פייסבוק פרסמה את דו"ח האיומים לרבעון השלישי של 2022.עצרה פעולות הקשורות לתוקפים סיניים ורוסים, ושיבשה מבצע שהיה קשור לארצות הברית.
לפי Meta, המבצע שמקורו בארה"ב התמקד במדינות כמו אפגניסטן, אלג'יריה, איראן, עיראק, קזחסטן, קירגיזסטן, רוסיה, סומליה, סוריה, טג'יקיסטן, אוזבקיסטן ותימן.
הוסרו 39 חשבונות פייסבוק, 16 דפים ושתי קבוצות, וכן 26 חשבונות אינסטגרם הקשורים לפעולה זו בשל הפרת מדיניות בנושא התנהגות לא הולמת, החברה אמרה כי הקמפיין רץ למעשה על פני מספר שירותים מקוונים, כולל יוטיוב, טוויטר, טלגרם ואתרי המדיה החברתית הרוסית Odnoklassniki ו-VKontakte.
המבצע כלל פוסטים שנכתבו בעיקר בערבית, פרסית ורוסית, וסיקרו חדשות, ספורט, תרבות ואקטואליה. חלק מהפוסטים שיבחו את צבא ארה"ב בעוד שאחרים מתחו ביקורת על איראן, רוסיה וסין, כולל השפעתה של איראן במזרח התיכון, ומלחמתה של רוסיה.
נתונים שנאספו מראים שכ-22,000 חשבונות עקבו אחר דפי הפייסבוק פוגעים, ו-400 חשבונות הצטרפו לפחות לאחת מהקבוצות. כ-12,000 חשבונות אינסטגרם.
https://about.fb.com/wp-content/uploads/2022/11/Quarterly-Adversarial-Threat-Report-Q2-2022-1.pdf
לפי Meta, המבצע שמקורו בארה"ב התמקד במדינות כמו אפגניסטן, אלג'יריה, איראן, עיראק, קזחסטן, קירגיזסטן, רוסיה, סומליה, סוריה, טג'יקיסטן, אוזבקיסטן ותימן.
הוסרו 39 חשבונות פייסבוק, 16 דפים ושתי קבוצות, וכן 26 חשבונות אינסטגרם הקשורים לפעולה זו בשל הפרת מדיניות בנושא התנהגות לא הולמת, החברה אמרה כי הקמפיין רץ למעשה על פני מספר שירותים מקוונים, כולל יוטיוב, טוויטר, טלגרם ואתרי המדיה החברתית הרוסית Odnoklassniki ו-VKontakte.
המבצע כלל פוסטים שנכתבו בעיקר בערבית, פרסית ורוסית, וסיקרו חדשות, ספורט, תרבות ואקטואליה. חלק מהפוסטים שיבחו את צבא ארה"ב בעוד שאחרים מתחו ביקורת על איראן, רוסיה וסין, כולל השפעתה של איראן במזרח התיכון, ומלחמתה של רוסיה.
נתונים שנאספו מראים שכ-22,000 חשבונות עקבו אחר דפי הפייסבוק פוגעים, ו-400 חשבונות הצטרפו לפחות לאחת מהקבוצות. כ-12,000 חשבונות אינסטגרם.
https://about.fb.com/wp-content/uploads/2022/11/Quarterly-Adversarial-Threat-Report-Q2-2022-1.pdf
👍2
ארה"ב אוסרת ייבוא או מכירה של ציוד הנחשב "כסכנה בלתי מתקבלת על הדעת לביטחון הלאומי" - של הענקיות הסיניות Huawei Technologies ו-ZTE.
שתי החברות היו ברשימת חברות המהוות איום על ידי ועדת התקשורת הפדרלית (FCC), והכללים החדשים מונעים הרשאות עתידיות לציוד שלהן.
"ה-FCC מחויב להגן על הביטחון הלאומי שלנו על ידי הבטחה שציוד תקשורת לא אמין אינו מורשה לשימוש בגבולותינו", אמרה יו"ר FCC.
היא הוסיפה כי הכללים החדשים הם חלק מהעבודה השוטפת להגנה מפני איומי אבטחה.
הצו משפיע גם על חברות בנות וחברות ציוד מעקב וידאו Hangzhou Hikvision ו-Dahua Technology.
בעבר, וושינגטון אסרה על Huawei לספק מערכות ממשלתיות בארה"ב ומנעה בתוקף את השימוש בציוד שלה במגזר הפרטי, מתוך חשש שציוד Huawei עלול להיפגע על ידי המודיעין הסיני.
בשנת 2019, היא הכניסה את Huawei לרשימה שחורה של סחר ואסרה על ספקים לעשות איתה עסקים, וניתקה את החברה הסינית, ממערכת ההפעלה של גוגל לאנדרואיד.
https://www.fcc.gov/document/fcc-bans-authorizations-devices-pose-national-security-threat
שתי החברות היו ברשימת חברות המהוות איום על ידי ועדת התקשורת הפדרלית (FCC), והכללים החדשים מונעים הרשאות עתידיות לציוד שלהן.
"ה-FCC מחויב להגן על הביטחון הלאומי שלנו על ידי הבטחה שציוד תקשורת לא אמין אינו מורשה לשימוש בגבולותינו", אמרה יו"ר FCC.
היא הוסיפה כי הכללים החדשים הם חלק מהעבודה השוטפת להגנה מפני איומי אבטחה.
הצו משפיע גם על חברות בנות וחברות ציוד מעקב וידאו Hangzhou Hikvision ו-Dahua Technology.
בעבר, וושינגטון אסרה על Huawei לספק מערכות ממשלתיות בארה"ב ומנעה בתוקף את השימוש בציוד שלה במגזר הפרטי, מתוך חשש שציוד Huawei עלול להיפגע על ידי המודיעין הסיני.
בשנת 2019, היא הכניסה את Huawei לרשימה שחורה של סחר ואסרה על ספקים לעשות איתה עסקים, וניתקה את החברה הסינית, ממערכת ההפעלה של גוגל לאנדרואיד.
https://www.fcc.gov/document/fcc-bans-authorizations-devices-pose-national-security-threat
טוויטר 2.0, שצפוי להיות מה שמכונה "everything app".
מנכ"ל טוויטר אילון מאסק אישר תוכניות להצפנה מקצה לקצה (E2EE) עבור הודעות ישירות בפלטפורמה.
פלטפורמות הודעות כמו Signal, Threema, WhatsApp, iMessage, Wire, Tox ו-Keybase, כבר תומכות בהצפנה להודעות.
מאסק הוסיף כי הרשמות משתמשים חדשים לפלטפורמת המדיה החברתית נמצאות ב"שיא של כל הזמנים", בממוצע של למעלה משני מיליון ביום בשבעת הימים האחרונים נכון ל-16 בנובמבר, עלייה של 66% בהשוואה לאותו שבוע ב-2021. טוויטר יש יותר מ-253.8 מיליון משתמשים פעילים יומיים (monetizable daily active users-mDAU) הניתנים לרווחים.
הצגת המנויים החדשה אמורה להיות מושקת כבר ב-2 בדצמבר 2022, עם מערכת אימות רב צבעונית שמטרתה להעניק תגי זהב לחברות, אפור לממשלות וכחול לחשבונות בודדים.
https://www.themobileindian.com/news/twitter-2-0-heres-whats-coming
מנכ"ל טוויטר אילון מאסק אישר תוכניות להצפנה מקצה לקצה (E2EE) עבור הודעות ישירות בפלטפורמה.
פלטפורמות הודעות כמו Signal, Threema, WhatsApp, iMessage, Wire, Tox ו-Keybase, כבר תומכות בהצפנה להודעות.
מאסק הוסיף כי הרשמות משתמשים חדשים לפלטפורמת המדיה החברתית נמצאות ב"שיא של כל הזמנים", בממוצע של למעלה משני מיליון ביום בשבעת הימים האחרונים נכון ל-16 בנובמבר, עלייה של 66% בהשוואה לאותו שבוע ב-2021. טוויטר יש יותר מ-253.8 מיליון משתמשים פעילים יומיים (monetizable daily active users-mDAU) הניתנים לרווחים.
הצגת המנויים החדשה אמורה להיות מושקת כבר ב-2 בדצמבר 2022, עם מערכת אימות רב צבעונית שמטרתה להעניק תגי זהב לחברות, אפור לממשלות וכחול לחשבונות בודדים.
https://www.themobileindian.com/news/twitter-2-0-heres-whats-coming
👍1
כמעט 500 מיליון רשומות משתמשי WhatsApp נמכרו באינטרנט
מסד הנתונים מכיל נתוני משתמשי WhatsApp מ-84 מדינות כאשר למצרים יש את הנתח הגדול ביותר של מספרי טלפון גנובים (45 מיליון), איטליה עם 35 מיליון וארה"ב עם 32 מיליון.
התוקפים מוכנים למכור את מערך הנתונים בארה"ב ב-7000 דולר, את הבריטי ב-2500 דולר ואת הגרמני ב-2000 דולר.
https://www.ndtv.com/world-news/whatsapp-data-leaked-data-phone-numbers-of-500-million-whatsapp-users-leaked-up-for-sale-online-report-3558403
מסד הנתונים מכיל נתוני משתמשי WhatsApp מ-84 מדינות כאשר למצרים יש את הנתח הגדול ביותר של מספרי טלפון גנובים (45 מיליון), איטליה עם 35 מיליון וארה"ב עם 32 מיליון.
התוקפים מוכנים למכור את מערך הנתונים בארה"ב ב-7000 דולר, את הבריטי ב-2500 דולר ואת הגרמני ב-2000 דולר.
https://www.ndtv.com/world-news/whatsapp-data-leaked-data-phone-numbers-of-500-million-whatsapp-users-leaked-up-for-sale-online-report-3558403
👍1
פגיעות במחשבים ניידים של Acer מאפשרת לתוקפים להשבית את האתחול המאובטח ולעקוף הגנות אבטחה כדי להתקין תוכנות זדוניות.
הפגיעות, במעקב כ-CVE-2022-4020 (ציון CVSS של 8.1), זוהתה במנהל ההתקן HQSwSmiDxe DXE, שבודק את קיומו של המשתנה 'BootOrderSecureBootDisable' NVRAM כדי להשבית את האתחול המאובטח.
חברת Acer מסבירה שהפגיעות עשויה לאפשר לתוקף להתעסק בהגדרות אתחול מאובטח פשוט על ידי יצירת משתני NVRAM. מכיוון שמנהל הקושחה המושפע רק בודק את קיומם של המשתנים, הערך האמיתי שלהם אינו חשוב.
דגמי המכשירים המושפעים, אומרת יצרנית המחשבים, כוללים את Aspire A315-22, A115-21 ו-A315-22G, ו-Extensa EX215-21 ו-EX215-21G.
מציינים בחברה "Acer עובדת על עדכון BIOS כדי לפתור בעיה זו שתפורסם באתר התמיכה של Acer. Acer ממליצה לעדכן את ה-BIOS שלך לגרסה העדכנית ביותר כדי לפתור בעיה זו. עדכון זה ייכלל כעדכון קריטי של Windows".
https://community.acer.com/en/kb/articles/15520-security-vulnerability-regarding-vulnerability-that-may-allow-changes-to-secure-boot-settings
הפגיעות, במעקב כ-CVE-2022-4020 (ציון CVSS של 8.1), זוהתה במנהל ההתקן HQSwSmiDxe DXE, שבודק את קיומו של המשתנה 'BootOrderSecureBootDisable' NVRAM כדי להשבית את האתחול המאובטח.
חברת Acer מסבירה שהפגיעות עשויה לאפשר לתוקף להתעסק בהגדרות אתחול מאובטח פשוט על ידי יצירת משתני NVRAM. מכיוון שמנהל הקושחה המושפע רק בודק את קיומם של המשתנים, הערך האמיתי שלהם אינו חשוב.
דגמי המכשירים המושפעים, אומרת יצרנית המחשבים, כוללים את Aspire A315-22, A115-21 ו-A315-22G, ו-Extensa EX215-21 ו-EX215-21G.
מציינים בחברה "Acer עובדת על עדכון BIOS כדי לפתור בעיה זו שתפורסם באתר התמיכה של Acer. Acer ממליצה לעדכן את ה-BIOS שלך לגרסה העדכנית ביותר כדי לפתור בעיה זו. עדכון זה ייכלל כעדכון קריטי של Windows".
https://community.acer.com/en/kb/articles/15520-security-vulnerability-regarding-vulnerability-that-may-allow-changes-to-secure-boot-settings
👍2
קבוצת Meta נקנסה ב-265 מיליון אירו (275.5 מיליון דולר) על ידי DPC על הפרות GDPR בגין דליפת מידע של פייסבוק בשנת 2021 שחשפה מידע על 533 מיליון משתמשים.
הנתונים שנחשפו כללו מידע אישי, כגון מספרי סלולר, מזהי פייסבוק, שמות, מגדרים, מיקומים, סטטוסים של מערכת יחסים, עיסוקים, תאריכי לידה וכתובות דוא"ל.
פייסבוק, אמרה שהתוקפים ניצולו פגם בכלי "Contact Importer" כדי לשייך מספרי טלפון למזהה פייסבוק ואז לבנות פרופיל עבור המשתמש.
הפלטפורמה אמרה שהם תיקנו את הבאג ב-2019, והנתונים נאספו לפני כן.
החקירה של DPC הגיעה למסקנה כי Meta (אז פייסבוק) הפרה את סעיפים 25(1) ו-25(2) של ה-GDPR
ה-DPC נחשב לחוד החנית בתאימות ל-GDPR באיחוד האירופי בשל חברות טכנולוגיה רבות הפועלות מאירלנד.
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry
הנתונים שנחשפו כללו מידע אישי, כגון מספרי סלולר, מזהי פייסבוק, שמות, מגדרים, מיקומים, סטטוסים של מערכת יחסים, עיסוקים, תאריכי לידה וכתובות דוא"ל.
פייסבוק, אמרה שהתוקפים ניצולו פגם בכלי "Contact Importer" כדי לשייך מספרי טלפון למזהה פייסבוק ואז לבנות פרופיל עבור המשתמש.
הפלטפורמה אמרה שהם תיקנו את הבאג ב-2019, והנתונים נאספו לפני כן.
החקירה של DPC הגיעה למסקנה כי Meta (אז פייסבוק) הפרה את סעיפים 25(1) ו-25(2) של ה-GDPR
ה-DPC נחשב לחוד החנית בתאימות ל-GDPR באיחוד האירופי בשל חברות טכנולוגיה רבות הפועלות מאירלנד.
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-facebook-data-scraping-inquiry
👍1
גוגל הודיעה על Chrome 108 עם תיקונים ל-28 פגיעויות, כמתוכם 22 שדווחו על ידי חוקרים חיצוניים.
החמור ביותר מבין הבאגים הללו, היא CVE-2022-4174, בעיה במנוע V8 JavaScript של דפדפן האינטרנט, וזיכתה את חוקר בפרס של 15,000 דולר.
העדכון Chrome יוצאת כעת כגרסה 108.0.5359.71 עבור Mac ו-Linux וכגרסה 108.0.5359.71/72 עבור Windows.
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_29.html?m=1
החמור ביותר מבין הבאגים הללו, היא CVE-2022-4174, בעיה במנוע V8 JavaScript של דפדפן האינטרנט, וזיכתה את חוקר בפרס של 15,000 דולר.
העדכון Chrome יוצאת כעת כגרסה 108.0.5359.71 עבור Mac ו-Linux וכגרסה 108.0.5359.71/72 עבור Windows.
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_29.html?m=1
👍3
האקרים זורקים מידע שאספו מ- Medibank, ומכריזים 'התיק סגור'
התוקפים שפרצו למדיבנק ביקשו כופר של 9.7 מיליון דולר כדי לא לפרסם את המידע, בחשבון סנדלרים דולר לכל לקוח בחברה, בניהם ראש ממשלת אוסטרליה.
אחרי מדיבנק סירבה לשלם על פי דרישת הממשלה, פרסמו את כל הנתונים באינטרנט, במקביל ליום אבטחת המחשב הבינלאומי.
"יום אבטחת סייבר שמח", הם כתבו.
החשד שמבצעי התקיפה כנראה קשורים לקבוצה הרוסית REvil
שרי ממשלת אוסטרליה כינו את ההאקרים באופן שונה "זבל", "פושעים מלוכלכים" ו"חמולי זהב גנוב".
https://www.rfi.fr/en/business-and-tech/20221201-hackers-dump-australian-health-data-online-declare-case-closed
התוקפים שפרצו למדיבנק ביקשו כופר של 9.7 מיליון דולר כדי לא לפרסם את המידע, בחשבון סנדלרים דולר לכל לקוח בחברה, בניהם ראש ממשלת אוסטרליה.
אחרי מדיבנק סירבה לשלם על פי דרישת הממשלה, פרסמו את כל הנתונים באינטרנט, במקביל ליום אבטחת המחשב הבינלאומי.
"יום אבטחת סייבר שמח", הם כתבו.
החשד שמבצעי התקיפה כנראה קשורים לקבוצה הרוסית REvil
שרי ממשלת אוסטרליה כינו את ההאקרים באופן שונה "זבל", "פושעים מלוכלכים" ו"חמולי זהב גנוב".
https://www.rfi.fr/en/business-and-tech/20221201-hackers-dump-australian-health-data-online-declare-case-closed
🔥1
התוכנה הזדונית, Schoolyard Bully Trojan, מכוונת ליותר מ-300,000 קורבנות הממוקמים ב-71 מדינות.
התוכנה Schoolyard Bully מסתמכת על זריקות JavaScript כדי להציג דפי פישינג שנועדו להערים על משתמשים למסור את שם המשתמש והסיסמה שלהם בפייסבוק.
התוכנה הזדונית גם עוזרת לתוקף לאסוף מידע כגון שם פרופיל פייסבוק, מזהה פייסבוק ופרטי מכשיר.
https://www.zimperium.com/blog/schoolyard-bully-trojan-facebook-credential-stealer/
התוכנה Schoolyard Bully מסתמכת על זריקות JavaScript כדי להציג דפי פישינג שנועדו להערים על משתמשים למסור את שם המשתמש והסיסמה שלהם בפייסבוק.
התוכנה הזדונית גם עוזרת לתוקף לאסוף מידע כגון שם פרופיל פייסבוק, מזהה פייסבוק ופרטי מכשיר.
https://www.zimperium.com/blog/schoolyard-bully-trojan-facebook-credential-stealer/
👍2
קובצי ZIP ו-RAR, הם סוגי הקבצים הנפוצים ביותר לאספקת תוכנות זדוניות. הם עלו על קבצי Office בפעם הראשונה מזה שלוש שנים.
44% מהתוכנות הזדוניות נמסרו בתוך קבצי ארכיון פופולריים, מה שמסמן עלייה של 11% מהרבעון הקודם, לאחר ניתוח מיליוני נקודות קצה. 32% מהתוכנות הזדוניות הועברו דרך קובצי Office, כגון Microsoft Word, Excel ו-PowerPoint.
מומחים צפו במספר קמפיינים שבהם פושעי סייבר מטמיעים ארכיונים זדוניים בקובצי HTML כדי לעקוף שערי דוא"ל ולהשיק התקפות.
לדוגמה, קמפיינים אחרונים של QakBot ו- IceID השתמשו בקובצי HTML כדי להפנות משתמשים לצופי מסמכים מקוונים מזויפים שהתחזו לאדובי. לאחר מכן, המשתמשים קיבלו הוראה לפתוח קובץ ZIP ולהזין סיסמה כדי לפרוק את הקבצים, ולאחר מכן פרסו תוכנות זדוניות במחשבים שלהם
https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q3-2022/
44% מהתוכנות הזדוניות נמסרו בתוך קבצי ארכיון פופולריים, מה שמסמן עלייה של 11% מהרבעון הקודם, לאחר ניתוח מיליוני נקודות קצה. 32% מהתוכנות הזדוניות הועברו דרך קובצי Office, כגון Microsoft Word, Excel ו-PowerPoint.
מומחים צפו במספר קמפיינים שבהם פושעי סייבר מטמיעים ארכיונים זדוניים בקובצי HTML כדי לעקוף שערי דוא"ל ולהשיק התקפות.
לדוגמה, קמפיינים אחרונים של QakBot ו- IceID השתמשו בקובצי HTML כדי להפנות משתמשים לצופי מסמכים מקוונים מזויפים שהתחזו לאדובי. לאחר מכן, המשתמשים קיבלו הוראה לפתוח קובץ ZIP ולהזין סיסמה כדי לפרוק את הקבצים, ולאחר מכן פרסו תוכנות זדוניות במחשבים שלהם
https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q3-2022/
👍3
אישורי ספקי אנדרואיד כמו Samsung, LG ו-MediaTek נמצאו מנוצלים לרעה כדי לחתום על אפליקציות זדוניות.
"תעודת פלטפורמה היא אישור החתימה על האפליקציה המשמשת לחתימה על אפליקציית 'אנדרואיד' במערכת", נכתב בדו"ח שהוגש באמצעות יוזמת ה-Android Partner Vulnerability Initiative (AVPI).
"האפליקציה 'אנדרואיד' פועלת עם מזהה משתמש בעל זכויות יתר - android.uid.system - ומחזיקה בהרשאות מערכת, כולל הרשאות גישה לנתוני משתמש."
משמעות הדבר היא למעשה שיישום רע שנחתם עם אותו אישור יכול לקבל את הרמה הגבוהה ביותר של הרשאות כמו מערכת ההפעלה אנדרואיד, מה שמאפשר לה לאסוף כל מיני מידע רגיש ממכשיר שנפגע.
גוגל אמרה ש"היא הודיעה לכל הספקים המושפעים לשנות את האישורים ושאין הוכחות שהאפליקציות הללו נמסרו דרך Play Store, וממליצים למשתמשים לוודא שהם מריצים את הגרסה העדכנית ביותר של אנדרואיד."
הרשימה של חבילות אפליקציות אנדרואיד זדוניות שניצלו לרעה בקישור
https://android-developers.googleblog.com/2020/10/announcing-launch-of-android-partner.html
"תעודת פלטפורמה היא אישור החתימה על האפליקציה המשמשת לחתימה על אפליקציית 'אנדרואיד' במערכת", נכתב בדו"ח שהוגש באמצעות יוזמת ה-Android Partner Vulnerability Initiative (AVPI).
"האפליקציה 'אנדרואיד' פועלת עם מזהה משתמש בעל זכויות יתר - android.uid.system - ומחזיקה בהרשאות מערכת, כולל הרשאות גישה לנתוני משתמש."
משמעות הדבר היא למעשה שיישום רע שנחתם עם אותו אישור יכול לקבל את הרמה הגבוהה ביותר של הרשאות כמו מערכת ההפעלה אנדרואיד, מה שמאפשר לה לאסוף כל מיני מידע רגיש ממכשיר שנפגע.
גוגל אמרה ש"היא הודיעה לכל הספקים המושפעים לשנות את האישורים ושאין הוכחות שהאפליקציות הללו נמסרו דרך Play Store, וממליצים למשתמשים לוודא שהם מריצים את הגרסה העדכנית ביותר של אנדרואיד."
הרשימה של חבילות אפליקציות אנדרואיד זדוניות שניצלו לרעה בקישור
https://android-developers.googleblog.com/2020/10/announcing-launch-of-android-partner.html
👍2
ה-FBI מזהירים הכופר "קובה" ממקד לתשתית קריטית
פעילי קובה מכוונים באופן פעיל למגזרי תשתית קריטיים לרבות מוסדות פיננסיים, מבני ממשלה, מגזר הבריאות, ייצור וטכנולוגיית מידע.
החבורה זוכה לשמה מהסיומת "cuba" שהיא מוסיפה לקבצים מוצפנים
ה-FBI זיהה שחקני כופר בקובה ביותר מ-100 ישויות ברחבי העולם.
בין קורבנותיה: ממשלת מונטנגרו, מהתקיפה באוגוסט
האזהרה האחרונה היא המשך להתראת ה-FBI מדצמבר 2021 שפורסמה שהיקף הסחיטה של קובה עומד על 43.9 מיליון דולר.
הקבוצה שינתה את הטכניקות שלה במהלך חצי השנה האחרונה, וקיים קשר ברור בין שחקני RomCom RAT, לבין שחקני תוכנת כופר Industrial Spy.
הדו"ח של פאלו אלטו מציין כי קובה ניצלה את CVE-2022-24521 במנהל ההתקן של Windows Common Log File System כדי לגנוב אישורי מערכת ולהעלות הרשאות, השתמשה בסקריפט PowerShell לצורך סיור, פרסה כלי בשם KerberCache כדי לפצח כרטיסי Kerberos במצב לא מקוון באמצעות חולשה Kerberoasting חולשה CVE-2020-1472 כדי לקבל הרשאות ניהול.
https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/
פעילי קובה מכוונים באופן פעיל למגזרי תשתית קריטיים לרבות מוסדות פיננסיים, מבני ממשלה, מגזר הבריאות, ייצור וטכנולוגיית מידע.
החבורה זוכה לשמה מהסיומת "cuba" שהיא מוסיפה לקבצים מוצפנים
ה-FBI זיהה שחקני כופר בקובה ביותר מ-100 ישויות ברחבי העולם.
בין קורבנותיה: ממשלת מונטנגרו, מהתקיפה באוגוסט
האזהרה האחרונה היא המשך להתראת ה-FBI מדצמבר 2021 שפורסמה שהיקף הסחיטה של קובה עומד על 43.9 מיליון דולר.
הקבוצה שינתה את הטכניקות שלה במהלך חצי השנה האחרונה, וקיים קשר ברור בין שחקני RomCom RAT, לבין שחקני תוכנת כופר Industrial Spy.
הדו"ח של פאלו אלטו מציין כי קובה ניצלה את CVE-2022-24521 במנהל ההתקן של Windows Common Log File System כדי לגנוב אישורי מערכת ולהעלות הרשאות, השתמשה בסקריפט PowerShell לצורך סיור, פרסה כלי בשם KerberCache כדי לפצח כרטיסי Kerberos במצב לא מקוון באמצעות חולשה Kerberoasting חולשה CVE-2020-1472 כדי לקבל הרשאות ניהול.
https://unit42.paloaltonetworks.com/cuba-ransomware-tropical-scorpius/
👍1
מה דעתך על התנהלות חברת medibank ?
Anonymous Poll
48%
ככה צריך לנהוג, אסור לשלם !!
36%
עדיף שיפצו את הלקוחות במקום את התוקפים
16%
חוסר אחריות
👍1
חנות InTheBox בDarknet לתוכנות זדוניות, פעילה מ01/20 עם למעלה מ-400 הזרקות אינטרנט מותאמות אישית מקובצות לפי גיאוגרפיה, שניתן לרכוש למעוניינים לבצע התקפות.
הזרקות אינטרנט הן חבילות המשמשות בתוכנות זדוניות פיננסיות הממנפות את וקטור ההתקפה של היריב בדפדפן (AitB adversary-in-the-browser) כדי להגיש קוד HTML או JavaScript זדוני בצורה של מסך שכבת-על כאשר הקורבנות משיקים בנקאות, קריפטו, תשלומים, מסחר אלקטרוני , אימייל או אפליקציית מדיה חברתית.
דפים אלה דומים בדרך כלל לדף אינטרנט לגיטימי של התחברות בנקאי ומבקשים ממשתמשים שלא מדעתם להזין נתונים סודיים כגון אישורים, נתוני כרטיס תשלום, מספרי תעודת זהות (SSN), ערך אימות כרטיס (CVV) המשמש לאחר מכן כדי לסכן את חשבון הבנק ולבצע הונאה .
הInTheBox נגיש דרך Tor מציע מגוון תבניות להזרקת אינטרנט למכירה, כאשר הרישום נגיש רק לאחר שלקוח נבדק על ידי המנהל והחשבון מופעל.
https://resecurity.com/blog/article/in-the-box-mobile-malware-webinjects-marketplace
הזרקות אינטרנט הן חבילות המשמשות בתוכנות זדוניות פיננסיות הממנפות את וקטור ההתקפה של היריב בדפדפן (AitB adversary-in-the-browser) כדי להגיש קוד HTML או JavaScript זדוני בצורה של מסך שכבת-על כאשר הקורבנות משיקים בנקאות, קריפטו, תשלומים, מסחר אלקטרוני , אימייל או אפליקציית מדיה חברתית.
דפים אלה דומים בדרך כלל לדף אינטרנט לגיטימי של התחברות בנקאי ומבקשים ממשתמשים שלא מדעתם להזין נתונים סודיים כגון אישורים, נתוני כרטיס תשלום, מספרי תעודת זהות (SSN), ערך אימות כרטיס (CVV) המשמש לאחר מכן כדי לסכן את חשבון הבנק ולבצע הונאה .
הInTheBox נגיש דרך Tor מציע מגוון תבניות להזרקת אינטרנט למכירה, כאשר הרישום נגיש רק לאחר שלקוח נבדק על ידי המנהל והחשבון מופעל.
https://resecurity.com/blog/article/in-the-box-mobile-malware-webinjects-marketplace
👍3
ארגון Offensive Security שחרר את Kali Linux 2022.4, הגרסה האחרונה של 2022, עם אימגים חדשים ל- Azure ו-QEMU, ובנוסף 6 כלים חדשים וחוויות שולחן עבודה משופרות.
צוות Kali Linux מציג מגוון תכונות חדשות, כולל:
ההפצה של Kali Linux ל-Microsoft Azure
שישה כלים חדשים.
שחרור של Kali NetHunter Pro
עדכוני שולחן העבודה של Gnome ו-KDE Plasma
תמיכת ARM משופרת
השירות של Kali Linux זמין כעת ב-Azure Marketplace, ומאפשר לך לבצע בדיקות חדירה מהענן.
6 הכלים החדשים בגירסה :
bloodhound . py - מנתח ניתונים
certipy - AD ניצול חולשות ב
hak5-wifi-coconut - מנהל התקן
ldapdomaindump - Active Directory דרך LDAP
peass-ng - כלי הסלמה של הרשאות
rizin-cutter - פלטפורמת הנדסה הפוכה
https://www.kali.org/blog/kali-linux-2022-4-release/#new-tools-in-kali
צוות Kali Linux מציג מגוון תכונות חדשות, כולל:
ההפצה של Kali Linux ל-Microsoft Azure
שישה כלים חדשים.
שחרור של Kali NetHunter Pro
עדכוני שולחן העבודה של Gnome ו-KDE Plasma
תמיכת ARM משופרת
השירות של Kali Linux זמין כעת ב-Azure Marketplace, ומאפשר לך לבצע בדיקות חדירה מהענן.
6 הכלים החדשים בגירסה :
bloodhound . py - מנתח ניתונים
certipy - AD ניצול חולשות ב
hak5-wifi-coconut - מנהל התקן
ldapdomaindump - Active Directory דרך LDAP
peass-ng - כלי הסלמה של הרשאות
rizin-cutter - פלטפורמת הנדסה הפוכה
https://www.kali.org/blog/kali-linux-2022-4-release/#new-tools-in-kali
👍4
קבוצת ניתוח האיומים של גוגל (TAG) שיתפה פרטים טכניים על פגיעות בZero-day של Internet Explorer שנוצלה בהתקפות של קבוצת הפריצה הצפון קוריאנית APT37.
פגיעות CVE-2022-41128 (ציון CVSS של 8.8), זוהתה במנוע ה-JavaScript 'JScript9' של הדפדפן וניתן לנצל אותה על ידי תוקפים מרוחקים כדי להפעיל קוד שרירותי על מערכת יעד.
גוגל מתארת את פגם האבטחה כבעיית אופטימיזציה שגויה של JIT . הבאג דומה ל-CVE-2021-34480, פגם ב-JScript9 שתוקן בשנה שעברה.
"פגיעות זו מחייבת שמשתמש עם גרסה מושפעת של Windows ייגש לשרת זדוני. תוקף יצטרך לארח שיתוף שרת או אתר אינטרנט בעל מבנה מיוחד", הזהירה אז מיקרוסופט.
המסמך הזדוני תוכנן להביא תבנית מרחוק של קובץ טקסט עשיר (RTF), אשר בתוכו הורידה תוכן HTML מרוחק ש-Office יציג באמצעות Internet Explorer.
אם יגיע ממקור חיצוני, המסמך יוחל ב-Mark-of-the-Web, והמשתמש יצטרך להשבית את 'התצוגה המוגנת' ב-Office כדי להוריד את תבנית ה-RTF המרוחקת.
https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/
פגיעות CVE-2022-41128 (ציון CVSS של 8.8), זוהתה במנוע ה-JavaScript 'JScript9' של הדפדפן וניתן לנצל אותה על ידי תוקפים מרוחקים כדי להפעיל קוד שרירותי על מערכת יעד.
גוגל מתארת את פגם האבטחה כבעיית אופטימיזציה שגויה של JIT . הבאג דומה ל-CVE-2021-34480, פגם ב-JScript9 שתוקן בשנה שעברה.
"פגיעות זו מחייבת שמשתמש עם גרסה מושפעת של Windows ייגש לשרת זדוני. תוקף יצטרך לארח שיתוף שרת או אתר אינטרנט בעל מבנה מיוחד", הזהירה אז מיקרוסופט.
המסמך הזדוני תוכנן להביא תבנית מרחוק של קובץ טקסט עשיר (RTF), אשר בתוכו הורידה תוכן HTML מרוחק ש-Office יציג באמצעות Internet Explorer.
אם יגיע ממקור חיצוני, המסמך יוחל ב-Mark-of-the-Web, והמשתמש יצטרך להשבית את 'התצוגה המוגנת' ב-Office כדי להוריד את תבנית ה-RTF המרוחקת.
https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/
👍1
חוקרים גילו שיטה גנרית לעקוף חומות האש של יישומי אינטרנט (WAFs) של חברות Imperva, Palo Alto Networks, Cloudflare, F5.
בעקבות ניתוח של פלטפורמת ניהול ההתקנים האלחוטיים של Cambium Networks. הם גילו פגיעות של הזרקת SQL שיכולה לשמש להשגת מידע רגיש, כגון cookies, tokens, מפתחות SSH ו-hash של סיסמא.
החוקרים השתמשו בתחביר JSON כדי ליצור מטען חדש של הזרקת SQL שיעקוף את ה-WAF - מכיוון שה-WAF לא הבין אותו - תוך שהוא עדיין תקף עבור מנוע מסד הנתונים לניתוח.
באופרטור JSON '@<', שזרק את ה-WAF ללולאה ואפשר למטען לעבור למסד הנתונים הממוקד.
https://claroty.com/team82/research/js-on-security-off-abusing-json-based-sql-to-bypass-waf
בעקבות ניתוח של פלטפורמת ניהול ההתקנים האלחוטיים של Cambium Networks. הם גילו פגיעות של הזרקת SQL שיכולה לשמש להשגת מידע רגיש, כגון cookies, tokens, מפתחות SSH ו-hash של סיסמא.
החוקרים השתמשו בתחביר JSON כדי ליצור מטען חדש של הזרקת SQL שיעקוף את ה-WAF - מכיוון שה-WAF לא הבין אותו - תוך שהוא עדיין תקף עבור מנוע מסד הנתונים לניתוח.
באופרטור JSON '@<', שזרק את ה-WAF ללולאה ואפשר למטען לעבור למסד הנתונים הממוקד.
https://claroty.com/team82/research/js-on-security-off-abusing-json-based-sql-to-bypass-waf
👍4
משרד הבריאות האמריקני (HHS) מזהיר את ארגוני הבריאות מפני תוכנת כופר Royal.
"רויאל היא תוכנת כופר שנצפתה לראשונה בשנת 2022 והופעתה גדלה. היא דורשת כופר של עד מיליוני דולרים. מאז הופעתו, HC3 מודע להתקפות נגד מגזר שירותי הבריאות והבריאות הציבורית (HPH)", מזהיר ה-HHS.
לפני כשבועיים, מיקרוסופט הזהירה מפני שרשראות זיהומים המובילות ל-Royal Ransomware שמנצלות לרעה את המודעות של Google לצורך פרסום רע, עוקפות הגנות דוא"ל באמצעות טפסי יצירת קשר ומשתמשות במתקינים זדוניים באתרים ובמאגרים בעלי מראה לגיטימי.
הפעולה התחילה בתחילה עם המצפין של BlackCat, אך לאחר מכן עברה ל-Zeon (הורדת פתק כופר כמו של Conti), ובספטמבר שינתה את שטר הכופר שלהם ל-Royal.
כתוב ב-C++, Royal מוחק עותקי צל לפני הצפנת קבצים, כדי למנוע התאוששות. התוכנה הזדונית מצפינה נתונים הן בכוננים המקומיים והן בשיתופי רשת באמצעות אלגוריתם AES.
בהתאם לגודל, קבצים עשויים להיות מוצפנים באופן מלא או חלקי. לאחר השלמת תהליך ההצפנה, הסיומת שלהם משתנה ל'.royal'.
https://www.hhs.gov/sites/default/files/royal-ransomware-analyst-note.pdf
"רויאל היא תוכנת כופר שנצפתה לראשונה בשנת 2022 והופעתה גדלה. היא דורשת כופר של עד מיליוני דולרים. מאז הופעתו, HC3 מודע להתקפות נגד מגזר שירותי הבריאות והבריאות הציבורית (HPH)", מזהיר ה-HHS.
לפני כשבועיים, מיקרוסופט הזהירה מפני שרשראות זיהומים המובילות ל-Royal Ransomware שמנצלות לרעה את המודעות של Google לצורך פרסום רע, עוקפות הגנות דוא"ל באמצעות טפסי יצירת קשר ומשתמשות במתקינים זדוניים באתרים ובמאגרים בעלי מראה לגיטימי.
הפעולה התחילה בתחילה עם המצפין של BlackCat, אך לאחר מכן עברה ל-Zeon (הורדת פתק כופר כמו של Conti), ובספטמבר שינתה את שטר הכופר שלהם ל-Royal.
כתוב ב-C++, Royal מוחק עותקי צל לפני הצפנת קבצים, כדי למנוע התאוששות. התוכנה הזדונית מצפינה נתונים הן בכוננים המקומיים והן בשיתופי רשת באמצעות אלגוריתם AES.
בהתאם לגודל, קבצים עשויים להיות מוצפנים באופן מלא או חלקי. לאחר השלמת תהליך ההצפנה, הסיומת שלהם משתנה ל'.royal'.
https://www.hhs.gov/sites/default/files/royal-ransomware-analyst-note.pdf
👍1
גוגל תצטרך להסיר תוצאות חיפוש על משתמשים אם הם יכולים להוכיח שזה שקרי, קבע בית המשפט האירופי לצדק בתיק "הזכות להישכח".
התיק נגד גוגל הוגש על ידי שני מנהלי השקעות שביקשו ממפעילת מנועי החיפוש להרחיק אותם ממאמרים המבקרים את מודל ההשקעה של החברה שלהם, בטענה שהמידע שפורסם שם אינו מדויק.
גוגל סירבה להיענות, בטענה נגדית שהיא לא ידעה אם המידע במאמרים הללו מדויק או לא.
בית המשפט הפדרלי לצדק בגרמניה, שבו הגישו התובעים לראשונה את תביעתם, ביקש מבית המשפט האירופי לצדק, שכן מה שמכונה "הזכות להישכח" היא עניין של תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR).
בית המשפט העליון של האיחוד האירופי שקל את המקרה ופסק לטובת התובעים, והרחיב עוד יותר את טווח הסמכות של ה-GDPR.
"לא ניתן לקחת בחשבון את הזכות לחופש הביטוי והמידע כאשר, לכל הפחות, חלק - שאינו בעל חשיבות מינורית - מהמידע המצוי בתוכן הנזכר מתגלה כלא מדויק", אמר בית המשפט בפסק הדין.
https://tech.hindustantimes.com/tech/news/right-to-be-forgotten-google-may-have-to-cut-web-links-to-wrong-info-by-short-sellers-71670656595196.html
התיק נגד גוגל הוגש על ידי שני מנהלי השקעות שביקשו ממפעילת מנועי החיפוש להרחיק אותם ממאמרים המבקרים את מודל ההשקעה של החברה שלהם, בטענה שהמידע שפורסם שם אינו מדויק.
גוגל סירבה להיענות, בטענה נגדית שהיא לא ידעה אם המידע במאמרים הללו מדויק או לא.
בית המשפט הפדרלי לצדק בגרמניה, שבו הגישו התובעים לראשונה את תביעתם, ביקש מבית המשפט האירופי לצדק, שכן מה שמכונה "הזכות להישכח" היא עניין של תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR).
בית המשפט העליון של האיחוד האירופי שקל את המקרה ופסק לטובת התובעים, והרחיב עוד יותר את טווח הסמכות של ה-GDPR.
"לא ניתן לקחת בחשבון את הזכות לחופש הביטוי והמידע כאשר, לכל הפחות, חלק - שאינו בעל חשיבות מינורית - מהמידע המצוי בתוכן הנזכר מתגלה כלא מדויק", אמר בית המשפט בפסק הדין.
https://tech.hindustantimes.com/tech/news/right-to-be-forgotten-google-may-have-to-cut-web-links-to-wrong-info-by-short-sellers-71670656595196.html
👍1