Știrile săptămânii din cybersecurity (23.01.2019)
O nouă variantă de malware folosește Google Drive ca server de comandă și control
Cercetători din domeniul securității cibernetice au identificat un nou atac cu malware care are legături cu grupul APT DarkHydrus și folosește Google Drive ca server de comandă și control (c2). De această dată, grupul utilizează o nouă variantă a troianului RogueRobin, care prezintă ca vector de infecție un fișier Excel.
Versiunea actualizată a malware-ului are și această funcționalitate, care folosește Google Drive drept canal de comunicare alternativ dintre serverul c2 și victimă, prin care se pot trimite și primi comenzi de la atacatori.
Lazarus, o rețea de hackeri care a avut ca țintă mai multe organizații financiare, a fost de curând identificată drept principalul suspect în cazul unui atac asupra Redbank.
Atacatorii au planificat din timp modul de infiltrare în organizație. Aceștia a pus totul în miscare prin postarea unei oportunități de angajare pe rețeaua LinkedIn, care ulterior a fost vizualizată de un angajat Redbank.
După ce respectivul a aplicat pentru job, următorul pas a fost interviul prin Skype. Mai departe, victima a fost îndrumată să instaleze o aplicație software, prin care se va face recrutarea. Aplicația era una malițioasa si a facilitat infiltrarea atacatorilor în întreg sistemul băncii.
Pasul următor a fost instalarea de către software-ul malițios a altor aplicații, care au facilitat transferul datelor confidențiale către un server aflat la distanța. Incidentul este un alt exemplu prin care angajat nepregătit poate pune în pericol întreaga infrastructură IT a unei companii.
O vulnerabilitate a Telegram permite accesul la mesaje
Cercetătorii au descoperit o problemă de securitate critică în populara aplicație de mesagerie, Telegram. Vulnerabilitatea se află în Telegram Bot API. În plus, au descoperit că aceasta este infectată cu malware-ul “GoodSender”. Telegram încă nu a comunicat public referitor la această problemă.
După cum a fost raportat recent, cei de la Forcepoint Security Labs au descoperit vulnerabilități în Telegram Bot API care duc la probleme de încălcare a confidențialității. Prin exploatarea acesteia, atacatorul poate obține acces la toate mesajele recepționate și expediate de către Bot.
Atacatorii pot exploata această vulnerabilitate via malware. Deja a fost descoperit un malware care exploatează activ această vulnerabilitate. Malware-ul indentificat este “GoodSender” – un malware de Windows cu o vârstă de peste un an.
O eroare de design MySQL poate oferi unui server malițios acces la fișierele clienților
Design-ul defectuos în interacțiunea transferului de fișiere dintre host-ul unui client și un server MySQL poate permite unui atacator care folosește un server MySQL malițios să obțină acces la toate datele la care are acces acel client.
Cineva poate folosi această problemă pentru a prelua informații sensibile de la un server web configurat incorect și care permite conexiuni cu servere untrusted sau din aplicații de gestionare a bazelor de date.
Site-ul PHP PEAR a fost atacat, iar managerul oficial de pachete a fost înlocuit
ATENȚIE! Dacă ai descărcat PACKAGE MANAGER-ul oficial de pe site-ul PHP PEAR în ultimele 6 luni, sunt șanse ca serverul tău să fie compromis.
Săptămâna trecuta, echipa care se ocupă de mentenanța PEAR a dat jos site-ul oficial PEAR (pear-php.net), după ce au descoperit că cineva a înlocuit managerul de pachete oficial PHP PEAR (go-pear.phar) cu o versiune modificată.
Dezvoltatorii PEAR încă analizează pachetele malițioase și au făcut un anunț public, în data de 19 ianuarie 2019, prin care au confirmat faptul că site-ul a fost atacat, iar fișierele modificare au fost disponibile mai bine de 6 luni pentru descărcare.
În prezent, echipa PEAR investighează incidentul pentru a determina modul în care atacatorii au reușit să compromită serverul. O nouă versiune este disponibilă pentru descărcare pe GITHUB. De asemenea, echipa PEAR a specificat faptul că doar fișierele de pe site-ul oficial PEAR au fost compromise, iar cele pe de GITHUB a scăpat acestui atac și îi îndeamnă pe toți cei care au descărcat fișierele de pe site-ul oficial să se considere afectați și să descarce cât mai repede o noua versiune de pe GITHUB.
