Cybersikkerhedstrusler, der påvirker virksomheder i august 2023
Vi gør sikkerhed enkel og problemfri for tusinder
af websteder og virksomheder over hele verden.
Nylige cyberangreb – 2023
Nivedita er en teknisk forfatter med Astra, der har en dyb kærlighed til viden og alle ting, der er nysgerrige i naturen. En ivrig læser i hjertet fandt hun, at hun ringede til at skrive om SEO, robotik og i øjeblikket cybersecurity.
Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.
0 Kommentarer
Inline feedbacks
Se alle kommentarer
relaterede artikler
Psst! Hej. Vi er Astra.
Vi gør sikkerhed enkel og problemfri for tusinder
af websteder og virksomheder over hele verden.
Vores pakke med sikkerhedsprodukter inkluderer en sårbarhedsscanner, firewall, malware -scanner og pentests for at beskytte dit websted mod de onde kræfter på Internettet, selv når du sover.
- Få en pentest
- Beskyt dit websted
Vi gør sikkerhed enkel og problemfri til tusinder af websteder og virksomheder over hele verden.
Se vores glødende anmeldelser på
Pentest
- Funktioner
- Web Pentest
- Mobil Pentest
- Cloud Pentest
- Blockchain Pentest
- Netværkspentest
Webstedsbeskyttelse
- Funktioner
- For agenturer
- WordPress -beskyttelse
- Magento -beskyttelse
- Prestashop -beskyttelse
- Opencart -beskyttelse
Selskab
Ressourcer
- Astra Security Blog
- Blacklist Checker
- Webstedsscanner
- SEO spam -checker
- Sikkerhedskurser
Lavet med ❤ i
Copyright © 2022 Astra it, inc. Alle rettigheder forbeholdes.
Cybersikkerhedstrusler, der påvirker virksomheder i august 2023
Cybersikkerhed og digital kriminalteknik
Cybersikkerhedstrusler stiger hurtigt. Som et resultat skal virksomhedsledere være mere opmærksomme på potentielle mangler i deres samlede cybersikkerhedsstrategi. Trussel Hunt -forespørgsler, der tilbydes som en del af Marcum Technology’s SOC -tjenester, er nøglen til at identificere potentielle trusler i en organisations miljø.
Nedenfor er de fire øverste trusler, der opstod i løbet af den sidste måned.
Blackbyte 2.0
Ransomware -angreb er et voksende problem for organisationer over hele verden, både i omfang og sværhedsgrad. Microsofts hændelsesresponsteam undersøgte den nylige Blackbyte 2.0 Ransomware -angreb, der afslører den alarmerende hastighed og destruktive karakter af disse cyberangreb. Resultaterne indikerer, at hackere kan udføre hele angrebsprocessen, fra at få indledende adgang til at forårsage betydelig skade på kun fem dage. De infiltrerer hurtigt systemer, krypterer afgørende data og kræver løsepenge for dens frigivelse. Denne kondenserede tidslinje udgør en betydelig udfordring for organisationer, der stræber efter at forsvare sig mod disse ondsindede operationer.
Blackbyte-ransomware er ansat i den sidste fase af angrebet ved hjælp af en 8-cifret talnøgle til at kryptere data. Angribere bruger en potent kombination af værktøjer og teknikker, der drager fordel af ikke -bundet Microsoft Exchange -servere for at få adgang og lægge grundlaget for deres ondsindede aktiviteter. Proceshulning, antivirusunddragelsesstrategier, webskaller til fjernadgang og koboltestrejkefyr til kommando-og-kontrol-operationer forbedrer deres evner yderligere, hvilket gør det sværere for organisationer at forsvare sig mod dem. Derudover anvender cyberkriminelle “opholdsstue-land” værktøjer til at kamuflere deres aktiviteter og undgå detektion. De ændrer volumenskyggekopier på inficerede maskiner for at forhindre datainddrivelse gennem systemgendannelsespunkter og implementere brugerdefinerede bagdøre for vedvarende adgang, selv efter det første kompromis.
Efterhånden som ransomware -angreb bliver hyppigere og sofistikerede, kan trusselsaktører hurtigt forstyrre forretningsdriften, hvis organisationer ikke er tilstrækkeligt forberedt. Alvorligheden af disse angreb kræver øjeblikkelig handling fra organisationer over hele verden, og som svar på disse fund giver Microsoft praktiske henstillinger. Det tilskynder til implementering af robuste patch -styringsprocedurer til at anvende kritiske sikkerhedsopdateringer tidligt. Aktivering af manipulationsbeskyttelse er også afgørende, da det styrker sikkerhedsløsninger mod ondsindede forsøg på at deaktivere eller omgå dem. Ved at følge bedste praksis, såsom at opretholde ajourførte systemer og begrænse administrative privilegier, kan organisationer markant afbøde risikoen for Blackbyte Ransomware-angreb og andre lignende trusler.
Nitrogenkampagne, der udnytter DLL-sidelastning til C2
I en nylig kampagne, kaldet “nitrogen”, blev DLL-sidelastning set blive gearet til C2-kommunikation. I stedet for den sædvanlige vektor af phishing, begyndte angrebet med en drive-by-download fra et kompromitteret WordPress-websted. Filen, et ISO-billede, indeholder en installationsfil, der skal udføres manuelt af slutbrugeren. Installationsprogrammet fortsætter derefter med at indlæse MSI.DLL -fil og dekrypterer den ledsagende datafil. En indlejret python -distribution og DLL falder for at blive sideloadet i brugerens C: \ brugere \ public \ musik \ python sti.
Malware skaber derefter en planlagt opgave: “OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003”, Der kører Pythonw.exe. Dette giver malware -persistensen. Opgaveplanerne for at udløse systemstart og udløber 1. december 2029 ved midnat.
Med persistensen etableret kan malware udføre sine opgaver. Det er blevet set anvende DLL -sidelastning for at opretholde vedvarende forbindelse med C2 -servere, og går så langt som at hente komprimerede/kodede data og derefter udføre dem lokalt.
Cobalt -strejke blev observeret som en valgt nyttelast på et tidspunkt, og det ser ud til, at andre også kunne implementeres. Denne malware har bestemt potentialet til at forårsage stor skade, men i denne kampagne er trøsten, at brugeren manuelt skal udføre en fil, der er downloadet via en drive-by-download fra et kompromitteret websted. Dette kan dog altid leveres via phishing, som forbliver en af de mest almindelige vektorer på grund af dens lethed og effektivitet.
Opdateret Lazarus malware distribution
Forskere har opdaget, at Lazarus, en nationalt finansieret gruppe, angriber Windows Internet Information Service (IIS) webservere og bruger dem til at sprede malware. Gruppen er kendt for at bruge vandingshulsteknikker til at få indledende adgang. Når en scanning registrerer en server med en sårbar version, bruger de sårbarheden, der er egnet til versionen til at installere en webshell, downloade filer eller udføre kommandoer. Det nyligt identificerede angreb viste, at Lazarus -trusselsgruppens malware -stammer blev genereret af W3WP.Exe, en IIS -webserverproces. Malware genereret af W3WP.Exe -processen er usopriv.Exe, en juicypotato malware fyldt med Themida.
Kartoffelmalware -stammerne er ansvarlige for privilegium -eskalering. Der er flere typer gearet, herunder Juicypotato, Rottenpotato og Sweetpotato, afhængigt af privilegiets eskaleringsmetode. Kartoffelstammerne eskalerer privilegiet ved at misbruge processer med visse privilegier aktiveret. Bagefter kan trusselsskuespilleren udføre ondsindede handlinger ved hjælp af det forhøjede privilegium. WHOAMI -kommandoen blev brugt til at kontrollere, om der blev opnået privilegium. Der blev også fundet en log, der viser, at en loader malware, der er ansvarlig for den faktiske ondsindede opførsel, var blevet udført. Læsseren er i DLL -format, så RUNDLL32 blev brugt til at udføre det. Læsseren dekrypterer filnavnet på de data, der skal bruges, og får en streng. Denne streng er navnet på datafilen, der søges efter i i alt tre stier. Loader malware dekrypterer derefter krypterede datafiler og udfører dem i hukommelsesområdet.
Lazarus -gruppen er også blevet set ved hjælp af forskellige andre angrebsvektorer til indledende adgang såsom fælles certifikat sårbarheder og 3CX forsyningskædeangreb. Dette er en af de farligste trusselsgrupper, der i øjeblikket opererer og er meget aktiv globalt. De bruger kontinuerligt sårbarhedsangreb for at få adgang til ikke -fremstillede systemer. Hvis et system ikke har den nyeste version af et sårbart produkt installeret, skal den seneste opdatering anvendes med det samme.
Microsoft sårbarheder
I den seneste opdateringsrunde har Microsoft adresseret to nul-dages sårbarheder, nemlig CVE-2023-36884 og CVE-2023-38180. Disse sårbarheder er aktivt udnyttet af trusselaktører og har ført til hurtig handling fra Microsoft. Denne måneds opdatering dækker også rettelser for 87 andre sårbarheder, hvilket understreger vigtigheden af at forblive årvågen mod potentielle cybertrusler.
CVE-2023-36884, en fjernkodeudførelse af kodeudførelse, blev brugt af den russiske trusselskuespiller Storm-0978/Romcom. Denne fejl gjorde det muligt for angribere at smart manipulere Microsoft Office -dokumenter for at undgå sikkerhedsmekanismer som mærket på Internettet (MOTW), hvilket gør dem i stand til at udføre kode eksternt. Microsoft har reageret med et kontorforsvar i dybden for at mindske denne risiko. Storm-0978/Romcom, der tidligere var involveret i implementeringen af den industrielle spionransomware, har for nylig omdirigeret som ‘underjordisk’ og udvidet sine aktiviteter til at omfatte ransomware-afpresning.
En anden bekymrende sårbarhed, CVE-2023-38180, fik også opmærksomhed i denne opdatering. Selvom Microsoft ikke har afsløret specifikke detaljer om dens udnyttelse eller opdagerens identitet, er denne sårbarhed aktivt misbrugt og kunne potentielt føre til distribueret nægtelse af service (DDoS) angreb på .Nettoapplikationer og visual studie. Navnlig kræver denne fejl ikke, at angriberen har brugerprivilegier på målsystemet, hvilket gør det til en mere alvorlig bekymring.
Sikkerhedseksperter råder organisationer til at tage hurtig handling ved at implementere de anbefalede sikkerhedsforanstaltninger og anvende de medfølgende programrettelser. Disse opdateringer tjener som en påmindelse om de stadigt tilstedeværende cybertrusler, der kræver ensartede bestræbelser på at beskytte systemer og data mod potentielle overtrædelser.
Hvis du står over for udfordringer relateret til cybersikkerhedstrusler, overtrædelser og dårlige skuespillere, eller er interesseret i at lære mere om at identificere potentielle trusler mod din organisation, skal du kontakte Marcum -teknologi i dag.