Fancy Lazarus driver utpressingskampanje mot bedrifter. Hackergruppe brukte Slack til å stjele data fra Electronic Arts. Sårbarheter i Akkadian Provisioning Manager kan føre til ekstern kodeeksekvering.
Fancy Lazarus driver utpressingskampanje mot bedrifter
En gruppe som kaller seg Fancy Lazarus driver nå en målrettet kampanje mot bedrifter i USA og andre deler av verden. Navnet kommer av at gruppen utgir seg for å være kjente trusselaktører som Fancy Bear og Lazarus Group. Sikkerhetsselskapet Proofpoint skriver at bedrifter i mange ulike sektorer har blitt kontaktet av gruppen. Kontakten skjer per e-post, hvor gruppen forlanger en utbetaling på 2 Bitcoin (Ca 600 000 NOK) for at bedriften ikke skal bli utsatt for et DDoS-angrep. Om bedriften ikke betaler innen en gitt tidsfrist dobles summen, og deretter øker den med én Bitcoin hver dag. Det er ikke alltid at gruppen gjennomfører truslene, men flere bedrifter har blitt utsatt for DDoS-angrep (demo-angrep) etter at de har blitt kontaktet. I løpet av de siste ukene har også noen norske bedrifter mottatt trusler fra denne grupperingen. |
||||
Referanser | ||||
---|---|---|---|---|
https://threatpost.com/fancy-lazarus-cyberatt[...] |
Hackergruppe brukte Slack til å stjele data fra Electronic Arts
I fredagens nyhetsbrev skrev vi at Electronic Arts hadde blitt frastjålet kildekode fra spill og utviklingsverktøy. I en artikkel skrevet av Vice på lørdag, kommer det frem at hackerne brukte Slack til å få tilgang på dataene. Ved å bruke innloggingsinformasjon lagret i en cookie kjøpt på nettet for 10 dollar, fikk hackerne tilgang til en Slack-kanal brukt av EA. Deretter tok de kontakt med IT-support, forklarte at de hadde mistet telefonen sin på en fest, og spurte etter en multifaktorkode de kunne bruke for å nå det interne bedriftsnettet til EA. Det fikk de, og etter å ha fått tilgang til nettverket, ble interne verktøy brukt for å hente ut data. |
||||
Referanser | ||||
---|---|---|---|---|
https://www.vice.com/en/article/7kvkqb/how-ea[...] |
Sårbarheter i Akkadian Provisioning Manager kan føre til ekstern kodeeksekvering
Tre sårbarheter i Akkadian Provisioning Manager kan misbrukes for å kunne gjøre ekstern kodeeksekvering. Programmet brukes som regel for å hjelpe til med å håndtere enheter i Cisco Unified Communcations-løsningen. Sikkerhetsselskapet Rapid7 fikk under en penetrasjonstest tilgang til hardkodede brukernavn og passord (registrert som CVE-2021-31579) ved å manipulere oppstartsprosessen til programmet. Ved å logge inn som denne brukeren i konsollbrukergrensesnittet til programmet, fant de at brukeren hadde sudo-rettigheter. Deretter fant de to måter å gå ut av det begrensede miljøet grensesnittet kjørte i (CVE-2021-31580/81), og kunne kjøre vilkårlig kode i miljøet. De fant til slutt filer med innloggingsinformasjon i klartekst til en lokal MariaDB. |
||||
Anbefaling | ||||
---|---|---|---|---|
Ikke eksponer port 22 mot Internett, og begrens brukertilgangen. | ||||
Referanser | ||||
https://threatpost.com/unpatched-bugs-provisi[...] https://www.rapid7.com/blog/post/2021/06/08/a[...] |