Akira ransomware utnytter MFA beskyttede SonicWall VPN kontoer. Falske Microsoft Teams installatører sprer Oyster skadevare via malvertising.
Akira ransomware utnytter MFA beskyttede SonicWall VPN kontoer
Akira ransomware angriper fortsatt SonicWall SSL VPN enheter, og forskere har oppdaget at angriperne klarer å logge inn på kontoer selv med OTP (One-Time Password) basert MFA aktivert. Angrepene knyttes til tidligere sårbarhet (CVE-2024-40766), hvor stjålne påloggingsinformasjon og OTP seeds trolig fortsatt misbrukes. Arctic Wolf observerer at angriperne får flere OTP utfordringer før vellykket innlogging, noe som antyder kompromitterte MFA seeds eller alternative metoder for å generere gyldige koder. Etter innbrudd beveger de seg raskt i nettverket, angriper blant annet Veeam backup-servere og bruker BYOVD (Bring Your Own Vulnerable Driver) teknikker for å deaktivere sikkerhetsprogramvare.
Falske Microsoft Teams installatører sprer Oyster skadevare via malvertising
Hackere bruker "SEO poisoning" og søkemotorannonser for å spre falske Microsoft Teams installatører som installerer Oyster skadevare (også kjent som Broomstick/CleanUpLoader). Den falske nedlastingssiden, teams-install[.]top, utgir seg for å være Microsofts offisielle side og leverer en skadelig "MSTeamsSetup.exe", signert med stjålne sertifikater. Skadevaren legger inn en bakdør via DLL filen CaptureService.dll i %APPDATA%, og oppretter en planlagt task for persistens. Oyster gir angripere full tilgang, inkludert mulighet til å kjøre kommandoer, stjele filer og distribuere mer skadevare, og har tidligere blitt brukt i kampanjer som også førte til ransomware angrep (bl.a. Rhysida)
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.