Jauns NOBELIUM modulis mērķēts uz Azure AD

NOBELIUM grupējums tika atklāts pagājušajā gadā, kad kļuva zināms, ka šie uzbrucēji bija uzlauzuši populāru ražotāju Solarwinds un caur programmatūras atjauninājumiem iekļuva daudzos ASV valsts un kompāniju tīklos. 

Šonedēļ Microsoft atklāja, ka šie noziedznieki turpina savu darbību un to arsenālā ir parādījies jauns modulis “FoggyWeb”, kas izveido backdoor organizācijas mākonī, darbojoties caur Active Directory Federation Services. 

Persistences panākšana caur AD FS nav jaunums ne NOBELIUM, ne citām grupām. FoggyWeb jaunumievedums ir šī procesa automatizācija.

Azure AD auditēšanai pieejams Mandiant rīks “Azure AD Investigator”. Savukārt, Microsoft ir publicējuši detalizētu rakstu par atkopšanos no Azure AD kompromitēšanas.

Finspy iegūst UEFI bootkit iemaņas

Kaspersky ir publicējuši aprakstu par jauno FinSpy ļaunatūras versiju, kas spēj inficēt sistēmas UEFI. 

Tā kā UEFI darbojas vēl pirms Windows palaišanas, tad teorētiski šāda ļaunatūra var paslēpties no jebkura antivīrusa. Konkrētais FinSpy modulis nav tik advancēts un ir atklājams, pārbaudot EFI partīciju vai operatīvo atmiņu.

Microsoft ieguldījums “Secure Boot” ekosistēmā adresēts tieši šāda veida uzbrukumu apkarošanai.

Android trojāns GriftHorse

Ir atklāts jauns Android trojāns GriftHorse, ar ko bija inficētas vismaz 200 Google Play Store aplikācijas.

Ļaunatūra tika monetizēta caur maksas SMS pakalpojumiem, kas palielināja upuru rēķinu līdz 30 eur mēnesī. Pētnieki aprēķinājuši, ka autori būs nopelmījuši miljonus.

Compound pārskaita lietotājiem liekus $90 miljonus

Compound kriptovalūtas platforma ir veikusi kļūdainus pārskaitījumus, kopumā nosūtot saviem lietotājiem $90 miljonus.

Compound izstrādātāji izmantojuši Twitter, lai lūgtu lietotājus atgriezt kriptovalūtu:

Kad tas nelīdzēja, draudi tika nomainīti pret mēmiem:

DiversiFi pārskaita lietotājam liekus $24 miljonus

Līdzīga ķeza atgadījās DeversiFi trading platformai, kas kļūdaini pārskaitīja kādam lietotājam $24m. Konkrētais lietotājs gan saņemto kriptovalūtu uzreiz atgriezis.

Coinbase

Nopietns incidents noticis arī lielākajā kriptovalūtas platformā Coinbase, kur paziņojumus par kontu uzlaušanu saņēmuši 6000 lietotāju.

Šajā gadījumā gan problēma nav notikusi Coinbase vainas dēļ. Viņu krāpšanas sistēma bija uzķērusi masveida neleģitīmus pieslēgumus, kuros izpētot atklājās, ka vairākiem lietotājiem ir tikuši uzlauzti epasti, kā arī iegūti Coinbase pieejas dati.

Konkrētie mehānismi, kādā veidā 6000 lietotāju ir nozaudējuši pieejas datus, pagaidām nav zināmi, taču visticamāk tas noticis vienā no šiem veidiem:

• pikšķerēšanas (phishing) uzbrukumu rezultātā tika izvilināti pieejas dati no lietotāju epastiem un Coinbase
• lietotāju datori inficēti ar ļaunatūru, kas savāca pieejas datus no pārlūka vai epasta klienta

REvil reputācijas problēmas

Krāpnieki ir sašutumā par to, ka viņus pašus apkrāpj citi krāpnieki. Noziedznieki, kas sadarbojas ar REvil ransomware grupu, uztraucas par to, ka REvil, iespējams, atšifrē datus “aiz viņu muguras”.

REvil iespēja atšifrēt lietotāju datus bez konkrētās affiliate grupas iesaistes tika atklāta pēc Bitdefender universālā dekriptora publicēšanas.

Arestēts Group-IB līderis

Maskavā noticis policijas reids kiberdrošības uzņēmuma Group-IB ofisā. Arestēts Илья Сачков, kurš tiek apvainots valsts nodevībā, sadarbojoties ar citu valstu specdienestiem.

“Masked Email” funkcija 1Password paroļu pārvaldniekā

Paroļu pārvaldnieks 1Password sadarbībā ar epastu servisu Fastmail piedāvā jaunu funkciju “masked email”, kas ļaus lietotājiem reģistrējoties dažādos interneta portālos izmantot pagaidu epastu adreses.

Šī funkcionalitāte ir līdzīga esošajai Apple opcijai “Hide My Mail”, bet atšķirībā no Apple, 1Password realizācija būs savienojama ar jebkuru mājaslapu, nevis tikai ar tām, kas ir integrētas ar “Sign-in with Apple ID”.

Apple Pay

Atrasts veids, kā veikt maksājumus no Apple Pay piesaistītās Visa kartes, neunlockojot iPhone.

Šis uzbrukums darbojas caur Express Transit opciju, kas ļauj apmaksāt publiskā transporta izmantošanu ar telefonu (neizmantojot Face ID).

Tā kā Latvijā ar šādu opciju par transportu samaksāt nevar, tad Latvijas iedzīvotājiem par šadu uzbrukumu nav jāuztraucas.

HTTPS Everywhere

“HTTPS Everywhere” paplašinājums ir kļuvis neaktuāls un nākamajā gadā tiks atslēgts. 

Agrāk šis bija viens no ieteicamajiem pluginiem, kas nodrošināja to, ka visas lapas, kas atbalsta šifrēšanu, tiek atvērtas tikai drošā veidā.

Pēc noklusējuma pārlūki sāk komunikāciju ar web serveri caur HTTP, pārejot uz šifrētu kanālu tikai tad, ja saņemta atbilde no servera, kas norāda, ka tas atbalsta šifrēšanu. Taču mūsdienās vairums mājaslapu atbalsta šifrēšanu, tādēļ lielāko daļu interneta iespējams izmantot, vispār nesūtot nešifrētus pieprasījumus.

Šobrīd visos pārlūkos iebūvēta “HTTPS Only” funkcionalitāte (lai gan Chrome-bāzētos pārlūkos tā tiek uzskatīta par eksperimentālu), tādēļ atsevišķs paplašinājums vairs nav nepieciešams, rezultātā “HTTPS Everywhere” drīzumā tiks atslēgts.

$8000 par Opera RCE (bug bounty)

Ārkārtīgi interesants bugs atrasts Opera pārlūkā. Atklāts XSS iebūvētajā Opera paplašinājumā ļāva uzbrucējiem iespēju izveidot failu sistēmā patvaļīgus failus, kā arī tos atvērt. “.exe” faila gadījumā fails tika izpildīts, tādā veidā panākot patvaļīga koda izpildi.

Interesanti, ka ievainojamības atklājējs tika uzaicināts publicēt rakstu Opera blogā. Tas parāda veidu, kā organizācijas var izmantot bug bounty ievainojamību pārvēršanai par pozitīvu PR.