Clop-gjengen bekrefter datatyveri ved hjelp av Cleo-programvaren. Forsøk på å utntyte ny kritisk svakhet i Apache Struts. Citrix NetScaler utsettes for kraftig økning i brute force-angrep. Tysklands cybersikkerhetsbyrå blokkerer BadBox-skadevare på 30 000 enheter.
Clop-gjengen bekrefter datatyveri ved hjelp av Cleo-programvaren
Clop-ransomware-gruppen har tatt på seg ansvaret for datainnbrudd i Cleo Harmony, VLTrader og LexiCom ved å utnytte en sårbarhet merket CVE-2024-50623. Programvaren brukes av større firmaer for overføring av store filer. Cybersikkerhetsfirmaet Huntress oppdaget at den opprinneligepatchen for svakheten var ufullstendig, noe som lot trusselsaktørene laste opp en Java-bakdør for å stjele data og få tilgang til kompromitterte nettverk.
CISA har bekreftet at sårbarheten er blitt aktivt utnyttet i ransomware-angrep, selv om Cleo enda ikke har offentliggjort dette. Clop har annonsert at de vil slette data fra tidligere angrep og kun fokusere på nye selskaper som er rammet av Cleo-angrepene. Ransomware-gruppen har spesialisert seg på å utnytte ukjente sårbarheter i sikre filoverføringsplattformer siden 2020, med betydelige angrep mot blant annet Accellion, SolarWinds, GoAnywhere og MOVEit.
Forsøk på å utntyte ny kritisk svakhet i Apache Struts
Forrige uke meldte Apache om en ny svakhet i Struts2. Svakheten lar en angriper endre katalogen der en fil blir lastet opp. Det kan dermed være mulig å laste opp et web-shell og senere få startet dette fra rotkatalogen til serveren. Patching av svakheten er ikke helt rett fram, da den krever manuelle endringer i konfigurasjonsfiler for å ha noen effekt. SANS melder nå at det scannes etter svakheten og at den muligens blir forsøkt utnyttet.
Citrix NetScaler utsettes for kraftig økning i brute force-angrep
Cloud Software Group har observert en økning i passordspraying-angrep rettet mot NetScaler-enheter. Angrepene oversvømmer enheten med autentiseringsforespørsler, noe som kan føre til ressursuttømming og driftsforstyrrelser. Selv om multifaktorautentisering (MFA) forhindrer uautorisert tilgang, kan angrepene føre til overbelastning av CPU, fylle opp loggfiler og i noen tilfeller krasje enheten. Angrepene er rettet mot eldre endepunkter som bruker grunnleggende autentisering,
Sikkerhetsselskapet Cyderes identifiserte først økningen og knytter den til nylig rapporterte sårbarheter i Citrix NetScaler-produkter, inkludert CVE-2024-8534 og CVE-2024-8535. Angriperne bruker en distribuert strategi med hyppige bytter av IP-adresser og ASN-numre for å unngå deteksjon.
Cloud Software Group anbefaler å aktivere MFA, blokkere forespørsler til spesifikke endepunkter, bruke WAF, aktivere IP-omdømme og rotere loggfiler oftere for å redusere risikoen for angrep.
Tysklands cybersikkerhetsbyrå blokkerer BadBox-skadevare på 30 000 enheter
Tyske myndigheter har identifisert og omdirigert kommunikasjonen til 30 000 enheter infisert med BadBox-skadevare. Skadevaren, som primært rammer Android-enheter, ble forhåndsinstallert på enheter som video-avspillere og digitale fotorammer, og gir hackere mulighet til å opprette falske kontoer, spre desinformasjon og utføre annonsebedrageri. Myndighetene brukte "sinkholing" for å omdirigere trafikk fra infiserte enheter til sikre servere, og hindret dermed hackere i å få tilgang. BadBox er knyttet til Triada-skadevare, som skaper en bakdør for angripere. Det er dessverre ganske vanlig at billige elektronikk-produkter fra tvilsomme leverandører inneholder ferdig installert skadevare.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.