A mesterséges intelligencia (AI) fejlődése új dimenziókat nyit meg a kiberbiztonsági támadások terén, az önfejlesztő kártevőktől a társadalomra és gazdaságra is veszélyt jelentő deepfake technológiákig. A Recorded Future friss jelentése szerint a nagy nyelvi modellek (LLM) által hajtott eszközök kihasználhatók olyan kártevők fejlesztésére, amelyek képesek kijátszani a YARA szabályokat. „A generatív AI felhasználható a string-alapú YARA szabályok kijátszására a kártevő forráskódjának módosításával, jelentősen csökkentve ezzel a detektálási arányokat,” – áll a The Hacker News-szal megosztott jelentésben. Ez a felfedezés egy vörös csapat által végzett gyakorlat eredményeként született, amelynek célja az AI technológiák rosszindulatú felhasználásának feltárása volt. E technológiákat már kísérleti jelleggel alkalmazzák fenyegetési aktorok, például kártékony kódok részleteinek generálására, phishing e-mailek előállítására, valamint potenciális célpontok felderítésére. A biztonsági cég egy ismert kártevőt, az APT28 hacking csoport által használt STEELHOOK-ot és annak YARA szabályait nyújtotta be egy LLM-nek, kérve, hogy módosítsa a forráskódot úgy, hogy az eredeti funkcionalitás megmaradjon, a generált forráskód pedig szintaktikailag hibamentes legyen. E visszajelzési mechanizmus segítségével az LLM által módosított kártevő képes volt elkerülni a string-alapú YARA szabályok általi detektálást. A módszernek azonban vannak korlátai, leginkább az, hogy a modell egyszerre mennyi szöveget képes feldolgozni, ami megnehezíti a nagyobb kódbázisokon való működést. Az AI eszközök nem csupán a kártevők észrevétlen módosítására használhatók, hanem deepfake technológiák létrehozására is, amelyek magas rangú vezetőket és döntéshozókat utánoznak, vagy olyan befolyásoló műveleteket hajtanak végre, amelyek hiteles weboldalakat másolnak nagy méretekben. A generatív AI várhatóan felgyorsítja a fenyegetési aktorok képességét, hogy felderítsenek létfontosságú infrastruktúrákat és olyan információkat szerezzenek, amelyek stratégiai jelentőséggel bírhatnak további támadások során. „A multimodális modellek segítségével a nyilvános képek és videók, beleértve a légifelvételeket is, feldolgozhatók és gazdagíthatók további metaadatokkal, mint a geolokáció, a berendezések gyártói, modellek és a szoftververziók,” – mondta a cég. Valóban, a Microsoft és az OpenAI nemrég figyelmeztetett, hogy az APT28 LLM-eket használt „a műholdkommunikációs protokollok, a radar képalkotó technológiák és specifikus technikai paraméterek” megértésére, ami arra utal, hogy „mélyreható ismereteket akarnak szerezni a műholdképességekről.” Ajánlott, hogy a szervezetek alaposan vizsgálják meg a nyilvánosan elérhető képeket és videókat, amelyek érzékeny berendezéseket ábrázolnak, és szükség esetén töröljék őket, hogy csökkentsék az ilyen fenyegetések által jelentett kockázatokat. E fejlemények fényében egy tudósokból álló csoport megállapította, hogy lehetséges az LLM-eket “feltörni” és káros tartalmat előállítani azáltal, hogy bemenetként ASCII művészet formájában adnak meg kéréseket (pl. „hogyan készítsünk bombát”, ahol a BOMB szót “*” karakterekkel és szóközökkel írják). E gyakorlati támadás, az ArtPrompt nevet kapta, és az LLM-ek ASCII művészet felismerésében mutatott gyenge teljesítményét használja ki a biztonsági intézkedések megkerülésére és a modellek nem kívánt viselkedésének előidézésére. Forrás: thehackernews.com Az amerikai kiberbiztonsági és hírszerzési ügynökségek arra figyelmeztettek, hogy a Phobos zsarolóvírus támadások célkeresztjében kormányzati és kritikus infrastruktúra szervezetek állnak, kifejtve a fenyegetést jelentő szereplők által alkalmazott különféle taktikákat és technikákat a fájltitkosító kártevő telepítéséhez. “A zsarolóvírus mint szolgáltatás (RaaS) modellként strukturált Phobos zsarolóvírus szereplők olyan entitásokat céloztak meg, mint a városi és megyei kormányzatok, vészhelyzeti szolgáltatások, oktatás, közegészségügy és kritikus infrastruktúra, több millió dollárt sikeresen zsarolva ki az Egyesült Államokban,” mondta a kormány. A figyelmeztetést az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI) és a Multi-State Information Sharing and Analysis Center (MS-ISAC) adta ki. 2019 májusa óta aktív a Phobos zsarolóvírus több változatát azonosították már, nevezetesen az Eking, Eight, Elbie, Devos, Faust és Backmydata. Az elmúlt év végén a Cisco Talos felfedte, hogy a 8Base zsarolóvírus mögött álló fenyegető szereplők egy Phobos zsarolóvírus változatot használnak pénzügyileg motivált támadásaik végrehajtásához. Bizonyítékok utalnak arra, hogy a Phobos valószínűleg szorosan egy központi hatóság által kezelt, amely irányítja a zsarolóvírus privát dekódoló kulcsát. A zsarolóvírus törzsével kapcsolatos támadási láncok tipikusan phishinget használtak kezdeti hozzáférési vektorként az észrevétlen terhelések, mint a SmokeLoader leejtéséhez. Alternatív megoldásként a sebezhető hálózatokat RDP szolgáltatásoknak kitett pontjainak vadászatával törték fel, kihasználva őket brutális erő támadásokkal. Egy sikeres digitális betörést követően a fenyegető szereplők további távoli hozzáférési eszközöket dobnak le, kihasználva a folyamatok injektálási technikáit a rosszindulatú kód végrehajtásához és az észlelés elkerüléséhez, valamint Windows Registry módosításokat végeznek a kompromittált környezeteken belüli kitartás fenntartása érdekében. “Továbbá, a Phobos szereplőket megfigyelték, hogy beépített Windows API funkciókat használnak tokenek lopására, hozzáférési kontrollok megkerülésére és új folyamatok létrehozására a privilégiumok kiterjesztésére a SeDebugPrivilege folyamat kihasználásával,” mondták az ügynökségek. “A Phobos szereplők megkísérlik az azonosítást a célgépeken tárolt jelszó hash-ek használatával, amíg el nem érik a domain adminisztrátori hozzáférést.” Az e-bűnözési csoport ismert arról, hogy nyílt forráskódú eszközöket, mint a Bloodhound és Sharphound használ az aktív könyvtár felsorolásához. A fájlkivonás a WinSCP és Mega.io segítségével történik, amely után a kötetárnyék másolatok törlésre kerülnek a helyreállítás megnehezítése érdekében. A közlemény akkor került kiadásra, amikor a Bitdefender részletesen beszámolt egy gondosan koordinált zsarolóvírus-támadásról, amely egyszerre érintett két különálló céget. A támadást, amelyet szinkronizáltnak és sokrétűnek írtak le, egy CACTUS nevű zsarolóvírus-szereplőnek tulajdonítottak. “CACTUS tovább folytatta az egyik szervezet hálózatának infiltrálását, különféle típusú távoli hozzáférési eszközöket és alagutakat ültetve be különböző szervereken,” mondta Martin Zugec, a Bitdefender technikai megoldások igazgatója egy múlt héten közzétett jelentésben. “Amikor lehetőséget találtak egy másik céghez való átmozgásra, pillanatnyilag felfüggesztették műveletüket, hogy infiltrálják a másik hálózatot. Mindkét cég ugyanannak a csoportnak a része, de függetlenül működnek, külön hálózatokat és domaineket fenntartva bármilyen megalapozott bizalmi kapcsolat nélkül.” A támadás azért is figyelemre méltó, mert célba vette a megnevezetlen cég virtualizációs infrastruktúráját, jelezve, hogy a CACTUS szereplők túlléptek a Windows hosztokon, hogy Hyper-V és VMware ESXi hosztokat támadjanak meg. Ezen felül kihasznált egy kritikus biztonsági rést (CVE-2023-38035, CVSS pontszám: 9.8) egy interneten keresztül elérhető Ivanti Sentry szerveren, kevesebb mint 24 órával az eredeti közzététel után 2023 augusztusában, ismét kiemelve az újonnan közzétett sebezhetőségek opportunista és gyors fegyveresítését. A zsarolóvírus továbbra is jelentős pénzforrás a pénzügyileg motivált fenyegető szereplők számára, az első zsarolóvírus-követelések mediánja elérte a 600 000 dollárt 2023-ban, 20%-os ugrás az előző évről az Arctic Wolf szerint. 2023 negyedik negyedévében az átlagos zsarolófizetés 568 705 dollár áldozatonként. Ráadásul a zsarolásnak való engedés nem jelent jövőbeli védelmet. Nincs garancia arra, hogy az áldozat adatai és rendszerei biztonságosan helyreállnak, és hogy a támadók nem adják el az ellopott adatokat az alvilági fórumokon vagy újra támadják őket. A Cybereason által megosztott adatok szerint “megdöbbentő 78% [a szervezetek] újra megtámadásra került a zsarolás kifizetése után – 82% belülük egy éven belül”, néhány esetben ugyanazon fenyegető szereplő által. Ezekből az áldozatokból 63%-ot “másodszor többet kellett fizetniük.” Forrás: thehackernews.com Az ESET biztonsági szolgáltató kutatói feltárták egy kétágú, hibrid háborús kibertámadást, amely pszichooperációs és hitelesítési adatok ellopását célzó kampányokat foglal magában, Ukrajna polgárai és vállalkozásai ellen. Kutatók Felfedik Az Oroszokkal Összhangban Álló Pszichooperációs Kampányt, Az ‘Operáció Texonto’ Az ESET biztonsági szolgáltató kutatói megerősítették, hogy felfedeztek egy kiberpszichooperációs kampányt, amelyet ‘Operáció Texonto’ néven azonosítottak, miután elemeztek két hullámnyi pszichooperációs üzenetet, amelyeket 2023 novemberében és decemberében küldtek. A tartalmak tipikus orosz propagandatémák köré épültek, mint például a gyógyszer- és élelmiszerhiány, valamint az ukrán polgárok fűtésének megszakítása. A cél úgy tűnik, hogy az ukrán polgárokat meggyőzzék, Oroszország nyeri a háborút. A háborúval kapcsolatos dezinformációt spam e-mailek útján terjesztették. Októberben a kutatók egy lándzsás phishing kampányt is láttak, amely az ukrán szervezeteket, beleértve egy védelmi vállalatot, és az EU ügynökségeit célozta meg. Ennek célja a Microsoft Office 365 fiókok bejelentkezési adatainak ellopása volt. Az ESET szerint “a PSYOPs és a phishing műveletekben használt hálózati infrastruktúra hasonlóságai miatt” nagy biztonsággal állítható, hogy ezek összekapcsolódnak. Az Operáció Texontót Magas Biztonsággal Oroszbarát Műveletekhez Tulajdonítják Az Operáció Texonto-t, amelyet az ESET Kutatás “magas biztonsággal egy Oroszországgal összhangban álló csoportnak” tulajdonít, úgy tűnik, hogy hasonlít az előző műveletekre, amelyeket egy Oroszországgal összhangban álló fejlett tartós fenyegetéscsoport, a Callisto hajtott végre. Azonban az ezen legújabb kibertámadások felfedezéséért felelős ESET kutató, Matthieu Faou szerint technikai átfedés hiányában “jelenleg nem tulajdonítjuk az Operáció Texonto-t egy konkrét fenyegetési szereplőnek.” Faou szerint az ESET az utóbbi hónapokban növekedést látott a kiberkémkedési műveletekben. “A kémkedés, információs műveletek és hamis gyógyszertár üzenetek furcsa keveréke,” mondja Faou, “csak emlékeztetni tud minket a Callistóra, egy jól ismert Oroszországgal összhangban álló kiberkémkedési csoportra, amelynek néhány tagja az Egyesült Államok Igazságügyi Minisztériumának 2023 decemberében kelt vádiratának tárgya volt.” A hamis gyógyszertár üzenetek aspektusa érdekes, mivel ugyanazt az e-mail szervert, amelyet a támadók a pszichooperációs üzenetek küldésére használtak, két héttel később kanadai gyógyszertár spam küldésére is használták. A bűnözési és politikai tevékenységek közötti határvonalak elmosódása korántsem szokatlan, különösen Oroszországban, mint országban. Galamb Risottót Ajánl a Dezinformációs Kampány az Ukránoknak Úgy tűnik, nem tartalmazott semmilyen malware-t vagy rosszindulatú linket az első hullámnyi e-mail. “Egy olyan domain, amely az Ukrán Agrárpolitikai és Élelmezésügyi Minisztériumnak adta ki magát, azt javasolta, hogy a nem elérhető gyógyszereket helyettesítsék gyógynövényekkel,” mondja Faou, egy másik pedig azt javasolta, hogy “fogyasszanak galamb risottót”, beleértve “egy élő galamb és egy sült galamb fotóját.” Az ESET szerint a második hullám sötétebb volt, üzenetekkel, amelyek “arról tanácsoltak az embereknek, hogy amputáljanak egy lábat vagy egy karjukat, hogy elkerüljék a katonai bevetést.” META Jelentéseket Adott ki Orosz Eredetű Befolyásolási Kampányok Sikeres Leállításáról A legújabb META Adversarial Threat Report is beszámol az Ukrajnában a háború kezdete óta zajló orosz befolyásolási kampányokról. “Csapataink továbbra is magas készültségben maradnak, hogy figyeljék az e háborúval kapcsolatos ellenséges változásokat,” mondja a jelentés, “mivel Ukrajna vagy az Ukrajnával kapcsolatos kérdések maradnak a legnagyobb fókuszban az orosz eredetű befolyásolási műveletekben.” A META azt jelenti, hogy az orosz állami média által közzétett posztok mennyisége 55%-kal, az elkötelezettségi szintek pedig 94%-kal csökkentek a háború előtti szintekhez képest, mióta megkezdődtek az érvényesítési intézkedések. “A rejtett befolyásolási műveletek esetében, 2022 óta kevesebb kísérletet láttunk bonyolult csaló személyiségek felépítésére a vékonyan leplezett, rövid életű hamis fiókok javára egy internetes spamelési kísérletben, abban reménykedve, hogy valami megmarad.” A META jelentése szerint 2024-ben is folytatódni fog a spam kampányok, amelyek “nagy mennyiségű fiókot vetnek be számos internetes szolgáltatáson és weboldalon” keresztül. A Malawi Bevándorlási Osztályának nemrégiben szembe kellett néznie egy váratlan kihívással, amikor egy zsarolóvírus-támadás érte a szervezet számítógépes hálózatát. Ennek eredményeként, a kormányzat kénytelen volt ideiglenesen felfüggeszteni az útlevélkiadási folyamatot, ami már a múlt két hét során is szünetelt. Ez a döntés közvetlen hatással van a polgárokra, különösen azokra, akik munkavállalási lehetőségek után kutatnak külföldön, és sürgősen szükségük lenne útlevelükre. Lazarus Chakwera, Malawi elnöke, egy nyilatkozatban hangoztatta, hogy a támadók váltságdíjat követelnek, de a Malawi kormány nem hajlandó engedni a zsarolásnak. Az elnök világosan kifejezte, hogy az ország nem fog “megbékélni a bűnözőkkel” és nem tárgyal “azokkal, akik támadást intéznek országunk ellen”. Ez az álláspont erős üzenetet küld a kiberbűnözők felé, miszerint Malawi nem tűri a jogellenes tevékenységeket. A támadás részleteit illetően a kormányzat eddig szűkszavúan nyilatkozott. Nem tették közzé, hogy pontosan kik állnak a támadás mögött, vagy hogy bármilyen érzékeny adatot eltulajdonítottak-e. Ez a bizonytalanság további aggodalmakat vet fel az érintett polgárok körében, akik attól félnek, hogy személyes adataik illetéktelen kezekbe kerülhettek. Chakwera elnök azonban bizakodó a helyzet megoldását illetően. Kifejtette, hogy a bevándorlási osztály dolgozik egy ideiglenes megoldáson, amely lehetővé teszi az útlevélkiadás folytatását egy háromhetes határidőn belül. Továbbá, az elnök hangsúlyozta, hogy a kormány hosszú távú tervet dolgoz ki a rendszer védelmére, amely magában foglal további biztonsági intézkedéseket. Ez a lépés kulcsfontosságú a jövőbeni kibertámadások elleni védekezés szempontjából, mivel biztosítja, hogy a bevándorlási szolgáltatások zavartalanul működhessenek. A jelenlegi helyzet nem egyedi eset Malawi történetében. Korábban is volt már példa útlevélkiadási szünetre, de a mostani felfüggesztés különösen kellemetlen időpontban történt, tekintettel arra, hogy az útlevelek iránti kereslet jelentősen megnőtt. A polgárok egy része jobb életkörülmények és munkalehetőségek reményében készül külföldre távozni, így az útlevélkiadás felfüggesztése közvetlenül érinti őket. Az elkövetkezendő hetekben minden szem a Malawi kormányzatán és a bevándorlási osztályon lesz, hogy lássák, sikerül-e hatékonyan kezelniük ezt a válsághelyzetet és helyreállítaniuk a polgárok bizalmát az útlevélkiadási rendszerben. A kiberbiztonság és az adatvédelem kiemelten fontos tényezővé vált a nemzetközi üzleti és informatikai életben, és Malawi esete ismét rávilágított arra, hogy a kormányzatoknak és szervezeteknek folyamatosan fejleszteniük kell védelmi stratégiáikat a digitális kor kihívásaival szemben. A digitális korszakban, ahol az információ az új arany, a kiberbiztonsági támadások és a kémkedési technikák folyamatosan fejlődnek. Az NSO Csoport, egy ismert kémprogram-fejlesztő cég, most egy újabb innovatív módszerrel rukkolt elő: az “MMS Ujjlenyomat” technikával, ami úgy tűnik, hogy új dimenziókat nyit a digitális megfigyelés terén. Ezt a technikát egy Ghána telekommunikációs szabályozó hatóságával kötött szerződés során ismertették, ami felveti a technológia széleskörű alkalmazhatóságának lehetőségét. Az “MMS Ujjlenyomat” technika lényege abban rejlik, hogy képes azonosítani a céleszközöket és azok operációs rendszereit, anélkül hogy a felhasználónak bármilyen aktív lépést kellene tennie. Ez a módszer a bináris SMS, azaz a WSP Push technológián alapul, ami lehetővé teszi a várakozó MMS üzenetek értesítését a felhasználó számára. Amikor a felhasználó eszköze kapcsolatba lép a szerverrel az MMS letöltése céljából, bizonyos eszközinformációk átadásra kerülnek, amelyeket aztán a támadók felhasználhatnak. Az NSO Csoport által kifejlesztett és az Enea által tesztelt “MMS Ujjlenyomat” technika, rejtett módon, a felhasználó tudta nélkül gyűjti össze az információkat, ami komoly aggodalomra ad okot a digitális adatvédelem és a magánélet védelme szempontjából. Bár jelenleg nincsenek bizonyítékok arra, hogy ezt a technikát széles körben használnák, a lehetséges következmények és a rosszindulatú felhasználás potenciálja komoly kihívásokat vet fel a kiberbiztonsági közösség számára. A helyi telekommunikációs hálózatoknak van lehetőségük blokkolni ezt a típusú támadást, és az előfizetők megvédhetik magukat azzal, hogy letiltják az MMS üzenetek automatikus letöltését eszközeiken. Ez a helyzet ismét felhívja a figyelmet arra, hogy mennyire fontos a proaktív hozzáállás és a folyamatos tájékozódás a digitális adatvédelem terén. Az “MMS Ujjlenyomat” technikájának felfedése és a vele járó kockázatok rávilágítanak a kiberbiztonsági fenyegetések állandó evolúciójára és arra, hogy a felhasználóknak, szervezeteknek és kormányoknak egyaránt ébernek és felkészültnek kell lenniük. Az NSO Csoport és hasonló szervezetek által fejlesztett technológiák folyamatosan új kihívások elé állítják a védelmi mechanizmusokat, így a digitális védelem megerősítése és a technológiai fejlődéssel való lépést tartás kulcsfontosságú a kiberbiztonság fenntartásában. Nemrégiben az Intel egy fontos bejelentést tett, amely ráirányítja a figyelmet a digitális biztonság elengedhetetlen szerepére a modern technológiák használata során. A vállalat szakértői által felfedezett 34 biztonsági rés kihívást jelent a felhasználók számára, de egyben lehetőséget is kínál a védekezésre, hiszen a legtöbb sebezhetőségre már elérhető a megfelelő javítás. Ez a lépés fontos emlékeztető arra, hogy a szoftverek és firmware-ek rendszeres frissítése nem csupán ajánlott, hanem alapvetően szükséges a kiberbiztonsági fenyegetések kivédése érdekében. A bejelentett biztonsági rések az Intel számos termékét és technológiáját érintik, beleértve a szoftvereket, drivereket és a firmware-t. A 34 sebezhetőség közül 32 a különböző szoftveralkalmazásokban található, míg a fennmaradó kettő a firmware komponensekben. Ezek az érintett technológiák magukban foglalják, de nem korlátozódnak az oneAPI Toolkitre, az Intel Extreme Tuning Utility (XTU) szoftverre, az Intel Unison alkalmazásra, valamint különféle lapkakészlet- és Wi-Fi driverekre. Kiemelendő, hogy bizonyos kevésbé ismert alkalmazások, mint például a Battery Life Diagnostic Tool és a már nem támogatott System Usage Report segédprogram is sebezhetőségek forrásai lehetnek, amelyek esetében az Intel a programok eltávolítását javasolja. A felfedezett sebezhetőségek között kiemelt figyelmet érdemelnek a Thunderbolt interfésszel kapcsolatos biztonsági kockázatok, ahol a kutatók összesen 20 potenciális biztonsági rést azonosítottak. Ezek többsége helyi hozzáférés mellett jelent veszélyt, azonban van közöttük olyan is, amely távoli hozzáférés esetén is kihasználható, így növelve a kiberfenyegetések körét. Ezek közül három sebezhetőséget különösen magas kockázatúnak minősítettek, míg a távolról kihasználható rést közepes veszélyességi szintre sorolták. Az Intel felhívja a figyelmet arra, hogy a felhasználók hogyan maradhatnak védettek azáltal, hogy proaktívan kezelik a szoftverfrissítéseket és a biztonsági javításokat. Az egyes sebezhetőségek részletes leírásai elérhetők az Intel dedikált biztonsági weboldalán, ami lehetővé teszi a felhasználók számára, hogy tájékozódjanak a potenciális kockázatokról és a szükséges védelmi intézkedésekről. Az aktualizálások megszerzéséhez és az eszközök biztonságának fenntartásához az Intel hivatalos weboldala nyújt segítséget, ahol a legfrissebb szoftverek és driverek letölthetők. Ezen felül a Driver & Support Assistant (DSA) szolgáltatás is rendelkezésre áll, amely megkönnyíti a felhasználók számára a szükséges frissítések kezelését. Ez az eset ismételten rámutat arra, hogy a technológiai fejlődés mellett a biztonsági tudatosság és az elővigyázatosság milyen fontos szerepet tölt be. Az Intel által nyújtott információk és eszközök kihasználása lehetővé teszi a felhasználók számára, hogy lépést tartsanak a kiberbiztonsági kihívásokkal és megvédjék digitális életüket a különféle fenyegetésekkel szemben. Forrás: www.intel.com A mesterséges intelligencia (AI) világában új korszak kezdődött az Európai Unióban, amikor az Európai Bizottság zöld jelzést adott a világ első kifejezetten AI-ra szabott jogszabályának. Ez az előremutató lépés azután történt meg, hogy az EU tagállamai egyöntetű támogatásukról biztosították a jogszabály végleges verzióját, ezzel megnyitva az utat egy átfogó AI szabályozási keretrendszer kialakítása felé. Az Európai Parlament jogalkotói egyhangúlag, február 13-án megszavazták ezt az alapvető egyezséget, előkészítve az alapot egy áprilisi, jelentőségű parlamenti szavazásra. A belső piaci és a polgári szabadságjogokkal foglalkozó bizottságok döntő többséggel, 71-8 arányban álltak a mesterséges intelligenciáról szóló törvény tervezetének mögé. A jogszabály célja, hogy egyértelmű útmutatást nyújtson az AI alkalmazásához számos kulcsfontosságú ágazatban, beleértve a pénzügyi, autóipari, elektronikai, légi közlekedési, valamint a biztonsági és rendvédelmi szektort. Kiemelt figyelem irányul a generatív AI technológiákra, mint az OpenAI ChatGPT-jére, amelyek széles adathalmazok alapján lettek kifejlesztve. A jogszabály elfogadását követően az EU tagállamai is jóváhagyták, Franciaország pedig visszavonta kezdeti ellenkezését, ami fontos kompromisszumokhoz vezetett. Ezek a módosítások a magas kockázatú AI rendszerekkel kapcsolatos adminisztratív követelmények enyhítésére, valamint az üzleti titkok védelmének erősítésére összpontosítottak. A politikai konszenzus elérése után megkezdődött a megállapodás véglegesítése, hogy a jogszabály a törvényhozók jóváhagyását megkapja. A folyamatot a “coreper” szavazás zárta le február 2-án, amelyben minden tagállam részt vett. Az Európai Parlament Polgári Szabadságjogok Bizottsága az X-en közzétett posztjában mérföldkőnek nevezte az AI szabályozás terén elért előrelépést. Ez a jogszabály új lehetőségeket nyit meg az AI fejlesztésében és használatában, elősegítve egy biztonságos és felelős innovációs környezet kialakítását. Az AI jogszabály várhatóan jelentős hatást gyakorol az AI fejlődésére, különösen a generatív modellek, mint például a ChatGPT területén. A szabályozás nem csak az iparágak alkalmazásaira terjed ki, hanem a felhasználók és a közösség védelmét is szolgálja, miközben előmozdítja az innovációt és a technológiai fejlődést. Ez a jogszabály nem csak Európában, hanem világszerte is útmutatóként szolgálhat az AI szabályozásában, bemutatva, hogy a technológiai előrehaladás és a szabályozási keretek hogyan működhetnek összhangban. Az elkövetkezendő időszakban figyelemmel követjük, hogy ezek a szabályozások hogyan alakítják át az AI globális ökoszisztémáját, és milyen hatást gyakorolnak a technológia jövőjére. A digitális korban egyre nagyobb fenyegetést jelentenek a kiberbűnözők, akik zsarolóvírusok segítségével próbálnak hasznot húzni. Az utóbbi időszakban bekövetkezett változások azt mutatják, hogy ezek az elkövetők nem csupán fenntartják, hanem fokozzák is tevékenységük intenzitását, a védekezési stratégiák pedig nem mindig bizonyulnak elégségesnek az ilyen típusú támadások elhárításában. Az elmúlt évek adatai alapján egyértelmű, hogy a zsarolóvírusos támadások száma és az ezekből származó illegális bevételek meredeken emelkedtek. Ez különösen aggasztó, tekintettel arra, hogy a kiberbiztonsági közösség által alkalmazott ellenintézkedések korábban némi visszaesést mutattak. Azonban a Chainanalysis elemzése rávilágított: a támadók 2022-ben ismét megnövelték aktivitásukat, aminek eredményeképpen a váltságdíjak összegében is hatalmas ugrás következett be. Az előző évi 567 millió dollárról 1,1 milliárd dollárra nőtt az összeg, ezzel új rekordot állítva fel. A kiberbűnözők nem válogatnak: nagy intézmények, egészségügyi létesítmények és oktatási intézmények is célpontjai ezeknek a támadásoknak. A Recorded Future és más elemző cégek által közzétett jelentések szerint az új zsarolóvírus variánsok száma és a velük szembeni támadások gyakorisága is növekszik, ami egyértelmű jele annak, hogy a jelenlegi védelmi stratégiák nem eléggé hatékonyak. A 2022-es év visszaesését követően a zsarolóvírusok mögött álló szervezetek, főként orosz és ukrán nemzetiségű csoportok, újra fokozták tevékenységüket. A politikai helyzet átmeneti hatása után úgy tűnik, hogy a támadások száma és súlyossága ismét növekvő tendenciát mutat. Ez az elemzés arra hívja fel a figyelmet, hogy bár a zsarolóvírusos támadások elleni harcban történt előrelépés, továbbra is jelentős kihívásokkal kell szembenézniük a kiberbiztonsági szakembereknek. A folyamatosan változó kiberfenyegetésekkel szemben csak átfogó és dinamikusan fejlődő védelmi megoldásokkal lehet sikeresen felvenni a harcot. Forrás: www.chainalysis.com A nigériai elnök cáfolja az ország “kiberbűnözési mennyország” képét Bola Tinubu elnök állítása szerint az ország nem a kiberbűnözők otthona, annak ellenére, hogy itt született meg az “infámus nigériai herceg” csalás. Nigéria elnöke nemrégiben egy markáns beszédet tartott, melyben határozottan elítélte azt a gyakori “nigériai herceg” sztereotípiát, amely szerint az ország csaló kiberbűnözőkkel van tele. Ezzel szemben azt hangsúlyozta, hogy Nigéria számos pozitív hozzájárulást tesz a globális közösséghez, és aktívan küzd a kiberbűnözés ellen. A kiberbűnözés továbbra is jelentős probléma Nigériában, évente mintegy 500 millió dolláros gazdasági hatással. A Nigériai Gazdasági és Pénzügyi Bűnözés Elleni Bizottságban nemrég tartott beszédében Bola Tinubu elnök kiemelte, hogy a kiberbűnözés rontotta az ország nemzetközi hírnevét, de hangsúlyozta, hogy ez nem kizárólag Nigéria problémája. Ehelyett a csalást és egyéb típusú kibertámadásokat “globális jelenségnek” nevezte, amelyekkel minden áron szembe kell szállni. “Mai világunk valós időben, az interneten keresztül működik. A kormányzat, a vállalkozások, az intézmények és még az egyéni háztartási ügyek is az internetre támaszkodnak” – mondta. “Így a kiberbűnözők a világ többi részére is fenyegetést jelentenek. Ezért semmilyen erőfeszítést vagy költséget nem szabad kímélni a gonosz elleni küzdelemben. Biztosítalak benneteket, hogy a kormány továbbra is támogatni fogja az EFCC-t küldetésében, hogy legyőzze azt a sárkányt, amivé az internetes bűncselekmények váltak.” Ennek fényében fontos küzdeni az ellen a nézet ellen, hogy az afrikai ország “csalók nemzete”, egy jellemzést, amelyet “igazságtalannak, tarthatatlannak és elfogadhatatlannak” minősített. Ezen túlmenően, Tinubu elnök kiemelte, hogy Nigéria számos kezdeményezést indított a kiberbűnözés elleni harc érdekében, beleértve az oktatási programokat, amelyek célja a digitális tudatosság és a biztonságos internetezés előmozdítása. A fiatalok szerepe a kiberbűnözésben Az eseményen Ola Olukoyede, az EFCC elnöke szintén aggodalmát fejezte ki amiatt, hogy a fiatalok egyre nagyobb szerepet vállalnak a kiberbűnözésben. Figyelmeztetett arra a veszélyre, hogy “egy olyan jövőbeli vezetők csoportját neveljük ki, akik számára a csalás és a korrupció a hírnévhez és vagyonhoz vezető út.” Olukoyede úgy vélte, hogy a probléma legjobb megoldása az, ha ösztönözzük a fiatalokat arra, hogy olyan kielégítő karriert válasszanak, amely azonos készségeket használ. “Úgy gondoljuk, hogy az akadémiai világ többet is hozzátehet a korrupció elleni harchoz a mentorálás révén, mivel a mai gyorsan változó világban a fiataloknak szoros felügyeletre van szükségük ahhoz, hogy sikeresek és céltudatosak lehessenek” – mondta. Ezen felül hangsúlyozta, hogy fontos a pozitív példaképek és a jó irányítás szerepe a fiatalok életében. Egy másik, nemrégiben az EFCC-hez intézett beszédében Chidiebere Ihediwa, egy nigériai kiberbiztonsági szakértő, ismételten felvetette ezt a témát, megjegyezve, hogy az online csalókat és csalásokat át kell képezni információs technológiai szakemberekké. Ezzel párhuzamosan Ihediwa szorgalmazta a kiberbiztonsági oktatás és képzés bővítését, hogy a fiatalokat jobban felkészítsék a digitális világ kihívásaira, és lehetőséget biztosítsanak számukra, hogy értékes készségeiket pozitív módon használják fel. A nigériai kormány és a kiberbiztonsági közösség által tett erőfeszítések ellenére a kiberbűnözés továbbra is globális probléma marad, amely nem ismer határokat. Az ilyen típusú bűnözés elleni küzdelem nemcsak a technológiai megoldásokra, hanem a társadalmi változások előmozdítására és a fiatal generációk oktatására is támaszkodik. Az EFCC és más szervezetek által végzett munka kulcsfontosságú a biztonságosabb digitális jövő felé vezető úton. Forrás: www.darkreading.com A mai digitális világban, ahol a kiberfenyegetések egyre összetettebbé és kifinomultabbá válnak, kulcsfontosságú a biztonságos tervezési megközelítés alkalmazása minden szoftver- és hardverfejlesztési projektben. Az eszközgyártóknak és fejlesztőknek már a tervezési fázisban prioritást kell adniuk a biztonsági kérdéseknek, hogy elejét vegyék a sebezhetőségeknek és a lehetséges támadási vektoroknak. Hogy a CISA kifejezetten a kisirodai és otthoni irodai eszközgyártókat veszi célba, kiemeli ezeknek a környezeteknek a különleges kihívásait. Ezek az eszközök gyakran rejtve maradnak a nagyvállalati biztonsági protokollok mögött, ami sebezhetővé teszi őket a fejlett támadásokkal szemben. A biztonságos tervezési gyakorlatok bevezetése nem csak a végfelhasználók védelmében játszik kulcsszerepet, hanem hozzájárul a szélesebb kiberbiztonsági ökoszisztéma megerősítéséhez is. A CISA által kiadott útmutatás, amely az automatikus frissítések támogatására és a biztonsági beállítások kézi módosításának szükségességére összpontosít, lényeges lépés a kisirodai és otthoni irodai eszközök biztonságának javítása felé. Amennyiben a gyártók integrálják ezeket a funkciókat, csökkentik a felhasználókra háruló terhet a biztonsági frissítések alkalmazásával kapcsolatban, ami végül az eszközök általános védelmét javítja. A kritikus infrastruktúrák elleni támadások megelőzése érdekében szükség van a kormányzati és magánszektor közötti szoros együttműködésre és koordinációra. A KV-botnet példája rávilágít arra, hogy a kibertámadók milyen mértékig képesek kiaknázni a meglévő technológiai sebezhetőségeket, és milyen fontos a kiberbiztonsági fenyegetésekkel szembeni védelemre fordított állandó figyelem és erőfeszítés. Ellentétben a kínai kormány állításaival, amelyek tagadják az ilyen típusú támadásokban való részvételt, a nemzetközi közösségnek együtt kell működnie a kiberbiztonsági fenyegetések globális jellegének kezelésében. A nemzetek közötti párbeszéd és együttműködés erősítése, valamint a kibervédelmi normák és protokollok megszilárdítása elengedhetetlen a digitális világ biztonságának megőrzéséhez. Végezetül az FBI és a DoJ által végrehajtott lépések, amelyek a KV-botnet felszámolását célozták, emlékeztetnek bennünket arra, hogy a kiberfenyegetések kezelése dinamikus és állandó erőfeszítést kíván. Ahogy a technológia fejlődik, úgy kell a kiberbiztonsági stratégiáknak is alkalmazkodniuk az új kihívásokhoz. A biztonságos tervezés, a rendszeres frissítések és a kibervédelem iránti közös elkötelezettség létfontosságú elemei lesznek a jövőbeli kiberfenyegetések elleni védekezésnek. Forrás: www.thehackernews.com Az Inferno Drainer, egy leállított bűnözői hálózat, 2022 és 2023 között egy év alatt több mint 16 ezer kártékony domain nevet hozott létre. A Group-IB, szingapúri központú cég szerint a banda “kifinomult adathalász oldalakon keresztül csábította be a gyanútlan felhasználókat, hogy kriptovaluta tárcáikat egy, a támadók által létrehozott infrastruktúrához csatlakoztassák. Ez az infrastruktúra Web3 protokollokat másolt, ezzel megtévesztve az áldozatokat, hogy tranzakciókat hajtsanak végre” – áll a The Hacker News által közölt jelentésükben. Az Inferno Drainer 2022 novemberétől 2023 novemberéig tevékenykedett, ezen időszak alatt több mint 87 millió dollárnyi törvénytelen hasznot realizált, 137 ezer áldozat átverésével. Ez a kártevő része volt egy szélesebb körben elérhető, hasonló jellegű szolgáltatásoknak, melyeket a csalók egy “csalás, mint szolgáltatás” (vagy “drainer, mint szolgáltatás”) modellben kínáltak, a profitjuk 20%-os részesedése ellenében. Az Inferno Drainer ügyfelei választhattak, hogy a malware-t saját adathalász oldalaikra töltik fel, vagy kihasználják a fejlesztők szolgáltatásait az adathalász oldalak készítésére és tárolására, néhány esetben díjmentesen, máskor a lopott javak 30%-ának ellenértékében. A Group-IB értesülései szerint a tevékenység több mint 100 kriptovaluta márkát utánzott speciálisan kialakított oldalakon, amelyek több mint 16 ezer egyedi domainen kerültek tárolásra. Ezek közül 500 domain elemzése felfedte, hogy a JavaScript alapú kártevő kezdetben egy GitHub tárházban (kuzdaz.github[.]io/seaport/seaport.js) helyezkedett el, mielőtt közvetlenül az oldalakba integrálták volna. A “kuzdaz” felhasználó jelenleg nem aktív. Ugyanígy, további 350 oldal foglalt magába egy “coinbase-wallet-sdk.js” nevű JavaScript fá jlt, amit egy másik GitHub tárházban, a “kasrlorcian.github[.]io”-n tároltak. Ezek az oldalak különböző platformokon, mint például a Discord és az X (korábban Twitter) kerültek terjesztésre, ahol vonzó ajánlatokkal, mint ingyen tokenek (airdropok) csalogatták a lehetséges áldozatokat, hogy rákattintsanak. Az volt a céljuk, hogy meggyőzzék őket tárcáik csatlakoztatására, amit követően, a tranzakciók jóváhagyása után, a felhasználók eszközeit sikeresen kiszipolyozták. A seaport.js, coinbase.js és wallet-connect.js fájlok felhasználásával szándékuk az volt, hogy népszerű Web3 protokolloknak, mint a Seaport, a WalletConnect és a Coinbase álcájába bújjanak, így végrehajtva a jogosulatlan tranzakciókat. Az első ilyen szkripteket tartalmazó weboldal 2023. május 15-én került napvilágra. “Az Inferno Drainerhez köthető adathalász oldalak egyik jellemzője az volt, hogy a látogatók nem tudták megtekinteni a weboldal forráskódját sem a gyorsbillentyűk, sem az egér jobb gombjának használatával” – emelte ki Viacheslav Shevchenko, a Group-IB elemzője. “Ez arra utal, hogy a csalók igyekeztek elrejteni scriptjeiket és törvénytelen tevékenységüket az áldozataik elől.” Érdemes megjegyezni, hogy a Google tulajdonában lévő Mandiant X fiókja a hónapban kompromittálódott, és linkeket osztott meg egy olyan adathalász oldalra, amely a CLINKSINK nevű kriptovaluta-elvonót tárolta. “Bár az Inferno Drainer tevékenysége már megszűnt, jelentősége 2023-ban hangsúlyozta a kriptovaluta-tulajdonosok számára fennálló jelentős kockázatokat, mivel a drainer típusú kártevők további fejlesztés alatt állnak” – hangoztatta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője. Forrás:https://thehackernews.com Az albán intézmények elleni legújabb kibertámadási hullám során a “No-Justice” nevű törlő szoftvert használták. A ClearSky kiberbiztonsági vállalat szerint ez a Windows rendszeren futó kártékony szoftver az operációs rendszert oly módon teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik. Ezen támadásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice nevéhez köthetőek, amely 2022 júliusa óta folyamatosan hajt végre pusztító akciókat Albánia ellen. 2023. december 24-én az ellenfél egy hosszabb szünet után újra felbukkant, kijelentve, hogy “újra ideje a terroristák támogatóinak szétzúzásának”, legújabb hadműveletüket #DestroyDurresMilitaryCamp néven azonosítva. Jelenleg Durrës városa nyújt otthont az Iráni Népi Mudzsahid Szervezetnek, ismertebb nevén a MEK-nek. A támadás célpontjai között szerepel az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament. A kampány során két fő eszközt vetettek be: egy futtatható törlő programot és egy PowerShell szkriptet, amely a fenti programot továbbítja a célhálózat további számítógépeire, miután bekapcsolták a Windows Távoli Kezelési funkciót, azaz a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB-os bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához. Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírás eltávolításával érik el, ami minden merevlemez első szektorát képezi, meghatározva, hol helyezkedik el az operációs rendszer a lemezen, ezzel lehetővé téve annak betöltését a számítógép RAM-jába. A támadások során további hiteles eszközöket is használtak, mint a Plink, más néven a PuTTY Link, a RevSocks és a Windows 2000 erőforráskészlet, amelyek elősegítik a felderítést, az oldalirányú mozgást és a hosszantartó távoli hozzáférést. Ez az esemény összefügg az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Kelet geopolitikai feszültségei között. „Úgy tűnik, csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra irányuló narratívát alkalmaznak kibertámadásaikban,” számolt be a Check Point a múlt hónapban. „Az Egyesült Államokban tevékenykedő célpontok izraeli technológiával történő célba vételével ezek a hacktivista csoportok egy kettős visszavágó stratégiát próbálnak megvalósítani, állítólag egyszerre Izraelt és az Egyesült Államokat célzó, összehangolt kibertámadással.” A Cyber Toufan különö sen több mint 100 szervezetet érintő hackelési és adatszivárogtatási tevékenységeiről ismert, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon közzétéve. „Annyi kárt okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” állította Kevin Beaumont biztonsági szakértő. „Némelyikük még hónapokkal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami szervek egyaránt szerepelnek.” A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD megerősítette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggő hackercsoportot figyel, amelyek rosszindulatúan tevékenykednek az izraeli kibertérben az izraeli-hamási konfliktus 2023 októberi kezdete óta. Az ügynökség hozzáfűzte, hogy a felhasznált módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során alkalmazottakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítése céljából. Forrás: https://thehackernews.com
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm, egy orosz támogatású kiberfenyegetési csoport, 2023 májusa óta aktív a Kyivstar telekommunikációs cég hálózatában. A Reuters adott hírt először erről a fejleményről. Ezt az esetet, amit “súlyos hackertámadásként” jellemeztek, a közelmúltban tették közzé, amikor a szolgáltatás szünetelt több millió mobil- és internetfelhasználó számára. Az esemény bekövetkezte után nem sokkal egy Oroszországgal összefüggő hackercsoport, a Solntsepyok ismerte el a biztonsági incidens elkövetését. A Solntsepyokot egy olyan orosz kiberfenyegetési egységként tartják számon, amely az Orosz Föderáció Fegyveres Erőinek Fő Parancsnokságához (GRU) kapcsolódik, és ez a csoport felelős a Sandworm tevékenységéért is. Ez a kiemelkedő állandó fenyegetési (APT) csoport hírnevet szerzett pusztító kibertámadásaival, és Dániában tavaly azzal vádolták meg őket, hogy 22 energetikai céget céloztak meg. Illia Vitiuk, az Ukrán Biztonsági Szolgálat (SBU) kiberbiztonsági osztályának vezetője szerint a Kyivstar ellen indított támadás szinte minden adatot kiirtott több ezer virtuális szerveren és számítógépen. Vitiuk szerint az esemény “a távközlési cég lényegének teljes kioltását okozta”. Forrás: https://thehackernews.com
A digitális bűnözők már birtokba vették az X közösségi média szolgáltatás “Gold” minősítésű fiókjait, amelyek korábban a Twitter néven futottak, és azokat akár 2 000 dollárért értékesítik a Dark Weben. Erre utal a CloudSEK kutatás, amely felfedezte ezeknek a fiókoknak az előtérbe kerülését az underground online piacokon. Az X-en a Gold jelvény azt bizonyítja, hogy a szolgáltatás megerősítette a fiók valódi hovatartozását, akár magas profilú szervezethez vagy hírességhez is. Ezt a lehetőséget egy évvel ezelőtt vezették be fizetős változatként, miután az X lecserélte a kék pipát, ami korábban az igazságosság jelképe volt, egy olyan jelvényre, amit bárki hozzáadhatott a profiljához, engedély nélkül. A kiberbűnözők jelenleg a brute-force támadásokat és a malware-t alkalmazzák a jelszavak megszerzéséhez, hogy hozzáférjenek a meglévő Gold fiókokhoz – ezt állapította meg a CloudSEK kutatói csoport. Gyakran átveszik azokat a nem-Gold minősítésű fiókokat is, amelyek hosszú ideje inaktívak voltak, majd ellenőrzött státuszba emelik őket. Összességében több száz ilyen fiók kerül értékesítésre az underground fórumokon. Azok, akik hajlandók fizetni, ezeket a fiókokat arra használják, hogy terjesszenek phishing linkeket, indítsanak dezinformációs kampányokat és hajtsanak végre pénzügyi csalásokat, vagy akár befolyásolják egy márka hírnevét a káros tartalmak megosztásával. “A Dark Web piacokon szinte ellepték a Twitter Gold fiókokkal kapcsolatos hirdetések” – áll a cég által ezen a héten közzétett kutatásban. “Az árak 35 dollártól indulnak egy alap fiókért, és akár 2 000 dollárig terjednek azokért, amelyeknek nagy a követői táboruk.” A kutatók egy szeptemberi példával világítottak rá a veszélyre: A kiberbűnözők sikerrel támadták meg egy X nevű fiókot, amely a kriptovaluta Ethereum társalapítójához, Vitalik Buterinhez tartozott. Ezt követően olyan tweeteket tettek közzé, amelyek ingyenes nonfungibilis tokeneket (NFT-ket) ígértek, egy beágyazott, rosszindulatú linkkel, ami átirányította a felhasználókat egy hamis weboldalra, ahol megpróbálták kinyeretni a kriptovalutákat a pénztárcájukból. “A hackerek közel 20 percig működtek a hamis bejegyzés közzététele után, és elképesztően 691 000 dollárt zsákmányoltak digitális eszközeikből” – derült ki az elemzésből. Hogyan védekezhetünk az X fiókok elfoglalása ellen? A bűnözők számára az ilyen nagy értékű fiókok megszerzésének lehetősége már legalább 2020 óta ismert, amikor a hackerek sikeresen feltörték a Twitter akkori belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében. Az szervezetek védelme érdekében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és szigorú jelszópolitikákat alkalmazni a fiókok elfoglalásának megelőzése érdekében – tanácsolta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását. Forrás:https://www.darkreading.com
A GambleForce nevű eddig ismeretlen hackercsoportot legalább 2023 szeptemberétől kezdődően sorozatban fellépő SQL injection támadásokhoz kötik, olyan vállalatok ellen, amelyek elsősorban az Ázsia-Csendes-óceáni régióban (APAC) működnek. “A GambleForce egyszerű, ugyanakkor hatékony technikákat alkalmaz, beleértve az SQL injectiont és a sebezhető webes tartalomkezelő rendszerek (CMS) kihasználását a felhasználói hitelesítő adatok, például jelszavak ellopására,” áll a Group-IB által a The Hacker News számára megosztott jelentésben, a székhelyünkön, Szingapúrban. A csoport becslései szerint 24 szervezetet vett célba az ausztrál, brazil, kínai, indiai, indonéz, filippínó, dél-koreai és thai szerencsejáték, kormány, kiskereskedelem és utazás területén. Ezek közül hat támadás volt sikeres. A GambleForce működési módja kizárólagosan az open-source eszközökre támaszkodik, mint például a dirsearch, sqlmap, tinyproxy és redis-rogue-getshell, a támadások különböző szakaszaiban a kompromittált hálózatokból érzékeny információk kiszivárogtatásának végső céljával. A fenyegetési tényező által használt eszközök között szerepel a törvényes utókiaknak való Cobalt Strike keretrendszer is. Érdekesség, hogy a támadás infrastruktúráján felfedezett eszköz verziója kínai parancsokat használt, habár a csoport eredete messze nem egyértelmű. A támadási láncok magukban foglalják az áldozatok nyilvánosan elérhető alkalmazásainak visszaéléseit SQL injection kihasználásával, valamint a CVE-2023-23752 sebezhetőség kihasználását a Joomla CMS-ben, hogy jogosulatlan hozzáférést szerezzenek egy brazíliai vállalathoz. Jelenleg nem ismert, hogyan használja fel a GambleForce az ellopott információkat. A kiberbiztonsági cég azt állította, hogy leállította az ellenfél irányító- és ellenőrző (C2) szerverét, és értesítette az azonosított áldozatokat. “A webes beillesztések a legrégebbi és legnépszerűbb támadási vektorok közé tartoznak,” mondta Nikita Rostovcev, a Group-IB vezető fenyegetésanalitikusa. “És az az ok, hogy néha a fejlesztők figyelmen kívül hagyják a bemeneti biztonság és az adatellenőrzés fontosságát. Biztonságtalan kódolási gyakorlatok, helytelen adatbázisbeállítások és elavult szoftverek teremtenek megfelelő környezetet az SQL injection támadásokhoz a webalkalmazásokon.”
Az elmúlt hetekben több Google Drive felhasználó számolt be adatvesztésről, amely a Google felhő alapú tárhelyszolgáltatását érintette. A probléma felfedezése óta egyre több panasz érkezik, amelyek között vannak olyan esetek, ahol felhasználók több ezer fájlt veszítettek el. Egy Yeonjoong nevű felhasználó a Google támogatási fórumán osztotta meg tapasztalatait, ahol arról számolt be, hogy hat hónapnyi adata vált hirtelen hozzáférhetetlenné. Nem sokkal később más felhasználók is hasonló jellegű problémákkal jelentkeztek, többen több ezer fontos dokumentum elvesztéséről számoltak be. A felhasználói panaszok szerint a Google Drive asztali alkalmazásában is előfordult adatvesztés. Ez a szoftver szinkronizálja a felhőben tárolt adatokat a helyi számítógépekkel, így a probléma komoly hatással lehet a felhasználók mindennapi munkájára. Jelenleg még nem világos, hogy mi okozza a hibát, és nincs információ arról sem, hogy a fájlok visszaállíthatóak-e. Ez az eset rávilágít a biztonsági mentés fontosságára, különösen a munkához nélkülözhetetlen adatok esetében. Sok felhasználó nem rendelkezik megfelelő biztonsági mentéssel, ami ilyen esetekben súlyos következményekkel járhat. A biztonsági mentés több módon is megoldható, például külső merevlemezek, SSD-k, NAS rendszerek RAID1 vagy RAID5 módban, CD-k, DVD-k, Blu-ray lemezek, memóriakártyák, pendrive-ok használatával, vagy akár különböző felhőszolgáltatások kombinálásával. A Google szakemberei már elismerték a problémát és vizsgálatokat folytatnak annak okának megállapítására. A felhasználók reménykednek a gyors megoldásban, hiszen sokuk számára a Google Drive elengedhetetlen része a mindennapi munkának. A Google Drive-nak hatalmas felhasználói bázisa van, és a szolgáltatás elterjedtsége miatt a probléma széles körben érinthet felhasználókat szerte a világon. A Google vállalatnak meg kell találnia a hiba forrását, hogy a jövőben elkerüljék az ilyen típusú problémákat. A felhasználók számára fontos, hogy megbízhatóan tárolhassák adataikat, és biztosak legyenek abban, hogy azok bármikor elérhetőek maradnak. A Google-nak ki kell dolgoznia egy stratégiát, amely a jövőben megelőzi az ilyen típusú incidenseket, és biztosítja a felhasználók adatainak biztonságát. A helyzet figyelemmel kísérése folytatódik, és amint további információk válnak elérhetővé a probléma megoldásával vagy annak lehetséges következményeivel kapcsolatban, arról beszámolunk. A felhasználók számára reményt jelenthet, hogy a Google gyorsan reagál a problémára, és lehetőség szerint helyreállítja az elveszett adatokat, bár az is lehet, hogy bizonyos esetekben az adatvesztés végleges marad. A Mustang Panda Hackerek Célpontjai a Fülöp-szigeteki Kormány Között Feszülő Dél-kínai-tengeri Feszültségek Közepette Az izraeli felsőoktatási és technológiai szektorokat célozták meg a pusztító jellegű kibertámadások, amelyek 2023 januárjában kezdődtek azzal a szándékkal, hogy ismeretlen törlő kártevőket telepítsenek. A Palo Alto Networks Unit 42 a három kampányt 2023 augusztusában az ellenséges kollektívának tulajdonította, elsősorban a Dél-Csendes-óceáni szervezeteket megcélzó kampányokra összpontosítva. “A kampányok legitim szoftvereket használtak fel, többek között a Solid PDF Creator-t és a SmadavProtect-et (egy indonéz alapú antivírus megoldást), hogy rosszindulatú fájlokat töltsenek fel,” mondta a cég. “A fenyegetés szerzői kreatívan konfigurálták a kártékony szoftvert, hogy az legitim Microsoft forgalmat szimuláljon a parancs-és-vezérlés (C2) kapcsolatokhoz.” A Mustang Panda, amelyet Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven is követnek, egy kínai fejlett állandó fenyegetést (APT) jelent, amely legalább 2012 óta aktív, kiberspionázs kampányokat szervez nem kormányzati szervezetek (NGO-k) és kormányzati testületek ellen Észak-Amerikában, Európában és Ázsiában. 2023 szeptemberének végén a Unit 42 szintén az említett fenyegető szereplőt tette felelőssé egy név nélküli délkelet-ázsiai kormány ellen irányuló támadásokért, amelyek a TONESHELL nevű hátsó ajtó egy változatát terjesztették. A legújabb kampányok dárda-phishing e-maileket használnak rosszindulatú ZIP archívum fájl szállítására, amely egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL) tartalmaz, amelyet egy DLL oldalbetöltési technikával indítanak el. A DLL ezután kapcsolatot létesít egy távoli szerverrel. Úgy értékelték, hogy a Fülöp-szigeteki kormányzati entitás valószínűleg egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között került kompromittálásra. A SmadavProtect használata ismert taktika, amelyet a Mustang Panda az elmúlt hónapokban alkalmazott, kifejezetten a biztonsági megoldás kijátszására tervezett kártékony szoftvereket telepítve. “Állami Taurus továbbra is bizonyítja képességét az állandó kiberspionázs műveletek végrehajtására, mint az egyik legaktívabb kínai APT,” mondták a kutatók. “Ezek a műveletek globálisan különböző entitásokat céloznak meg, amelyek összhangban vannak a kínai kormány geopolitikai érdeklődési körével.” A felfedezés azzal egyidőben történik, hogy egy dél-koreai APT szereplőt, a Higaisa nevűt fedeztek fel, amely kínai felhasználókat céloz meg, ismert szoftveralkalmazásokat utánzó adathalász weboldalakon keresztül, mint például az OpenVPN. “Egyszer végrehajtva, a telepítő Rust alapú kártékony szoftvert telepít és futtat a rendszeren, ezután aktiválva egy shellcode-ot,” mondta a Cyble a múlt hónap végén. “A shellcode anti-debugging és dekódoló műveleteket hajt végre. Ezt követően titkosított parancs-és-vezérlés (C&C) kommunikációt létesít egy távoli Fenyegető Szereplő (TA) felé.” Iránból indult pusztító kibertámadások sújtották az izraeli technológiai és oktatási szektort” Az izraeli felsőoktatási és technológiai szektorok egy sor pusztító kibertámadás célpontjaivá váltak, amelyek 2023 januárjában kezdődtek, céljuk pedig az volt, hogy eddig ismeretlen törlő vírusokat telepítsenek. Az októberben felfedezett behatolások egy iráni állami hackercsoport művei, amelyet Agonizing Serpensként azonosítottak; ismert még Agrius, BlackShadow és Pink Sandstorm (korábban Americium) néven is.
“A támadások fő jellemzője a személyazonosító információk (PII) és szellemi tulajdonok ellopásának kísérlete volt,” közölte a Palo Alto Networks Unit 42 egy friss, a The Hacker News-szal megosztott jelentésében. “A támadók az információk megszerzése után többféle törlő szoftvert telepítettek annak érdekében, hogy eltüntessék a nyomokat és használhatatlanná tegyék a fertőzött végpontokat.”
Ezek közé tartozik három különböző, újszerű törlő program: a MultiLayer, a PartialWasher és a BFG Agonizer, valamint a Sqlextractor nevű egyedi eszköz, amelyet adatbázis-szerverek adatainak kinyerésére fejlesztettek. Az 2020 decemberében aktív Agonizing Serpens csoportot izraeli célpontok elleni törlő vírusokkal végrehajtott támadásokkal hozták kapcsolatba. Májusban a Check Point részletezte, hogy a támadók a Moneybird nevű zsarolóvírust használták az ország elleni támadásaik során. A legfrissebb támadássorozat során a hackerek az internetre kapcsolt sebezhető webszervereket használták fel az elsődleges hozzáférési pontként, webhéjak telepítésére, a célhálózat feltérképezésére és olyan felhasználók hitelesítő adatainak megszerzésére, akik rendszergazdai jogosultságokkal bírtak. Ezt követően oldalirányú mozgást végezve exfiltrálták az adatokat különféle nyilvános és egyedi eszközökkel, mint például a Sqlextractor, a WinSCP és a PuTTY segítségével, majd telepítették a törlő vírusokat. A MultiLayer egy .NET alapú vírus, amely fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, így nehezítve meg a helyreállítást, és a rendszerindító szektor törlésével használhatatlanná teszi a rendszert. A PartialWasher egy C++ alapú vírus, amely merevlemezeket vizsgál és bizonyos mappákat, valamint azok almappáit törli. A BFG Agonizer egy olyan vírus, amely egy CRYLINE-v5.0 nevű nyílt forráskódú projektre támaszkodik. Az Agrius és további kártevőcsaládok közötti kód átfedések arra utalnak, hogy a csoport az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is alkalmazta korábban.
“Úgy tűnik, az Agonizing Serpens APT csoport nemrég fokozta képességeit és jelentős erőfeszítéseket, illetve forrásokat fordított az EDR és egyéb biztonsági intézkedések kijátszására,” állítják a Unit 42 kutatói. “E célból váltakozva használtak különböző, jól ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű eszközöket.”
Forrás: www.thehackernews.com Tanácsok digitális csalások elhárítására vonatkozó cikkek gyakran ajánlják a kétlépcsős hitelesítést és a bonyolult jelszavak használatát. Mégis, ezek a megoldások sem garantálják a teljes védelmet a néha ravasz módszerekkel operáló hackerekkel szemben. Egy kis figyelmetlenség elegendő lehet problémákhoz. Ezt támasztja alá egy magyar marketingügynökség egyik dolgozójának kellemetlen tapasztalata. Az érintett személy szoros kapcsolatban állt a G Data nevű, ismert kiberbiztonsági vállalattal. Amikor a baj bekövetkezett, azonnal értesítette őket. A vállalat részletesen kivizsgálta az esetet, és egyik szakértője angolul ismertette az elemzést a G Data honlapján, amely így részletesen dokumentálta az esetet, és rávilágított a Facebook biztonsági hiányosságaira is.

 

Az átverés

A közösségi média, különösen a Facebook, már régóta kulcsszerepet tölt be a reklámszakmában. A marketingügynökségek rendszeresen használják ezeket a platformokat, gyakran összekapcsolva a hirdetéseiket vállalati bankkártyákkal. Így nem meglepő, hogy adathalászok éppen ezeket a cégeket célozzák meg, ügyfeleknek álcázva magukat. Nyáron a csalók egy magyar ügynökséget is célba vettek, több létező ruhamárka nevében jelentkezve. Kommunikációs kampányhoz keresnek partnerként egy valódi ügynökséget, és információs anyagokat küldtek, részben e-mailben, részben az ügynökség online felületén keresztül. A gyanús jel az volt, hogy a céges domain nem szerepelt a levelezésben. Például az “O My Bag” nevű holland táskagyártó nevében érkező megkeresés nem a cég hivatalos címéről, hanem egy Gmail-es fiókról jött, és az anyagokat a OneDrive-ra töltötték fel. Mivel ezek ismert és gyakran használt szolgáltatások, az ügynökségi munkatárs nem gyanakodott. A gyanút kiváltó jelenségek ellenére a csalók hitelesnek tűnő levelet küldtek, és a OneDrive-ra feltöltött, Zip formátumú fájlok pontosan azt tartalmazták, amit egy potenciális ügyfél küldene egy ügynökségnek. A legtöbb víruskereső program a .zip fájlok kicsomagolásakor figyeli a kártékony szoftverek jelenlétét, azonban a jelszóval védett állományok esetében ezek a programok hatástalanok. A csalók pont ilyen fájlt küldtek, amely 11-ből 10 ártalmatlan médiafájlt és egy .scr kiterjesztésű malware-t tartalmazott. Az ügynökségi munkatárs rákattintott a fájlra, amelynek látszólag semmi hatása nem volt, ám a háttérben a kártevő már aktiválódott.

A betörés

A malware első lépése egy indítófájl létrehozása volt a Windows rendszerben, hogy minden rendszerindításkor aktiválódjon. A kártevő a böngészőben tárolt session tokenekre összpontosított, amelyek lehetővé tették számára a Facebookra és más közösségi oldalakhoz való hozzáférést. Ezenkívül az ügynökségi dolgozó minden böngészőműveletét megfigyelte, beleértve a Facebookra való bejelentkezést is. Amint a csalók hozzájutottak a munkatárs Facebook-fiókjának adataihoz, megszerezték a hirdetéskezelési felület hozzáférési jogosultságait is. A legtöbb marketingügynökségnél, ahogy ebben az esetben is, a Facebook-fiókhoz társított bankkártyák adatai és egyéb érzékeny információk is hozzáférhetővé váltak. Az adathalászok így saját, illegális hirdetéseket indíthattak a magyar ügynökség fiókjából, anélkül, hogy az ügynökség vagy a Facebook észrevette volna. Ez több ezer eurós kárt okozott, mivel a Facebook automatikusan felszámította az ügynökséghez társított bankkártya költségeit.

A megoldás

A G Data szakértője szerint a legfontosabb óvintézkedés az alapos figyelem és a kritikus gondolkodás. A kétlépcsős hitelesítés valóban segíthet a bejelentkezési adatok illegális felhasználásának megakadályozásában, de ha a felhasználó már egy malware által fertőzött gépet használ, akkor ez sem jelent teljes biztonságot. A jelszavas fájlok kicsomagolásánál mindig legyünk óvatosak, különösen, ha nem ismerjük azok eredetét. A legjobb védekezés a gyanús e-mailek és fájlok azonnali törlése, valamint egy megbízható víruskereső program használata.

A következmények

A magyar marketingügynökség esete nem egyedi. Az internetes csalások száma világszerte növekszik, különösen a távmunka és a digitális kommunikáció terjedése miatt. A vállalatok és az egyének egyaránt célpontok lehetnek. A legjobb védelem a folyamatos tájékozódás, az óvatosság és a modern kiberbiztonsági megoldások alkalmazása. Minden internetezőnek tudatában kell lennie annak, hogy a digitális világban semmi sem biztonságos, és mindig ébernek kell lennie az új fenyegetésekkel szemben. Forrás: telex.hu