Iransk aktør benytter seg av flere identiteter i phishing-angrep. Microsoft Teams lagrer autentiserings-nøkler i klartekst på flere platformer. USAs myndigheter offentliggjør sanksjoner, siktelser og dusører mot navngitte iranske løsepengevirus-aktører.
Iransk aktør benytter seg av flere identiteter i phishing-angrep
| Den Iranske aktøren TA453 sender eposter til offeret med flere av aktørens egne kontoer på CC. Deretter gjennomfører de en falsk samtale mellom de falske epost-kontoene for å bygge troverdighet. I løpet av samtalene har de også sendt lenker til OneDrive-kontoer hvor offeret blir forsøkt lurt til å laste ned en ondsinnet fil. Den ondsinnede filen eksekverer 3 makroer Module1.bas, Module2.bas og ThisDocument.cls som eksfiltrerer brukernavn, offentlig IP-adresse og en liste over kjørende prosesser via chatte-tjensten Telegram. Angrepsmetoden har fått navnet "Multi-persona impersonation" (MPI) av etterforskere hos Proofpoint, som først oppdaget teknikken. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] |
Microsoft Teams lagrer autentiserings-nøkler i klartekst på flere platformer
| Sårbarheten påvirker Teams på Windows, Linux og MacOS og gjør det mulig å enkelt finne autentiserings-tokens på maskinen. Dette kan utgjøre en trussel dersom en klient blir infisert med informasjons-stjelende skadevare. Ettersom dette krever initiell tilgang til klienten, har Microsoft har meddelt at har valgt å ikke patche feilen med det første, ettersom de ikke er enige i at dette er en alvorlig svakhet. Generelt er det vanskelig å lagre data fullstendig kryptert for brukeren selv, når brukerens applikasjoner trenger tilgang til dataene. Svakheten gjør det mulig å hente autentiserings tokens rett fra cookies eller en -ldb-fil. For de som ikke kan benytte seg av andre løsninger anbefales det å overvåke tilganger til følgende filer: Windows: %AppData%MicrosoftTeamsCookies Windows: %AppData%MicrosoftTeamsLocal Storageleveldb MacOS: ~/Library/Application Support/Microsoft/Teams/Cookies MacOS: ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb Linux: ~/.config/Microsoft/Microsoft Teams/Cookies Linux: ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] |
USAs myndigheter offentliggjør sanksjoner, siktelser og dusører mot iranske løsepengevirus-aktører
| Amerikanske myndigheter har offentliggjort en liste med sanksjoner, siktelser og dusører knyttet til en gruppe iranske statsborgere. Disse er anklaget for å samarbeide med Irans forsvarstjeneste for å starte løsepenge-angrep mot hundrevis av amerikanske sykehus, statlige organisasjoner, ideelle organisasjoner og bedrifter. Amerikanerne sier de har vært aktive siden 2020. Det blir utlovet dusør på opp til $10 millioner for informasjon om tre navngitte personer, som også identifiseres med bilder. Gruppen har scannet Fortinet FortiOS og Microsoft Exchange Servere for sårbarheter siden tidlig 2021 for å oppnå tilgang til systemer. Hovedsakelig er det organisasjoner fra USA, Storbritania og Australia som er målene deres. Etter at de oppnår tilgang til systemer forsøker de gjerne å hente ut data og kryptere systemene. Dataene blir ofte brukt til å utpresse organisasjonene. Begge metodene blir brukt i håp om betaling av løsepenger. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://therecord.media/u-s-govt-unveils-sanc[...] https://www.cisa.gov/uscert/ncas/alerts/aa22-257a |