Știri
Știri din categoria Securitate cibernetică
O nouă platformă de phishing numită „VENOM” vizează conturile Microsoft ale executivilor de top, potrivit BleepingComputer. Atacurile urmăresc furtul de credențiale pentru persoane din conducerea companiilor (CEO, CFO, vicepreședinți) din mai multe industrii, iar operațiunea ar fi activă cel puțin din noiembrie anul trecut.
Platforma este descrisă ca un serviciu de tip „phishing-as-a-service” (PhaaS), adică o infrastructură „la cheie” pe care infractorii o pot folosi pentru a derula campanii de furt de date de autentificare. Cercetătorii citați de publicație spun că VENOM pare să fie cu acces restricționat, nefiind promovat pe canale publice sau pe forumuri clandestine, ceea ce îi reduce vizibilitatea pentru comunitatea de securitate.
Cercetătorii companiei de securitate Abnormal au observat e-mailuri care imitau notificări Microsoft SharePoint privind partajarea de documente, prezentate ca parte a comunicării interne. Mesajele sunt personalizate și includ „zgomot” în codul HTML (de exemplu clase CSS false și comentarii), plus fire de conversație fabricate, adaptate țintei, pentru a crește credibilitatea.
Un element central este folosirea unui cod QR redat în Unicode, pe care victima este îndemnată să îl scaneze pentru „acces”. Scopul este ocolirea unor mecanisme automate de analiză a linkurilor și mutarea interacțiunii pe dispozitive mobile, unde controalele pot fi diferite față de cele de pe stațiile de lucru din companie.
„Fragmentele nu sunt niciodată transmise în cererile HTTP, făcând e-mailul țintei invizibil pentru jurnalele de pe server și pentru fluxurile de reputație ale URL-urilor”, explică cercetătorii Abnormal.
După scanarea codului QR, victima ajunge pe o pagină intermediară care filtrează cercetătorii și mediile de analiză (sandbox), astfel încât doar țintele „reale” să fie redirecționate către pagina de phishing. Utilizatorii care nu sunt de interes sunt trimiși către site-uri legitime, pentru a reduce suspiciunile.
Pentru colectarea datelor, VENOM folosește o metodă de tip „adversary-in-the-middle” (AiTM), în care atacatorul intermediază în timp real fluxul de autentificare Microsoft, retransmițând credențialele și codurile de autentificare multifactor (MFA) către interfețele Microsoft și capturând „tokenul de sesiune” (cheia care poate menține accesul fără reintroducerea parolei). Separat, Abnormal a observat și o tactică de tip „device-code phishing”, în care victima este păcălită să aprobe accesul la cont pentru un dispozitiv controlat de atacator.
În ambele scenarii, obiectivul este obținerea rapidă a accesului persistent în timpul autentificării: fie prin înregistrarea unui dispozitiv nou în contul victimei (în fluxul AiTM), fie prin obținerea unui token care oferă acces (în fluxul „device code”).
Cercetătorii avertizează că MFA, de una singură, nu mai este suficientă și recomandă autentificare FIDO2 (chei de securitate sau metode rezistente la phishing), dezactivarea fluxului „device code” când nu este necesar și politici mai stricte de acces condiționat pentru a limita abuzul de tokenuri.
Recomandate
FBI avertizează că o nouă platformă „phishing ca serviciu” poate compromite conturi Microsoft 365 fără furt de parole sau coduri MFA , prin abuzarea unui mecanism legitim de autentificare, potrivit WinFuture . Miza pentru companii este una operațională: atacatorii pot obține acces la e-mail și pot persista în mediu fără să „spargă” efectiv contul în sensul clasic. Cum funcționează: „device-code phishing” pe fluxul OAuth al Microsoft Platforma, numită Kali365, folosește așa-numitul „device-code phishing”, o tehnică ce exploatează procesul OAuth de autentificare oferit de Microsoft pentru dispozitive cu posibilități limitate de introducere a datelor (de exemplu smart TV-uri, imprimante, sisteme de conferință). În mod normal, utilizatorul introduce un cod scurt pe o pagină oficială de autentificare, de pe un alt dispozitiv (PC sau telefon). În scenariul abuziv descris, atacatorii inițiază ei înșiși procesul de autentificare, generează un cod valid și își conving victima (prin mesaje de tip phishing sau inginerie socială) să introducă acel cod pe pagina oficială Microsoft. După ce victima finalizează autentificarea, inclusiv pașii de autentificare multifactor (MFA), atacatorul primește un „token” (jeton) de acces valid, care îi permite intrarea în cont fără verificări suplimentare imediate. Ce aduce Kali365: „phishing” industrializat și accesibil atacatorilor fără expertiză Conform informațiilor prezentate, Kali365 ar fi apărut în aprilie și este distribuită prin canale de Telegram. Oferta ar viza inclusiv atacatori cu cunoștințe tehnice reduse, punând la dispoziție instrumente „la cheie”, precum: campanii de phishing generate automat; mesaje-capcană generate cu ajutorul inteligenței artificiale; panouri de control pentru monitorizarea victimelor în timp real; funcții pentru interceptarea tokenurilor de autentificare; un mod „Cookie Link”, pentru interceptarea datelor de sesiune și a cookie-urilor de autentificare. Ce au observat cercetătorii: acces la e-mail și mecanisme de persistență Cercetători de securitate de la Arctic Wolf au raportat că au observat încă din aprilie o campanie de amploare bazată pe această metodă, care a vizat organizații la nivel global. Potrivit descrierii, atacatorii au obținut acces la căsuțe de e-mail, au creat reguli de inbox manipulate și, în unele cazuri, au înregistrat dispozitive noi în mediile Microsoft ale victimelor pentru a-și menține accesul pe termen mai lung. Recomandarea FBI: limitați sau blocați autentificările cu „device code” În alerta publicată de IC3 (Internet Crime Complaint Center) al FBI, instituția recomandă organizațiilor să restricționeze sau să blocheze, acolo unde este posibil, autentificările prin „device code”, să revizuiască periodic utilizările existente și să investigheze evenimentele de autentificare suspecte. WinFuture notează că metoda se răspândește, iar alte platforme, precum EvilTokens și Tycoon2FA, ar folosi deja aceeași abordare pentru compromiterea conturilor Microsoft 365 și Entra . Pentru companii, mesajul practic este că o parte din riscul de phishing se mută de la „furtul de credențiale” la „abuzul de fluxuri legitime”, ceea ce cere controale mai stricte pe tipurile de autentificare permise și pe monitorizarea semnalelor de acces. [...]
Microsoft avertizează că o campanie țintită folosește resetarea parolei ca să preia conturi , iar riscul operațional pentru companii este că atacatorii pot scoate rapid date din Microsoft 365 și pot ajunge în medii de producție din Azure, potrivit TechRadar . Gruparea numită Storm-2949 abuzează fluxul de „ Self‑Service Password Reset” (SSPR) din ecosistemul Microsoft, susține un raport al Microsoft Defender Security Research Team. În mod normal, când un angajat apasă „Forgot my password”, sistemul trimite o solicitare de autentificare multifactor (MFA) pe un dispozitiv secundar înregistrat; după aprobare, utilizatorul își poate seta o parolă nouă. În atacurile descrise, actorii identifică ținta, obțin numărul de telefon și adresa de e-mail folosită la autentificare, inițiază resetarea parolei și, în paralel, sună victima. Se prezintă drept tehnicieni IT și o conving să aprobe solicitarea MFA, ceea ce le permite să seteze o parolă nouă, să scoată utilizatorul din cont și să exfiltreze date. Microsoft Threat Intelligence caracterizează campania drept „metodică, sofisticată și multistrat”, cu ținte în aplicații Microsoft 365, servicii de găzduire de fișiere și medii de producție găzduite în Azure. „Într-un caz, Storm-2949 a folosit interfața web OneDrive pentru a descărca mii de fișiere într-o singură acțiune către propria infrastructură”, a transmis Microsoft. „Acest tipar de furt de date s-a repetat în toate conturile compromise, probabil deoarece identități diferite aveau acces la foldere și directoare partajate diferite.” Ce recomandă Microsoft pentru a reduce riscul în Azure și Microsoft 365 Recomandările vizează în principal limitarea privilegiilor și creșterea capacității de audit/monitorizare în Azure: limitarea permisiunilor Azure RBAC (control al accesului pe bază de roluri); păstrarea logurilor din Azure Key Vault timp de un an; reducerea accesului la Key Vault și restricționarea accesului public la „vault”-uri; folosirea opțiunilor de protecție a datelor în Azure Storage; monitorizarea operațiunilor de administrare Azure cu risc ridicat. Pentru organizații, mesajul practic este că resetarea parolei și aprobarea MFA pot deveni o „poartă” de intrare dacă procesele de suport IT și controalele de acces nu sunt suficient de stricte, iar logarea și monitorizarea nu permit detectarea rapidă a descărcărilor masive sau a operațiunilor sensibile. (Detalii suplimentare despre incident și indicatori tehnici apar în raportul Microsoft, dar TechRadar nu publică în material o listă completă de astfel de indicatori.) [...]
O nouă versiune a malware-ului Kazuar funcționează ca botnet P2P modular, ceea ce complică detectarea și crește persistența în rețelele compromise , potrivit BleepingComputer . Evoluția este atribuită grupului Secret Blizzard , asociat în mod repetat cu operațiuni de spionaj cibernetic și cu servicii rusești de informații, iar schimbarea de arhitectură mută presiunea de pe „semnături” (indicatori statici) pe detecția comportamentală în companii și instituții. De ce contează pentru organizații: mai puțin trafic „vizibil”, mai multă reziliență Analiza Microsoft asupra unei variante recente arată că Kazuar a fost transformat într-o structură de tip peer-to-peer (P2P), în care nu toate sistemele infectate comunică direct cu infrastructura de comandă și control (C2). În practică, asta reduce „suprafața” de detecție: mai puține conexiuni externe repetate din mai multe stații, mai mult trafic intern care se poate confunda cu activitatea normală. Un element-cheie este mecanismul de „lider”: un singur sistem infectat dintr-un mediu compromis este ales să comunice cu C2, primește sarcini și le distribuie intern către celelalte sisteme infectate, care intră în mod „tăcut” și nu mai vorbesc direct cu serverele atacatorilor. „Liderul Kernel este modulul Kernel ales care comunică cu modulul Bridge în numele celorlalte module Kernel, reducând vizibilitatea prin evitarea unor volume mari de trafic extern de la mai multe gazde infectate”, explică Microsoft. Cum este construit noul Kazuar: trei module și comunicații interne criptate Microsoft descrie o arhitectură cu trei module distincte: Kernel : coordonatorul central; gestionează sarcini, controlează celelalte module, alege liderul și orchestrează comunicațiile și fluxul de date în botnet. Selecția liderului este internă și autonomă, pe baza unor criterii precum timpul de funcționare și numărul de reporniri/întreruperi. Bridge : „proxy”-ul de comunicații externe; face legătura între lider și infrastructura C2, folosind protocoale precum HTTP, WebSockets sau Exchange Web Services (EWS). Worker : execută efectiv operațiunile de spionaj și colectare de date. Comunicațiile interne se bazează pe IPC (comunicare între procese) prin mecanisme Windows precum Windows Messaging, Mailslots și „named pipes” (canale denumite), pentru a se amesteca în „zgomotul” operațional. Mesajele sunt criptate cu AES și serializate cu Google Protocol Buffers (Protobuf). Ce poate face pe sistemele compromise: de la keylogging la colectare de e-mail Modulul Worker este folosit pentru activități tipice de spionaj, inclusiv: înregistrarea tastelor (keylogging); capturi de ecran; colectare de date din sistemul de fișiere; recunoaștere de sistem și rețea; colectare de date e-mail/MAPI (inclusiv descărcări din Outlook); monitorizarea ferestrelor; furtul fișierelor recente. Datele colectate sunt criptate, stocate temporar local și apoi exfiltrate prin modulul Bridge. Microsoft mai subliniază că Kazuar a ajuns să suporte 150 de opțiuni de configurare , permițând operatorilor să ajusteze inclusiv programarea sarcinilor, temporizarea furtului de date și dimensiunea „bucăților” exfiltrate, injecția de procese și managementul execuției de comenzi. Ocolirea controalelor de securitate și implicații pentru apărare În zona de „bypass” (ocolire a controalelor), Kazuar include opțiuni pentru: ocolirea AMSI (Antimalware Scan Interface); ocolirea ETW (Event Tracing for Windows); ocolirea WLDP (Windows Lockdown Policy). În acest context, recomandarea Microsoft este ca organizațiile să prioritizeze detecția comportamentală în locul semnăturilor statice, tocmai pentru că modularitatea și configurabilitatea ridicată fac amenințarea mai greu de prins prin indicatori fixați. Context: un malware vechi, reutilizat în campanii de spionaj Kazuar este documentat din 2017, iar cercetătorii au identificat o „linie” de cod care ar merge până în 2005. Activitatea a fost asociată cu Turla, grup de spionaj legat de FSB, iar în anii anteriori a fost observat în atacuri care au vizat organizații guvernamentale europene și, ulterior, în atacuri împotriva Ucrainei. Pentru companii și instituții, schimbarea relevantă este operațională: un botnet P2P cu lider ales intern și cu comunicații interne criptate poate rămâne mai mult timp nedetectat, ceea ce crește riscul de scurgeri de documente și conținut de e-mail cu valoare politică sau strategică. [...]
O vulnerabilitate de design în Beamforming poate transforma routerele Wi‑Fi în instrumente de supraveghere , inclusiv fără compromiterea directă a echipamentului, potrivit unei demonstrații prezentate de Zonait . Miza pentru utilizatori și companii este operațională: aceeași infrastructură care îmbunătățește acoperirea wireless poate fi folosită pentru localizarea și urmărirea persoanelor aflate în raza rețelei. Cercetători de la Institutul de Tehnologie din Karlsruhe (Germania) arată că routere Wi‑Fi obișnuite pot fi „sparte” și echipate cu software clandestin, astfel încât să determine și să transmită în timp real locația relativă a utilizatorilor din aria de acoperire. Cum ajunge Beamforming să fie folosit pentru monitorizare Beamforming este un mecanism întâlnit pe majoritatea routerelor wireless recente, conceput pentru a crește stabilitatea și viteza conexiunii prin direcționarea selectivă a semnalului către dispozitivele conectate. Pentru a funcționa, routerul trebuie să estimeze poziția relativă a dispozitivului, folosind semnalizarea specifică acestui mecanism. Dincolo de dispozitive, demonstrația indică faptul că și corpul uman influențează undele radio din mediu, producând distorsiuni detectabile. În plus, caracteristici precum înălțimea, greutatea și compoziția corporală ar putea genera o „amprentă” distinctă în modul în care sunt absorbite undele radio, ceea ce ar permite diferențierea persoanelor și urmărirea mișcărilor în interiorul clădirilor, printr-o adaptare software la firmware-ul echipamentului. De ce contează: poate funcționa și fără „spargerea” routerului Un element cu impact direct asupra riscului este că monitorizarea ar putea funcționa și fără compromiterea prealabilă a routerului. Conform articolului, semnalele asociate Beamforming sunt necriptate, iar un dispozitiv de monitorizare aflat în același spațiu fizic (de exemplu, un Raspberry Pi cu software și conexiune radio) ar putea capta datele necesare, dacă este plasat discret. Ce au obținut cercetătorii în teste În testele descrise, echipa a lucrat cu 197 de voluntari și a raportat o precizie de identificare de 99,5%. Pentru asocierea „amprentei” radio cu identitatea reală (nume și alte detalii) ar fi necesare date suplimentare, cum ar fi un „ping” de la un telefon asociat anterior cu persoana respectivă. „Această tehnologie transformă fiecare router într-un potențial mijloc de supraveghere”, spune Julian Todt, unul dintre cercetători. „Dacă treceți în mod regulat pe lângă o cafenea care operează o rețea Wi‑Fi, ați putea fi identificat acolo fără să observați și să fiți recunoscut ulterior – de exemplu de către autoritățile publice sau companii.” Articolul nu indică măsuri concrete de remediere sau un calendar pentru criptarea semnalizării Beamforming; în lipsa acestor detalii, rămâne neclar în ce măsură riscul poate fi redus rapid prin actualizări de firmware sau schimbări de standard. [...]
Un atac de tip „supply chain” pe GitHub poate ajunge rapid la utilizatori prin pachete npm , după ce o campanie numită Megalodon a infectat peste 5.500 de depozite cu commit-uri malițioase, potrivit TechRadar . Miza operațională pentru companii este expunerea secretelor din fluxurile CI/CD (integrare și livrare continuă), care pot deschide acces la infrastructură cloud și la medii de producție. Cum funcționează atacul și de ce e greu de prins Cercetătorii SafeDep descriu Megalodon ca o campanie „inspirată” de TeamPCP , care pornește de la un commit malițios trimis de un actor ce se prezintă drept un „build-bot” (un cont care mimează un robot de build ce face modificări automate). Dacă un maintainer acceptă commit-ul, codul introduce un infostealer (malware care fură date) și începe să se propage către alte depozite „în stil vierme”, adică prin replicare automată. Ținta principală sunt secretele din pipeline-urile DevOps, adică acele chei și tokenuri care permit automatizărilor să acceseze servicii critice. Ce date sunt vizate: chei cloud, acces SSH și configurații DevOps În observațiile SafeDep, Megalodon a urmărit să colecteze, între altele: chei secrete AWS și tokenuri de acces Google Cloud; credențiale de tip „instance role” din AWS, Google Cloud și Azure; chei private SSH; configurații Docker și Kubernetes; tokenuri Vault și credențiale Terraform. Pentru organizații, compromiterea acestor date poate însemna acces neautorizat la resurse cloud, modificări în infrastructură și risc de extindere laterală în rețea. De la maintaineri la utilizatori: riscul de propagare prin npm În etapa inițială, expuși sunt în primul rând maintainerii de pe GitHub. Riscul se extinde însă către utilizatori dacă proiectele compromise sunt publicate mai departe în npm (registrul de pachete folosit frecvent în ecosistemul JavaScript), deoarece pachetele pot ajunge în aplicații ale terților. SafeDep oferă exemplul Tiledesk, unde versiunile 2.18.6 (19 mai) până la 2.18.12 (21 mai) „conțin backdoor-ul”, iar publicarea s-a făcut din aceeași cont npm ca și versiunea curată 2.18.5, fără ca atacatorul să fi preluat contul npm. Concluzia cercetătorilor: depozitul GitHub a fost compromis, iar maintainerul a publicat din sursa „otrăvită” fără să își dea seama. „Atacatorul nu a atins niciodată contul npm. Au compromis depozitul GitHub, iar maintainerul a publicat din sursa infectată fără să realizeze.” Context: copycat după TeamPCP și listă de repo-uri compromise TechRadar notează că Megalodon pare a fi un actor separat, de tip „copycat”, nu neapărat parte din inițiativa TeamPCP menționată de The Register, care a scris despre o „competiție” de atacuri asupra lanțului de aprovizionare (supply chain) pe Breach Forums. Lista completă a depozitelor compromise este publicată de SafeDep în raportul său (linkul indicat în articol). [...]
Trump Mobile a confirmat expunerea datelor personale ale clienților , inclusiv nume, numere de telefon și adrese, într-un incident care ridică întrebări despre obligațiile de notificare și despre controlul furnizorilor terți în operațiunile unui operator, potrivit GSMArena . Compania a confirmat pentru TechCrunch că pe site-ul său au fost expuse informații ale clienților: nume, numere de telefon, adrese de domiciliu și adrese de e-mail. Trump Mobile spune că investighează situația și că, până acum, nu a găsit dovezi privind o utilizare malițioasă a datelor. Ce spune compania despre cauză și responsabilitate Potrivit unui purtător de cuvânt al Trump Mobile, Chris Walker, expunerea ar fi fost legată de un furnizor de platformă terț care susține „anumite operațiuni Trump Mobile”. Furnizorul nu este numit în informațiile publicate. În același timp, compania susține că nu a existat o „breșă” (intrare neautorizată) în rețeaua, sistemele sau infrastructura sa. Contextul relatat indică însă că datele erau accesibile direct pe site, fără a fi nevoie de o compromitere tehnică a sistemelor. Ce urmează: posibilă notificare a clienților Walker afirmă că Trump Mobile „evaluează dacă trebuie să notifice clienții” în legătură cu expunerea datelor personale. Materialul nu precizează câți clienți ar fi fost afectați și nici perioada exactă în care datele au fost accesibile. Context: probleme în derulare în jurul Trump Mobile GSMArena notează că „saga” Trump Mobile continuă, inclusiv pe partea de hardware: primul smartphone al companiei, descris ca un HTC U24 Pro rebranduit (model lansat în 2024), ar fi trebuit inițial să înceapă livrările în august sau septembrie anul trecut, lucru care nu s-a întâmplat, iar acum livrările sunt prezentate ca fiind „iminente”. (Detaliile despre telefon apar în materiale separate ale publicației.) [...]
