000 GitHub-projecten niet gekaapt Vandaag liet softwareontwikkelaar Stephen Lacy iedereen versteld staan toen hij beweerde een...

Door: Bill Toulas Een nieuw botnet met de naam 'RapperBot' wordt sinds medio juni 2022 gebruikt bij aanvallen, waarbij de nadruk ligt op het brute-forcen van zijn weg naar Linux SSH-servers om een voet aan de grond te krijgen op het apparaat. De onderzoekers tonen aan dat RapperBot is gebaseerd op de Mirai-trojan, maar afwijkt van het normale gedrag van de oorspronkelijke malware, namelijk ongecontroleerde verspreiding naar zo veel mogelijk apparaten. In plaats daarvan is RapperBot strakker gecontroleerd, heeft het beperkte DDoS-mogelijkheden en lijkt zijn werking gericht op initiële servertoegang, waarschijnlijk om te worden gebruikt als opstapje voor zijwaartse beweging binnen een netwerk. In de afgelopen 1,5 maand sinds de...

Geschreven door Lawrence Abrams Hackinggroepen en ransomware-operaties stappen over van Cobalt Strike naar de nieuwere Brute Ratel post-exploitation toolkit om detectie door EDR en antivirusoplossingen te omzeilen. Corporate cyberbeveiligingsteams bestaan meestal uit medewerkers die proberen in te breken in bedrijfsnetwerken (rode team) en medewerkers die zich daar actief tegen verdedigen (blauwe team). Beide teams wisselen dan na de inbraakpogingen aantekeningen uit om de cyberbeveiligingsverdediging van een netwerk te versterken. Jarenlang was Cobalt Strike een van de populairste tools in red team-overeenkomsten, een toolkit waarmee aanvallers "bakens" op aangetaste apparaten kunnen plaatsen om op afstand netwerkbewaking uit te...

Geschreven door Bill Toulas Onderzoekers hebben een nieuw post-exploitation aanvalsraamwerk waargenomen dat in het wild wordt gebruikt, Manjusaka genaamd, dat kan worden ingezet als alternatief voor de alom misbruikte Cobalt Strike toolset of er parallel aan kan worden ingezet voor redundantie. Manjusaka gebruikt implants die zijn geschreven in de platformonafhankelijke programmeertaal Rust, terwijl de binaries zijn geschreven in het eveneens veelzijdige GoLang. De RAT (remote access trojan) implantaten ondersteunen commando-uitvoering, bestandstoegang, netwerkverkenning en meer, zodat hackers het kunnen gebruiken voor dezelfde operationele doelen als Cobalt Strike. Campagne en ontdekking Manjusaka werd ontdekt door...

Geschreven door Bill Toulas Een nieuwe grootschalige phishingcampagne gericht op referenties voor Microsoft e-maildiensten maakt gebruik van een aangepaste, op proxy gebaseerde phishingkit om multifactorauthenticatie te omzeilen. Onderzoekers denken dat het doel van de campagne is om in te breken in bedrijfsaccounts om BEC-aanvallen (business email compromise) uit te voeren, waarbij betalingen met vervalste documenten worden omgeleid naar bankrekeningen onder hun controle. Tot de doelwitten van de phishing-campagne behoren fintech-, krediet-, accounting-, verzekerings- en Federal Credit Union-organisaties in de VS, het VK, Nieuw-Zeeland en Australië. De campagne werd ontdekt door de ThreatLabz-onderzoekers van Zscaler, die melden...

Geschreven door Bill Toulas Een van de belangrijkste methoden die malware-distributeurs gebruiken om apparaten te infecteren, is mensen te misleiden zodat ze schadelijke bestanden downloaden en uitvoeren, en om dit bedrog te bereiken, gebruiken malware-auteurs een verscheidenheid aan trucs. Sommige van deze trucs omvatten het vermommen van malware-uitvoerbare bestanden als legitieme toepassingen, het ondertekenen ervan met geldige certificaten, of het compromitteren van betrouwbare sites om deze te gebruiken als distributiepunten. Volgens VirusTotal, een beveiligingsplatform voor het scannen van geüploade bestanden op malware, vinden sommige van deze trucs op veel grotere schaal plaats dan aanvankelijk werd gedacht. Het platform...

Cyberspionnen gebruiken Google Chrome-extensie om ongemerkt e-mails te stelen Geschreven door Sergiu Gatlan Een door Noord-Korea gesteunde bedreigingsgroep, opgespoord onder de naam Kimsuky, gebruikt een kwaadaardige browserextensie om e-mails te stelen van gebruikers van Google Chrome of Microsoft Edge die hun webmail lezen. De extensie, SHARPEXT genoemd door Volexity-onderzoekers die deze campagne in september ontdekten, ondersteunt drie op Chromium gebaseerde webbrowsers (Chrome, Edge en Whale) en kan e-mail van Gmail- en AOL-accounts stelen. De aanvallers installeren de kwaadaardige extensie nadat ze het systeem van een doelwit hebben gecompromitteerd met een aangepast VBS-script door de bestanden 'Preferences' en 'Secure...

Door: Bill Toulas De bibliotheek uClibc en zijn vork van het OpenWRT team, uClibc-ng. Beide varianten worden veel gebruikt door grote leveranciers als Netgear, Axis en Linksys, maar ook door Linux-distributies die geschikt zijn voor embedded toepassingen. Volgens onderzoekers van Nozomi Networks is er momenteel geen fix beschikbaar bij de ontwikkelaar van uClibc, waardoor producten van zo'n 200 leveranciers gevaar lopen. Details van de kwetsbaarheid De uClibc-bibliotheek is een C-standaardbibliotheek voor embedded systemen die verschillende hulpbronnen biedt, die nodig zijn voor functies en configuratiemodi op deze apparaten. De DNS-implementatie in die bibliotheek biedt een mechanisme voor het uitvoeren van DNS-gerelateerde...