CISA merker Windows- og Cisco-sårbarheter som aktivt utnyttet. Ny ClickFix-angrep distribuerer Havoc C2 via Microsoft SharePoint. Hackere utnytter AWS-feilkonfigurasjoner for å lansere phishing-angrep via SES og WorkMail.
CISA merker Windows- og Cisco-sårbarheter som aktivt utnyttet
CISA har advart amerikanske føderale byråer om å sikre sine systemer mot angrep som utnytter sårbarheter i Cisco- og Windows-systemer. Den første sårbarheten (CVE-2023-20118) tillater angripere å utføre vilkårlige kommandoer på flere Cisco VPN-rutere. Selv om denne sårbarheten krever gyldige administrative legitimasjoner, kan angripere oppnå dette ved å kombinere den med CVE-2023-20025, som gir root-privilegier. Den andre sårbarheten (CVE-2018-8639) er en Win32k-privilegiumeskaleringsfeil som lokale angripere kan utnytte for å kjøre vilkårlig kode i kjernemodus, endre data eller opprette falske kontoer med full brukerrettigheter.
Oppdater berørte Cisco VPN-rutere med tilgjengelige sikkerhetsoppdateringer. Installer de nyeste sikkerhetsoppdateringene for Windows-systemer for å adressere Win32k-sårbarheten.
Ny ClickFix-angrep distribuerer Havoc C2 via Microsoft SharePoint
Et nylig oppdaget ClickFix-phishingangrep lurer ofre til å kjøre ondsinnede PowerShell-kommandoer som distribuerer Havoc-postutnyttelsesrammeverket for ekstern tilgang til kompromitterte enheter. Angripere bruker sosiale ingeniørteknikker der falske feilmeldinger vises på nettsteder eller phishing-vedlegg, og ber brukerne klikke på en knapp for å "fikse" problemet. Ved å klikke på knappen kopieres en ondsinnet PowerShell-kommando til Windows utklippstavle, som brukerne deretter blir bedt om å lime inn i en kommandolinje.
Vær forsiktig med uventede feilmeldinger som ber om å kjøre kommandoer. Ikke lim inn ukjente kommandoer i kommandolinjen. Implementer e-postfiltrering for å blokkere phishing-forsøk og utdann ansatte om risikoene ved å følge uventede instruksjoner.
Hackere utnytter AWS-feilkonfigurasjoner for å lansere phishing-angrep via SES og WorkMail
Trusselaktører utnytter feilkonfigurasjoner i Amazon Web Services (AWS) for å gjennomføre phishing-kampanjer. Ved å få tilgang til eksponerte AWS-tilgangsnøkler, misbruker de Amazon Simple Email Service (SES) og WorkMail til å sende phishing-e-poster fra legitime domener, noe som gjør det vanskeligere for mottakere å oppdage svindelen. Gruppen, kjent som TGR-UNK-0011 eller JavaGhost, har vært aktiv siden 2019 og har utviklet sine metoder til å inkludere avanserte teknikker for å skjule sin identitet i AWS-logger.
For å beskytte seg mot slike angrep bør organisasjoner sikre at AWS-tilgangsnøkler ikke er offentlig tilgjengelige, implementere strenge tilgangskontroller, og overvåke AWS-logger for uvanlig aktivitet.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.