TSOC-nyhetsbrev: 2022.09.16

Friday 16 September 2022

2022.09.16 - Nyhetsbrev

Uber melder at deres interne systemer har blitt kompromittert. Modifisert Putty misbrukes av Nord-Korea. Symantec: Webworm benytter seg av modifiserte eldre verktøy for fjerntilgang.

Uber melder at deres interne systemer har blitt kompromittert

Referanser
Uber har natt til torsdag meldt at deres interne systemer har blitt kompromittert. Skjermbilder delte av hackeren viser tilganger til kritiske interne systemer som Windows-domene, AWS-konsoll, Google Workplace email admin dashbord og Slack Server. Uber har meldt at de er i kontakt med myndighetene og vil dele mer informasjon så fort det blir tilgjengelig. Hackeren som stod bak innbruddet fikk tilgang ved hjelp av sosial manipulering av en ansatt. Ved hjelp av dette fikk han tilgang via VPN. Deretter fant han passordet til det interne systemet for å håndtere passord i et Powershell-script og fikk dermed tilgang til en mengde passord og tilganger. Innbruddet viser nok en gang viktigheten av sterk to-faktor autentisering.
https://www.bleepingcomputer.com/news/securit[...] https://twitter.com/Uber_Comms/status/1570584[...]

Modifisert Putty misbrukes av Nord-Korea

Referanser
Nord-Koreanske hackere bruker modifiserte Putty SSH-klienter for å utplassere bakdører. Dette gjøres ved bruk av trojaner typen AIRDRY.V2. Trussel-aktøren tar kontakt med profilerte mål via epost med et lukrativt jobb-tilbud hos Amazon, og deretter fortsetter kontakten på Whatsapp. Under samtalen deler trussel aktøren en ISO-fil kalt "amazon_assessment.iso", der den modifiserte Putty-klienten ligger. Verktøyet utnytter en svakhet i Windows color management tool, slik at brukeren ikke ser aktiviteten. Deretter brukes DAVESHELL til å utplassere AIRDRY.V2 bakdøren, som dertter eksekveres direkte fra minnet. Angrepet er en del av den pågående "Operation Dream Job" som har pågått side juni 2020. Mediekonsern er ofte mål for kampanjen.
https://www.bleepingcomputer.com/news/securit[...]

Symantec: Webworm benytter seg av modifiserte eldre verktøy for fjerntilgang

Referanser
Trusselaktøren Webworm har modifisert flere eldre RATs (Remote Access Trojan). Typene det er snakk om er Trochilus RAT, 9002 RAT og Gh0st RAT. Endringene som er gjort er hovedsakelig for å unngå å bli oppdaget gjennom kjente signaturer. Rapporten inneholder IOCer for å oppdage de modifiserte verktøyene.
https://symantec-enterprise-blogs.security.co[...]

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

Om Telenor SOC

Telenor SOC (TSOC) er en avdeling i Telenor som driver en 24/7-tjeneste for overvåking og beskyttelse av kunders nettverk og datautstyr.

Våre analytikere gjør kontinuerlig analyse av uønsket aktivitet på internett, og vi ønsker med denne bloggen å bidra med teknisk informasjon som kan være til nytte for andre i sikkerhetsmiljøet.

Ta kontakt med oss for en prat om din bedrifts sikkerhet! https://www.telenor.no/bedrift/sikkerhet/kontakt/

Få oversikt over våre sikkerhetstjenester! https://www.telenor.no/sikkerhet/trygg-bedrift/

TSOC-nyhetsbrev

Friday 16 September 2022

2022.09.16 - Nyhetsbrev

Uber melder at deres interne systemer har blitt kompromittert

Modifisert Putty misbrukes av Nord-Korea

Symantec: Webworm benytter seg av modifiserte eldre verktøy for fjerntilgang

No comments:

Post a Comment

Om Telenor SOC

Kontaktinformasjon

Nyhetsbrev via epost

Følg oss på Facebook!

Følg oss på Twitter!

Arkiv

Offentlig PGP-nøkkel

Creative Commons

Popular posts from this blog

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.03.26

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2024.02.13

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.31

Report Abuse