Ny PumaBot-botnett bryter seg inn i enheter ved å brute-force SSH-legitimasjon. Interlock ransomwaregruppen bruker ny NodeSnake RAT mot universiteter. Safari brukere utsatt for avanserte fullskjermangrep via Fullscreen API.
Ny PumaBot-botnett bryter seg inn i enheter ved å brute-force SSH-legitimasjon
En ny Linux-basert botnet-malware kalt PumaBot, skrevet i Go, er oppdaget. Den bruker brute-force angrep på SSH-legitimasjon for å kompromittere innebygde IoT-enheter, spesielt overvåknings- og trafikkameraer. PumaBot mottar en liste over målrettede IP-adresser fra sin kommando- og kontrollserver (C2) og forsøker å logge inn via port 22. Den sjekker etter "Pumatronix"-strengen for å identifisere spesifikke enheter. Ved vellykket innlogging, samler den systeminformasjon, installerer sin hovedfil i /lib/redis, setter opp en systemd-tjeneste for vedvarende tilgang, og injiserer sin egen SSH for å opprettholde kontroll over enheten.
Interlock ransomwaregruppen bruker ny NodeSnake RAT mot universiteter
Interlock-ransomwaregruppen har begynt å bruke en ny fjernstyrings trojaner (RAT) kalt NodeSnake for å oppnå vedvarende tilgang til universitetsnettverk. NodeSnake, skrevet i JavaScript og kjørt via Node.js, etablerer persistens ved å opprette en falsk registeroppføring kalt 'ChromeUpdater' som etterligner Google Chrome oppdateringer. Den benytter PowerShell eller CMD skript for å opprette denne oppføringen. Angrepene starter med phishing e-poster som inneholder ondsinnede lenker eller vedlegg som fører til infeksjon med NodeSnake. To varianter av NodeSnake ble observert i angrep mot britiske universiteter i januar og mars 2025, noe som indikerer aktiv utvikling av skadevaren. Interlock gruppen har tidligere brukt 'ClickFix' angrep som utgir seg for å være IT-verktøy for å oppnå initial infeksjon og nettverksinfiltrasjon.
Safari brukere utsatt for avanserte fullskjermangrep via Fullscreen API
En nylig oppdaget svakhet i Apples Safari nettleser gjør det mulig for angripere å utnytte Fullscreen API til å gjennomføre såkalte "fullscreen browser-in-the-middle" (BitM) angrep. Ved å manipulere nettleseren til å gå i fullskjermmodus uten tydelig varsling, kan angripere skjule adressefeltet og presentere en falsk innloggingsside som ser legitim ut. Dette gjør det vanskelig for brukere å oppdage at de blir lurt. Safari skiller seg fra andre nettlesere som Chrome og Firefox ved at den ikke gir klare indikasjoner når fullskjermmodus aktiveres, noe som øker risikoen for slike angrep.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.