Slo-Tech - Kot so sporočili iz Microsofta, je minuli teden vnovič potekala obsežna phishing kampanja, izvajala pa naj bi jo ruska hekerska skuina Nobellium, znana tudi pod imeni APT29, Cozy Bear in the Dukes, sloveča tudi po lanskih napadih SolarWinds. Tokratni napad je obsegal pošiljanje phishing sporočil na okoli 3000 naslovov v približno 150 podjetjih in drugih organizacijah. Pošta je prihajala z uradnega marketinškega poštnega računa ameriške Agencije za mednarodni razvoj (USAID), nad katerim so si napadalci že prej uspeli zagotoviti nadzor.
Nekatera sporočila so vsebovala povezavo s klikabilnim naslovom, denimo Trump objavil nove dokumente o volilni prevari, po kliku se je uporabnik sprva našel na dejanskem strežniku z imenom Constant Contact service USAID, od koder so ga nato preusmerili na strežnik Nobelliuma, kjer je skupek kode v JavaScriptu prenesel in pognal zlobno kodo in v sistem prenesel ISO datoteko. Ta je vsebovala PDF datoteko, LNK datoteko z imenom Reports in skrito datoteko DLL. Ko je uporabnik kliknil na Reports, se mu je za krinko odprla PDF datoteka, v ozadju pa je DLL namestil backdoor NativeZone, prek katerega so napadalci dobili nadzor nad sistemom. Ta je omogočal praktično vse, od kraje podatkov, do širjenja okužbe na druge računalnike v sistemu.
Preiskovalci so v sporočilih naleteli na štiri nove družine malwara, HTML priponko z imenom EnvyScout za krajo poverilnic Windows računov, modul za prenos oz. downloader BoomBox, zaganjalnik oz. loader NativeZone in modul za prenos in zagon zlobne kode za povezavo s command&control strežnikom VaporRage. Več podrobnosti o napadih in uporabljenih orodjih je Microsoft objavil tukaj.
Iz varnostnega podjetja FireEye pa so sporočili, da je ob napadih pod masko USAID potekalo še nekaj drugih kampanj, ki so uporabljala drugačne vabe, denimo diplomatska sporočila in vabila posameznih veleposlaništev, denimo belgijskega.
Novice » Varnost » Napadalci SolarWinds znova udarili s phishing kampanjo
mtosev ::
Glede na pogostost teh dogodkov imajo očitno slabo varnost. Bodo rabili več denarja investitati v to področje.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013
Isotropic ::
je glede Solarwinds hacka kaj novega ali je veliko stvari Secret?
mislil sem, da bodo mogle firme vsaj v letnih poročilih objaviti, da so bile shackane.
mislil sem, da bodo mogle firme vsaj v letnih poročilih objaviti, da so bile shackane.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Exchange strežniki zdaj napadeni še z ransomwaromOddelek: Novice / Varnost | 6286 (4605) | RedDrake |
» | ZDA pod udarom širokopoteznega hekerskega napadaOddelek: Novice / Varnost | 10813 (8097) | Spock83 |
» | Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 81811 (64365) | jukoz |
» | Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )Oddelek: Novice / Varnost | 12122 (8613) | CaqKa |
» | NLB tarča phishing-a (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 21931 (10370) | Poldi112 |