Google Avslører Vishing-gruppen UNC6040 som Retter Seg mot Salesforce med Falsk Data Loader-app. FBI: Play-ransomware har kompromittert 900 ofre, inkludert kritiske organisasjoner. Kritisk Cisco ISE Autentiseringsomgåelsesfeil Berører Skyimplementeringer på AWS, Azure og OCI.
Google Avslører Vishing-gruppen UNC6040 som Retter Seg mot Salesforce med Falsk Data Loader-app
Google har avslørt en økonomisk motivert trusselgruppe kalt UNC6040, som spesialiserer seg på vishing-angrep for å kompromittere organisasjoners Salesforce-installasjoner. Angriperne utgir seg for å være IT-supportpersonell og bruker telefonbasert sosial manipulering for å lure ansatte til å godkjenne en modifisert versjon av Salesforce's Data Loader-app, ofte under et annet navn som "My Ticket Portal". Dette gir dem uautorisert tilgang til Salesforce-miljøet, hvor de kan stjele data og bevege seg lateralt til andre plattformer som Okta, Workplace og Microsoft 365. I noen tilfeller har gruppen også utført utpressing måneder etter det første innbruddet, og hevdet tilknytning til den kjente hackergruppen ShinyHunters for å øke presset på ofrene.
FBI: Play-ransomware har kompromittert 900 ofre, inkludert kritiske organisasjoner
FBI, i samarbeid med CISA og det australske cybersikkerhetssenteret, har oppdatert sin rådgivning om Play-ransomware, også kjent som Playcrypt. Siden juni 2022 har gruppen kompromittert omtrent 900 organisasjoner globalt, inkludert kritisk infrastruktur i Nord-Amerika, Sør-Amerika og Europa. Dette er en tredobling fra tidligere rapporter i oktober 2023. Angriperne benytter rekompilert skadevare for å unngå deteksjon og har i noen tilfeller kontaktet ofre via telefon for å presse dem til å betale løsepenger. De utnytter også sårbarheter i fjernovervåkingsverktøy som SimpleHelp, spesielt CVE-2024-57727, for å få innledende tilgang til systemer.
Kritisk Cisco ISE Autentiseringsomgåelsesfeil Berører Skyimplementeringer på AWS, Azure og OCI
Cisco har utgitt sikkerhetsoppdateringer for å rette en kritisk sårbarhet i Identity Services Engine (ISE), identifisert som CVE-2025-20286 med en CVSS-score på 9.9. Feilen, som skyldes bruk av statiske legitimasjoner i skyimplementeringer på AWS, Azure og Oracle Cloud Infrastructure (OCI), kan tillate uautentiserte, eksterne angripere å få tilgang til sensitiv data, utføre begrensede administrative operasjoner, endre systemkonfigurasjoner eller forstyrre tjenester. Sårbarheten påvirker spesifikke versjoner av Cisco ISE (3.1 til 3.4) avhengig av skyplattformen. Cisco er klar over eksistensen av en proof-of-concept (PoC) exploit, men det er ingen indikasjoner på aktiv utnyttelse i det fri.
Kjør kommandoen "application reset-config ise" for å tilbakestille brukerpassord til nye verdier. Vær oppmerksom på at denne handlingen vil tilbakestille Cisco ISE til fabrikkonfigurasjon.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.