Uber melder at deres interne systemer har blitt kompromittert. Modifisert Putty misbrukes av Nord-Korea. Symantec: Webworm benytter seg av modifiserte eldre verktøy for fjerntilgang.
Uber melder at deres interne systemer har blitt kompromittert
Uber har natt til torsdag meldt at deres interne systemer har blitt kompromittert. Skjermbilder delte av hackeren viser tilganger til kritiske interne systemer som Windows-domene, AWS-konsoll, Google Workplace email admin dashbord og Slack Server. Uber har meldt at de er i kontakt med myndighetene og vil dele mer informasjon så fort det blir tilgjengelig. Hackeren som stod bak innbruddet fikk tilgang ved hjelp av sosial manipulering av en ansatt. Ved hjelp av dette fikk han tilgang via VPN. Deretter fant han passordet til det interne systemet for å håndtere passord i et Powershell-script og fikk dermed tilgang til en mengde passord og tilganger. Innbruddet viser nok en gang viktigheten av sterk to-faktor autentisering. |
||||
Referanser | ||||
---|---|---|---|---|
https://www.bleepingcomputer.com/news/securit[...] https://twitter.com/Uber_Comms/status/1570584[...] |
Modifisert Putty misbrukes av Nord-Korea
Nord-Koreanske hackere bruker modifiserte Putty SSH-klienter for å utplassere bakdører. Dette gjøres ved bruk av trojaner typen AIRDRY.V2. Trussel-aktøren tar kontakt med profilerte mål via epost med et lukrativt jobb-tilbud hos Amazon, og deretter fortsetter kontakten på Whatsapp. Under samtalen deler trussel aktøren en ISO-fil kalt "amazon_assessment.iso", der den modifiserte Putty-klienten ligger. Verktøyet utnytter en svakhet i Windows color management tool, slik at brukeren ikke ser aktiviteten. Deretter brukes DAVESHELL til å utplassere AIRDRY.V2 bakdøren, som dertter eksekveres direkte fra minnet. Angrepet er en del av den pågående "Operation Dream Job" som har pågått side juni 2020. Mediekonsern er ofte mål for kampanjen. |
||||
Referanser | ||||
---|---|---|---|---|
https://www.bleepingcomputer.com/news/securit[...] |
Symantec: Webworm benytter seg av modifiserte eldre verktøy for fjerntilgang
Trusselaktøren Webworm har modifisert flere eldre RATs (Remote Access Trojan). Typene det er snakk om er Trochilus RAT, 9002 RAT og Gh0st RAT. Endringene som er gjort er hovedsakelig for å unngå å bli oppdaget gjennom kjente signaturer. Rapporten inneholder IOCer for å oppdage de modifiserte verktøyene. | ||||
Referanser | ||||
---|---|---|---|---|
https://symantec-enterprise-blogs.security.co[...] |