2022 júliusában, Shakeeb Ahmed – aki korábban egy neves nemzetközi technológiai vállalatnál látott el senior biztonsági mérnöki feladatokat, és kimagaslóan jártas volt a
blokklánc-auditok terén, valamint az intelligens szerződések dekódolásában –, az
Egyesült Államokban hároméves
börtönbüntetésre ítélték. Az ítéletet 2023 decemberében hozták meg, miután Ahmed beismerő vallomást tett egy számítógépes csalással kapcsolatos vádpontban.
Az
Amerikai Igazságügyi Minisztérium (DoJ) szerint Ahmed bűncselekményei során egy biztonsági rést használt ki egy meg nem nevezett kriptotőzsdén. Ezt a biztonsági rést felhasználva manipulált az intelligens szerződésekben szereplő árazási adatokkal, ezzel mesterségesen felfújva a tranzakciós díjakat, és így több millió dollár értékben szerezve jogtalan hasznot, amelyet később sikeresen felvett.
Emellett Ahmed tárgyalásokat kezdeményezett a
cégvezetéssel, és beleegyezett, hogy visszafizeti a jogtalanul megszerzett összegek nagy részét, 1,5 millió dollárt kivéve, amennyiben a tőzsde hajlandó nem értesíteni a hatóságokat a történtekről. A
CoinDesk hírügynökség beszámolója szerint egy névtelen támadó több mint
8 millió dollár értékű kriptovalutát adott vissza a
Solana-alapú Crema Finance kriptotőzsdének, miközben 1,68 millió dollárt megtartott „fehér kalapos” jutalomként.
Továbbá, Ahmed egy másik támadást is végrehajtott a
Nirvana Finance nevű decentralizált kriptotőzsde ellen, ahonnan 3,6 millió dollárt sikkasztott el, ami a tőzsde végleges bezárásához vezetett.
A megszerzett összegeket Ahmed kriptovalutákon keresztüli áthidaló hálózatok használatával tisztította meg, és a zsákmányt
Moneróvá alakította át, olyan mixerek használatával, mint a
Samourai Whirlpool.
A hároméves szabadságvesztés mellett Ahmedet további három év felügyelet melletti szabadlábra helyezésre ítélték, továbbá kötelezték, hogy fizesse meg a kártérítést, amely több mint
5 millió dollárt tesz ki, valamint köteles visszafizetni a körülbelül
12,3 millió dollár értékű jogtalanul megszerzett összeget.
Forrás:
www.thehackernews.com
A Google bejelentette, hogy elkezdte egy új funkció, a Device Bound Session Credentials (DBSC) tesztelését a Chrome böngészőben. Ennek célja a malware által végrehajtott session cookie lopás elleni védelem nyújtása a felhasználóknak.
Ez a prototípus, amely jelenleg néhány Google-fiókot használó Chrome Beta felhasználó körében zajlik, azzal a szándékkal jött létre, hogy nyílt webes szabvánnyá váljon, mondta a tech óriás Chromium csapat.
“Az autentikációs munkamenetek eszközhöz kötésével a DBSC célja az, hogy megnehezítse a cookie lopásra specializálódott tevékenységeket, mivel így a sütik kiszivárogtatása nem lesz hasznos,” tette hozzá a vállalat.
“Úgy vélem, hogy ez jelentősen csökkenteni fogja a cookie lopásra specializálódott malware sikerességi arányát. A támadóknak ebben az esetben az adott eszközön kellene cselekedniük, ami hatékonyabbá teszi az észlelést és a tisztítást, mind az antivírus szoftverek, mind a vállalati kezelés alatt álló eszközök esetében.”
Ez a fejlesztés azon jelentések nyomán jött létre, amelyek szerint a pénzért megvásárolható információlopó malware-ek új módszereket találnak a sütik lopására oly módon, hogy lehetővé teszik a fenyegetés színészei számára a többtényezős hitelesítés (MFA) védelem megkerülését és a jogosulatlan hozzáférést az online fiókokhoz.
Munkamenet-eltérítési technikák nem számítanak újdonságnak. 2021 októberében a Google Threat Analysis Group (TAG) részletezett egy phishing kampányt, mely YouTube tartalomkészítőket célzott cookie lopó malware-rel, hogy eltérítse fiókjaikat és monetizálja a hozzáférést kriptovaluta csalások elkövetésére.
Idén januárban a CloudSEK felfedte, hogy információlopók, többek között a Lumma, Rhadamanthys, Stealc, Meduza, RisePro és WhiteSnake, frissítették képességeiket a felhasználói munkamenetek eltérítésére és a Google szolgáltatásokhoz való folyamatos hozzáférés lehetővé tételére még jelszóváltoztatás után is.
A Google a Hacker Newsnak mondta, hogy “a cookie-kat és tokeneket lopó malware-ekkel kapcsolatos támadások nem újak; rendszeresen frissítjük védelmeinket ezekkel a technikákkal szemben és hogy megvédjük azokat a felhasználókat, akik malware áldozataivá válnak.”
Továbbá azt javasolta a felhasználóknak, hogy engedélyezzék a Bővített Biztonságos Böngészést a Chrome webböngészőben a phishing és malware letöltések elleni védelem érdekében.
A DBSC célja, hogy csökkentse ezeket a rosszindulatú tevékenységeket egy olyan kriptográfiai megközelítéssel, amely az eszközhöz köti a munkameneteket, így nehezebbé téve az ellenségek számára a lopott sütikkel történő fiókeltérítést.
A GambleForce nevű eddig ismeretlen hackercsoportot legalább 2023 szeptemberétől kezdődően sorozatban fellépő SQL injection támadásokhoz kötik, olyan vállalatok ellen, amelyek elsősorban az Ázsia-Csendes-óceáni régióban (APAC) működnek.
“A GambleForce egyszerű, ugyanakkor hatékony technikákat alkalmaz, beleértve az SQL injectiont és a sebezhető webes tartalomkezelő rendszerek (CMS) kihasználását a felhasználói hitelesítő adatok, például jelszavak ellopására,” áll a Group-IB által a The Hacker News számára megosztott jelentésben, a székhelyünkön, Szingapúrban.
A csoport becslései szerint 24 szervezetet vett célba az ausztrál, brazil, kínai, indiai, indonéz, filippínó, dél-koreai és thai szerencsejáték, kormány, kiskereskedelem és utazás területén. Ezek közül hat támadás volt sikeres.
A GambleForce működési módja kizárólagosan az open-source eszközökre támaszkodik, mint például a dirsearch, sqlmap, tinyproxy és redis-rogue-getshell, a támadások különböző szakaszaiban a kompromittált hálózatokból érzékeny információk kiszivárogtatásának végső céljával.
A fenyegetési tényező által használt eszközök között szerepel a törvényes utókiaknak való Cobalt Strike keretrendszer is. Érdekesség, hogy a támadás infrastruktúráján felfedezett eszköz verziója kínai parancsokat használt, habár a csoport eredete messze nem egyértelmű.
A támadási láncok magukban foglalják az áldozatok nyilvánosan elérhető alkalmazásainak visszaéléseit SQL injection kihasználásával, valamint a CVE-2023-23752 sebezhetőség kihasználását a Joomla CMS-ben, hogy jogosulatlan hozzáférést szerezzenek egy brazíliai vállalathoz.
Jelenleg nem ismert, hogyan használja fel a GambleForce az ellopott információkat. A kiberbiztonsági cég azt állította, hogy leállította az ellenfél irányító- és ellenőrző (C2) szerverét, és értesítette az azonosított áldozatokat.
“A webes beillesztések a legrégebbi és legnépszerűbb támadási vektorok közé tartoznak,” mondta Nikita Rostovcev, a Group-IB vezető fenyegetésanalitikusa.
“És az az ok, hogy néha a fejlesztők figyelmen kívül hagyják a bemeneti biztonság és az adatellenőrzés fontosságát. Biztonságtalan kódolási gyakorlatok, helytelen adatbázisbeállítások és elavult szoftverek teremtenek megfelelő környezetet az SQL injection támadásokhoz a webalkalmazásokon.”
Az elmúlt hetekben több Google Drive felhasználó számolt be adatvesztésről, amely a Google felhő alapú tárhelyszolgáltatását érintette. A probléma felfedezése óta egyre több panasz érkezik, amelyek között vannak olyan esetek, ahol felhasználók több ezer fájlt veszítettek el. Egy Yeonjoong nevű felhasználó a Google támogatási fórumán osztotta meg tapasztalatait, ahol arról számolt be, hogy hat hónapnyi adata vált hirtelen hozzáférhetetlenné. Nem sokkal később más felhasználók is hasonló jellegű problémákkal jelentkeztek, többen több ezer fontos dokumentum elvesztéséről számoltak be.
A felhasználói panaszok szerint a Google Drive asztali alkalmazásában is előfordult adatvesztés. Ez a szoftver szinkronizálja a felhőben tárolt adatokat a helyi számítógépekkel, így a probléma komoly hatással lehet a felhasználók mindennapi munkájára. Jelenleg még nem világos, hogy mi okozza a hibát, és nincs információ arról sem, hogy a fájlok visszaállíthatóak-e.
Ez az eset rávilágít a biztonsági mentés fontosságára, különösen a munkához nélkülözhetetlen adatok esetében. Sok felhasználó nem rendelkezik megfelelő biztonsági mentéssel, ami ilyen esetekben súlyos következményekkel járhat. A biztonsági mentés több módon is megoldható, például külső merevlemezek, SSD-k, NAS rendszerek RAID1 vagy RAID5 módban, CD-k, DVD-k, Blu-ray lemezek, memóriakártyák, pendrive-ok használatával, vagy akár különböző felhőszolgáltatások kombinálásával.
A Google szakemberei már elismerték a problémát és vizsgálatokat folytatnak annak okának megállapítására. A felhasználók reménykednek a gyors megoldásban, hiszen sokuk számára a Google Drive elengedhetetlen része a mindennapi munkának. A Google Drive-nak hatalmas felhasználói bázisa van, és a szolgáltatás elterjedtsége miatt a probléma széles körben érinthet felhasználókat szerte a világon.
A Google vállalatnak meg kell találnia a hiba forrását, hogy a jövőben elkerüljék az ilyen típusú problémákat. A felhasználók számára fontos, hogy megbízhatóan tárolhassák adataikat, és biztosak legyenek abban, hogy azok bármikor elérhetőek maradnak. A Google-nak ki kell dolgoznia egy stratégiát, amely a jövőben megelőzi az ilyen típusú incidenseket, és biztosítja a felhasználók adatainak biztonságát.
A helyzet figyelemmel kísérése folytatódik, és amint további információk válnak elérhetővé a probléma megoldásával vagy annak lehetséges következményeivel kapcsolatban, arról beszámolunk. A felhasználók számára reményt jelenthet, hogy a Google gyorsan reagál a problémára, és lehetőség szerint helyreállítja az elveszett adatokat, bár az is lehet, hogy bizonyos esetekben az adatvesztés végleges marad.
A Mustang Panda Hackerek Célpontjai a Fülöp-szigeteki Kormány Között Feszülő Dél-kínai-tengeri Feszültségek Közepette
Az izraeli felsőoktatási és technológiai szektorokat célozták meg a pusztító jellegű kibertámadások, amelyek 2023 januárjában kezdődtek azzal a szándékkal, hogy ismeretlen törlő kártevőket telepítsenek.
A Palo Alto Networks Unit 42 a három kampányt 2023 augusztusában az ellenséges kollektívának tulajdonította, elsősorban a Dél-Csendes-óceáni szervezeteket megcélzó kampányokra összpontosítva.
“A kampányok legitim szoftvereket használtak fel, többek között a Solid PDF Creator-t és a SmadavProtect-et (egy indonéz alapú antivírus megoldást), hogy rosszindulatú fájlokat töltsenek fel,” mondta a cég.
“A fenyegetés szerzői kreatívan konfigurálták a kártékony szoftvert, hogy az legitim Microsoft forgalmat szimuláljon a parancs-és-vezérlés (C2) kapcsolatokhoz.” A Mustang Panda, amelyet Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus néven is követnek, egy kínai fejlett állandó fenyegetést (APT) jelent, amely legalább 2012 óta aktív, kiberspionázs kampányokat szervez nem kormányzati szervezetek (NGO-k) és kormányzati testületek ellen Észak-Amerikában, Európában és Ázsiában.
2023 szeptemberének végén a Unit 42 szintén az említett fenyegető szereplőt tette felelőssé egy név nélküli délkelet-ázsiai kormány ellen irányuló támadásokért, amelyek a TONESHELL nevű hátsó ajtó egy változatát terjesztették.
A legújabb kampányok dárda-phishing e-maileket használnak rosszindulatú ZIP archívum fájl szállítására, amely egy rosszindulatú dinamikus kapcsolódó könyvtárat (DLL) tartalmaz, amelyet egy DLL oldalbetöltési technikával indítanak el. A DLL ezután kapcsolatot létesít egy távoli szerverrel.
Úgy értékelték, hogy a Fülöp-szigeteki kormányzati entitás valószínűleg egy ötnapos időszak alatt, 2023. augusztus 10. és 15. között került kompromittálásra.
A SmadavProtect használata ismert taktika, amelyet a Mustang Panda az elmúlt hónapokban alkalmazott, kifejezetten a biztonsági megoldás kijátszására tervezett kártékony szoftvereket telepítve. “Állami Taurus továbbra is bizonyítja képességét az állandó kiberspionázs műveletek végrehajtására, mint az egyik legaktívabb kínai APT,” mondták a kutatók.
“Ezek a műveletek globálisan különböző entitásokat céloznak meg, amelyek összhangban vannak a kínai kormány geopolitikai érdeklődési körével.”
A felfedezés azzal egyidőben történik, hogy egy dél-koreai APT szereplőt, a Higaisa nevűt fedeztek fel, amely kínai felhasználókat céloz meg, ismert szoftveralkalmazásokat utánzó adathalász weboldalakon keresztül, mint például az OpenVPN.
“Egyszer végrehajtva, a telepítő Rust alapú kártékony szoftvert telepít és futtat a rendszeren, ezután aktiválva egy shellcode-ot,” mondta a Cyble a múlt hónap végén. “A shellcode anti-debugging és dekódoló műveleteket hajt végre. Ezt követően titkosított parancs-és-vezérlés (C&C) kommunikációt létesít egy távoli Fenyegető Szereplő (TA) felé.”