Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 11 February 2022

2022.02.11 - Nyhetsbrev

Regsrvr32 (LOLBin) utnyttes til å spre trojanere og intern forflytning i nett. FritzFrog SSH-botnet har tatt over mer enn 1500 enheter. Apple oppdaterer zero-day svakhet som allerede utnyttes for å hacke iPhone, iPad og Mac.

Regsrvr32 (LOLBin) utnyttes til å spre trojanere og intern forflytning i nett

Regsrv32 er ett CLI-verktøy som brukes til å registrere og avregistrere biblioteker. Når man registrere en DLL-fil med regsrv32, legger man til informasjon i registeret slik at filen kan brukes av andre Windows-programmer. Angripere kand dermed bruke regsrvr32 til å laste COM-skript for å eksekvere DLLer. Dermed blir ikke COM-objektet registrert, men det blir eksekvert. En grundigere gjennomgang av teknikken er skrevet av Uptycs.

Det har også vært en oppgang i registrering av .OCX filer ved hjelp av skadlige Microsoft Office dokumenter med makroer. Så langt har Uptycs sett mer enn 500 skadevare-eksemplarer som har brukt Regsrvr32.exe til å registrere .OCX-filer. Flere av disse tilhørte skadevarefamilien Qbot og Lokibot.

For å oppdage om noen forsøker å utnytte Regsrvr32 kan man se på om foreldre-prosessen til Regsrvr32 er Microsoft Office, eller om den prøver å laste scrobj.ddl.
Referanser
https://threatpost.com/cybercriminals-windows[...]
https://www.uptycs.com/blog/attackers-increas[...]

FritzFrog SSH-botnet har tatt over mer enn 1500 enheter

FritzFrog angriper tilnærmet alt som benytter seg av SSH. Det ble først oppdaget av Akamai labs i midten av 2020, da det hadde tatt over mer enn 500 enheter. Botnettet er desentralisert og benytter seg av peer to peer arkitektur, som gjør det vanskelig å oppdage og stenge ned. Den har også en del avanserte teknikker for å angripe målene sine.

Angrepsteknikken til FritzFrog går ut på å scanne nettverk for SSH-tjenere, deretter brute-force angripe dem for å få initiell tilgang. Så blir skadevare installert og tjeneren begynner høre på port 1234. Så begynner scanning etter port 22 og 2222 mot andre IP-adresser. Oppnår den kontakt med andre noder i botnettet, vil de utveksle data og sørge for at de begge benytter seg av den nyeste versjonen av skadevaren og dens database. Den nyeste teknikken som blir brukt er å proxye SSH over Tor-nettverket for å maskere kilden til forbindelsen.
Referanser
https://arstechnica.com/information-technolog[...]

Apple oppdaterer zero-day svakhet som allerede utnyttes for å hacke iPhone, iPad og Mac

Apple har gitt ut sikkerhetsoppdateringer som fikser en ny nulldagssårbarhet i Safari som gjelder iPhone, iPad og Mac. Sårbarheten har blitt observert i aktiv utnyttelse av angripere. Svakheten er av typen "user after free" og har fått ID CVE-2022-22620.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://support.apple.com/en-us/HT213093
https://support.apple.com/en-us/HT213092

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>