Știrile săptămânii din cybersecurity (05.06.2019)
Un cercetător de securitate care a trecut anul trecut caracteristica de confidențialitate MacOS a introdus recent o nouă metodă de a ocoli avertismentele de securitate prin efectuarea de "clicuri sintetice" în numele utilizatorilor fără a necesita interacțiunea acestora.
În iunie, Apple a introdus o caracteristică de securitate de bază în MacOS, care a făcut obligatoriu ca toate aplicațiile să aibă permisiunea ("permit" sau "refuz") utilizatorilor înainte de a accesa date sau componente sensibile din sistem, inclusiv camera aparatului foto sau microfon, datele, mesajele și istoricul navigării.
Pentru cei care nu știu, "clicurile sintetice" sunt clicuri de mouse programatice și invizibile generate de un software mai degrabă decât de un om. Însuși MacOS are funcționalitate încorporată pentru clicurile sintetice, dar ca facilitate de accesibilitate pentru persoanele cu dizabilități de a interacționa cu interfața sistemului în moduri netradiționale.
O nouă aplicație aparținând grupului OilRig a fost identificată
O aplicație utilizată pentru spargerea conturilor de email de tip Microsoft Exchange aparținând grupului de hackeri OilRig/APT34 a fost identificată online prin intermediul unui canal de Telegram. În acest moment utilitarul nu este recunoscut în baza de data VirusTotal.
Aplicația, denumită Jason este un utilitar de brute-force care încearcă mai multe parole succesiv, până la identificara celei corecte, pentru aceasta aplicația utilizând o listă cu parole și patru fișiere care conțin diferite tipare numerice.
Identificarea și documentarea acestor tipuri de aplicații contribuie la încetinirea activității grupului de hackeri, însă acest lucru nu înseamnă că acestea nu vor mai fi folosite.
Pe lângă aplicația Jason, mai sunt identificate șase aplicații care aparțin grupului OilRig:
- Două backdoor-uri PowerShell, Poison Frog și Glimpse;
- Patru web shell-uri, HyperShell, HighShell, Fox Panel și Webmask;
Un bug nesoluționat permite atacatorilor să treaca de lock screen-ul Windows în sesiunile RDP
Un cercetător în domeniul securității a dezvăluit astăzi detalii despre vulnerabilitatea recent identificată în Microsoft Remote Desktop Protocol (RDP).
Identificat ca CVE-2019-9510, vulnerabilitatea raportată ar putea permite atacatorilor să ocolească lock screen-ul pe sesiunile de desktop la distanță (RDP).
Descoperit de Joe Tammariello de la Institutul de Inginerie Software la Universitatea Carnegie Mellon (SEI),bug-ul se manifestă prin apariția unei erori atunci când funcția Microsoft Remote Desktop solicită clienților să se autentifice cu Network Authentication (NLA), o caracteristică pe care Microsoft a recomandat-o recent ca soluție alternativă împotriva BlueKeep RDP vulnerabilitate.
Atacul se poate desfășura astfel:
• Un utilizator orientat se conectează la un sistem Windows 10 sau Server 2019 prin RDP.
• Utilizatorul blochează sesiunea de la distanță și lasă dispozitivul client nesupravegheat.
• În acest moment, un atacator cu acces la dispozitivul client poate întrerupe conectivitatea la rețea și poate avea acces la sistemul de la distanță fără a avea nevoie de autentificare.
Aceasta înseamnă că exploatarea acestei vulnerabilități este foarte banală, deoarece un atacator trebuie doar să întrerupă conexiunea la rețea a unui sistem vizat.
O amenințare nou descoperită de crypto-mining, care vizează serverele web, unitățile de rețea și unitățile de stocare amovibile, este îmbunătățită cu exploatări și măsuri de precauție împotriva instrumentelor de analiză și a mediilor virtuale.
Scopul final este de a transforma mașinile compromise în resurse pentru minarea criptomonedei Monero. Cercetătorii în domeniul securității au descoperit exploit-uri pentru diferite vulnerabilități. Unul dintre ele este EternalBlue al NSA, trei sunt pentru mai multe versiuni ThinkPHP; alte trei sunt pentru execuția codului la distanță prin CVE-2014-6287 (afectează Rejetto HFS), CVE-2017-12615 (afectează Apache Tomcat) și CVE-2017-8464 (afectează Windows Shell), cercetări din rapoartele Trend Micro.
Prin utilizarea mai multor exploit-uri care vizează serverele web, malware-ul crește rata de succes a infectării unei mașini. Pentru a scăpa de controlul cercetătorilor malware, odată ce BlackSquid obține acces la un server, acesta verifică semnele unui mediu de analiză, cum ar fi o mașină virtuală, sandbox-uri sau instrumente pentru debug.
Un nouă familie de backdoor identificată ca făcând parte din campania grupului Zebrocy APT
Grupului Zebrocy, cunoscut și sub numele de APT28, i-a fost atribuită o noua familie de backdoor.
Conform unui raport Kaspersky Lab în care era detaliată activitatea grupului din ultimii cinci ani, este menționată și prezenta acestui backdoor. După cum reiese din raport, acest backdoor este scris intr-un limbaj de programare nou numit Nim și este folosit de atacatori pentru a extrage credențiale și a câstiga controlul sistemelor infectate.
Kaspersky Lab a declarat că vor reveni cu mai multe detalii în zilele următoare.
