Ny Windows-bakdør "BITSLOTH" utnytter BITS for skjult kommunikasjon. Over 35 000 domener kapret i “Sitting Ducks”-angrep. UNC4393 utvider sine angrep med BASTA-ransomware etter QAKBOT-nedleggelsen.
Ny Windows-bakdør "BITSLOTH" utnytter BITS for skjult kommunikasjon
Sikkerhetsforskere har oppdaget en ny Windows-bakdør skadevare kalt "BITSLOTH", som bruker den legitime Background Intelligent Transfer Service (BITS)-protokollen for kommando og kontroll (C2)-operasjoner. Et cyberangrep på et utenriksministerium i Sør-Amerika, knyttet til BITSLOTH, ble oppdaget den 25. juni 2024 av Elastic Security Labs.
BITSLOTH, utviklet siden desember 2021, har 35 funksjoner for tastelogging, skjermfangst, kartlegging av systemet og kjøring av kommandoer. Indikasjoner tyder på kinesisk opprinnelse, på grunn av kryptering via RingQ og bruk av verktøy som STOWAWAY og iox.
Bakdøren utnytter BITS for å forbli uoppdaget, og utnytter organisasjoners vanskeligheter med å overvåke BITS-trafikk.
Over 35 000 domener kapret i “Sitting Ducks”-angrep
Over 35 000 domener har blitt kapret i løpet av de siste seks årene gjennom såkalte “Sitting Ducks”-angrep. De stjålne domenene har blitt brukt til merkevareetterligning, datatyveri, distribusjon av skadelig programvare og phishing. Angrepet utnytter feilkonfigurasjoner mellom domeneregistratoren og den autoritative DNS-leverandøren. Hvis den autoritative DNS-leverandøren ikke kan svare autoritativt for et domene det skal betjene (kjent som “lame delegation”), kan angripere ta kontroll over domenet uten å ha tilgang til den legitime eierens konto. Fortsatt kan rundt 1 million domener utnyttes gjennom disse svakhetene.
Det anbefales at domeneregistratorer kontrollerer eierskap til domener før en konto kan registrere det og at brukere ikke kan endre navnetjener etter at det er registrert.
UNC4393 utvider sine angrep med BASTA-ransomware etter QAKBOT-nedleggelsen
Mandiant har skrevet en detaljert bloggpost om trusselaktøren UNC4393, som står bak mange ransomware-angrep. I midten av 2022 oppdaget Mandiant flere innbrudd som involverte QAKBOT, noe som førte til identifsering av trusselaktøren UNC4393, hovedbrukeren av BASTA-ransomware. Mandiant har etterforsket over 40 innbrudd på tvers av 20 ulike bransjer, inkludert helsevesenet, utført av aktøren.
Etter FBI og Justisdepartementets nedleggelse av QAKBOT-infrastrukturen i 2023, begynte UNC4393 å bruke andre distribusjonsmetoder, som DARKGATE via phishing. Gruppen har utviklet skreddersydd skadevare og diversifisert sine tilgangsteknikker, det går vanligvis 42 timer fra initiell tilgang til løsepengekrav.
Les bloggposten for flere detaljer!
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.