2021.10.19 - Nyhetsbrev

APT gruppen Lyceum er tilbake. Trusselaktøren TeamTNT med kampanje på Docker Hub. Twitter suspenderer kontoer som brukes til å lure sikkerhetsforskere.

APT-gruppen Lyceum er tilbake

APT gruppen Lyceum, som tidligere har vært assosiert med målrettede angrep i midtøsten, har nylig dukket opp igjen med ny skadevare og taktikker som har fellestrekk med de som brukes av APT-grupper som knyttes til Iran. Det er sikkerhetsforskere ved Kaspersky som har undersøkt dette og funn viser at APT-gruppen har gått fra tidligere PowerShell scripts og .NET-baserte verktøy (DanBot) til ny skadevare skrevet i C++. Blant annet er det to nye bakdør-variasjoner som har blitt kalt James og Kevin, og er designet for å kommunisere med C2 over sikker DNS- og HTTP-tunnellering.
Referanser
https://www.darkreading.com/attacks-breaches/[...] https://www.broadcom.com/support/security-cen[...]

Trusselaktøren TeamTNT med kampanje på Docker Hub

Uptycs Threat Research Team har nylig oppdaget en kampanje på Docker Hub, hvor trusselaktøren TeamTNT har lastet opp en ondsinnet container image som inneholder script for å laste ned verktøy forbundet med penetrasjons-testing. Dette gir trusselaktøren mulighet til å skanne etter flere mål inne i offerets lokalnett og deretter utføre flere ondsinnede handlinger.
Referanser
https://www.uptycs.com/blog/team-tnt-deploys-[...] https://securityaffairs.co/wordpress/123535/c[...]

Twitter suspenderer kontoer som brukes til å lure sikkerhetsforskere

Twitter har lukket to kontoer @lagal1990 og @shiftrows13 som er brukt for å lure sikkerhetsforskere til å laste ned skadelig programvare i en langvarig cyber-spionasje-kampanje som tilskrives Nord-Korea. Dette er andre gang at Twitter har iverksatt tiltak mot kontoer knyttet til Nord-Korea, etter å ha suspendert en annen konto knyttet til spionasjekampanjen i august. Kampanjen ble først oppdaget av Google Threat Analysis Group (TAG) i januar og pågår fortsatt.
Referanser
https://threatpost.com/twitter-suspends-secur[...]