Hackere bruker PowerShell og legitime Microsoft-applikasjoner for å distribuere skadelig programvare. Njrat utnytter Microsoft Dev Tunnels for C2-kommunikasjon. JavaGhost utnytter Amazon IAM-rettigheter for phishing-angrep. Space Pirates-hackere angriper IT-organisasjoner med LuckyStrike ved bruk av OneDrive.
Hackere bruker PowerShell og legitime Microsoft-applikasjoner for å distribuere skadelig programvare
Cyberkriminelle utnytter i økende grad PowerShell og legitime Microsoft-verktøy i såkalte “fileless” angrep, som gjør det vanskeligere for tradisjonelle antivirusprogrammer å oppdage truslene. Ved å misbruke verktøy som BITS (Background Intelligent Transfer Service), kan angripere laste ned og kjøre skadelig programvare uten å etterlate filer på disken.
For å beskytte seg mot slike angrep, anbefales det å implementere flerlags sikkerhetstiltak, inkludert Endpoint Detection and Response (EDR)-løsninger, forbedret minneanalyse, omfattende PowerShell-logging og begrenset språkmodus for PowerShell.
Njrat utnytter Microsoft Dev Tunnels for C2-kommunikasjon
En nylig kampanje med den velkjente fjernadministrasjonstrojaneren Njrat har blitt oppdaget, der angripere misbruker Microsofts Dev Tunnels-tjeneste for å etablere kommando- og kontroll (C2)-kommunikasjon. Dev Tunnels, designet for å hjelpe utviklere med å eksponere lokale tjenester sikkert for testing og feilsøking, blir utnyttet av trusselaktører til å opprette skjulte forbindelser til sine C2-servere. Dette gjør det vanskeligere for tradisjonelle sikkerhetstiltak å oppdage slik trafikk.
For å beskytte mot slike angrep, anbefales det å overvåke DNS-logger for forespørsler til devtunnels.ms-domener, spesielt i miljøer der Microsoft Dev Tunnels ikke er autorisert. Videre bør bruken av Dev Tunnels begrenses til autoriserte utviklere, og nettverksanomalideteksjon bør implementeres for å identifisere uvanlig aktivitet.
JavaGhost utnytter Amazon IAM-rettigheter for phishing-angrep
Trusselaktøren kjent som JavaGhost har blitt observert utnytte feilkonfigurasjoner i Amazon Web Services (AWS) Identity and Access Management (IAM) for å gjennomføre sofistikerte phishing-kampanjer. Ved å få tilgang til eksponerte, langsiktige AWS-tilgangsnøkler, etablerer de phishing-infrastruktur ved hjelp av tjenester som Amazon Simple Email Service (SES) og WorkMail.
For å beskytte seg mot slike angrep, anbefales det å implementere prinsippet om minst privilegium, regelmessig rotere IAM-legitimasjon, bruke kortvarige tilgangstokener og aktivere multifaktorautentisering. 
Space Pirates-hackere angriper IT-organisasjoner med LuckyStrike ved bruk av OneDrive
Den avanserte trusselgruppen “Space Pirates” har gjennomført sofistikerte cyberangrep mot IT-organisasjoner og offentlige etater i Russland og nærliggende regioner. De benytter den egenutviklede bakdøren LuckyStrike Agent, som utnytter Microsofts OneDrive som en kommando- og kontrollkanal, noe som gjør det utfordrende å oppdage.
For å beskytte seg mot slike angrep, anbefales det å forbedre overvåkingen av skyaktivitet og implementere robust nettverkssegmentering.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.