EncryptHub kompromitterer 618 organisasjoner for å distribuere infostealere og løsepengevirus. Hackere utnyttet sårbarhet i Krpano-rammeverket til å injisere spamannonser på over 350 nettsteder.
EncryptHub kompromitterer 618 organisasjoner for å distribuere infostealere og løsepengevirus
Trusselaktøren kjent som 'EncryptHub', også referert til som Larva-208, har siden juni 2024 kompromittert minst 618 organisasjoner globalt gjennom målrettede phishing- og sosial manipulasjonsangrep. Etter å ha oppnådd tilgang, installerer de fjernovervåkings- og administrasjonsprogramvare (RMM) som AnyDesk og TeamViewer, etterfulgt av distribusjon av infostealere som Stealc og Rhadamanthys. I mange tilfeller implementerer de også løsepengevirus på de kompromitterte systemene. EncryptHub er assosiert med ransomware-gruppene RansomHub og BlackSuit, og fungerer muligens som en initial tilgangsmegler eller direkte tilknyttet disse. Angrepene starter ofte med phishing-meldinger som leder ofrene til falske påloggingssider som etterligner kjente VPN-produkter som Cisco AnyConnect og Microsoft 365, hvor innloggingsinformasjon og MFA-tokens blir stjålet i sanntid.
Organisasjoner bør styrke sine sikkerhetstiltak ved å implementere flerfaktorautentisering, regelmessig oppdatere og patche systemer, og trene ansatte i å gjenkjenne og rapportere phishing-forsøk. Det er også viktig å overvåke nettverkstrafikk for uvanlig aktivitet og begrense tilgangen til kritiske systemer.
Hackere utnyttet sårbarhet i Krpano-rammeverket til å injisere spamannonser på over 350 nettsteder
En cross-site scripting (XSS) sårbarhet i Krpano-rammeverket, brukt for å integrere 360° bilder og videoer, har blitt utnyttet av ondsinnede aktører til å injisere skadelige skript på over 350 nettsteder. Denne kampanjen, kalt 360XSS, påvirket blant annet offentlige portaler, amerikanske delstatsnettsteder, universiteter, store hotellkjeder, nyhetsmedier, bilforhandlere og flere Fortune 500-selskaper. Angriperne manipulerte søkeresultater for å spre spamannonser relatert til pornografi, kosttilskudd, nettkasinoer og falske nyhetssider. Sårbarheten, identifisert som CVE-2020-24901 med en CVSS-score på 6,1, ble først rapportert i 2020. Selv om en oppdatering i versjon 1.20.10 av Krpano begrenset "passQueryParameters"-innstillingen for å forhindre slike XSS-angrep, fant forsker Oleg Zaytsev at eksplisitt tillatelse av XML-parameteren gjeninnførte XSS-risikoen. Den nyeste versjonen av Krpano fjerner støtte for ekstern konfigurasjon via XML-parameteren, noe som reduserer risikoen for slike angrep.
Brukere av Krpano oppfordres til å oppdatere til den nyeste versjonen og sette "passQueryParameters"-innstillingen til false. Eiere av berørte nettsteder bør bruke Google Search Console for å identifisere og fjerne infiserte sider.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.