Hackere utnytter kritisk feil i LiteSpeed Cache-plugin i Wordpress. Ransomware-gjengen Qilin stjeler nå innloggings-info fra Chrome-nettlesere.
Hackere utnytter kritisk feil i LiteSpeed Cache-plugin
Hackere utnytter en kritisk sårbarhet i Wordpress-pluginen LiteSpeed Cache. Sårbarheten stammer fra en svak sjekk av hash-verdien i pluginens funksjon for brukersimulering, som kan utnyttes av angripere ved å brute-force hash-verdien for å opprette falske administratorkontoer. Av 5 millioner sider som bruker LiteSpeed Cache, kjører kun 30% den sikre versjonen. Det anbefales å oppdatere til siste versjon (6.4.1) eller avinstallere LiteSpeed Cache.
Qilin stjeler nå bruker-informasjon fra Chrome-nettlesere
Ransomware-gjengen Qilin har implementert en ny taktikk som innebærer bruk av et skreddersydd verktøy for å stjele påloggingsinformasjon lagret i Google Chrome. I et angrep analysert av Sophos fikk Qilin først tilgang til bedriften ved å utnytte kompromitterte innloggingsdetaljer for VPN-portaler som ikke bruker MFA. Videre brukte de et GPO (Group Policy Object) til å kjøre et Powershell-script kalt "IPScanner.ps1" på alle maskiner i domenet, som igjen kjører en "logon.bat" lokalt. Dette scriptet henter ut innloggings-informasjon fra Chrome. Til slutt blir dataene lagret under navnene "LD" eller "temp.log" i "SYSVOL" mappen. Etter å ha sendt filene til Qilins C2-server, ble de lokale kopiene og tilhørende hendelseslogger slettet for å skjule aktiviteten. Til slutt detonerte Qilin ransomwaret sitt og krypterte data på de kompromitterte maskinene.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.