Emotet un Squirrelwaffle

Jauna tendence: hakeri “iespraužas” eksistējošā epastu sarakstē. Šobrīd novērojamas jau divas grupas, kas darbojas šādā veidā.

Emotet:

• darbojas automātiski
• inficējot datoru, nozog daļu sarakstes un adrešu grāmatiņu
• pārsūta eksistējošo saraksti kontaktiem ar inficētu pielikumu
• ir atsācis darbību novembrī, jau atsāka spamošanas moduļa darbību, cita starpā ietekmējot IKEA darbību

Squirrelwaffle:

• hakeri manuāli uzlauž epasta serveri
• eksistējošā sarakstē tiek ievietotas jaunas atbildes ar inficētu pielikumu

“Nākamais Mark Zuckerberg” no Nigērijas

Iepriekš stāstījām par jaunu sadarbības shēmu, ko piedāvā vairāki ransomware operatori. Uzņēmumu darbiniekiem tiek piedāvāts palaist izspiedējvīrusus savā tīklā, saņemot par to daļu no atlīdzības.

Šonedēļ Nigērijā noticis pirmais arests saistībā ar šādām darbībām. Arestētais vīrietis paskaidroja, ka sūtīja darba piedāvājumus pēc shēmas “palaid izspiedējvīrusu savā darba vietā” ar mērķi nopelnīt sākotnējo kapitālu topošajam sociālajam tīklam.

Interpol arestē 1000 krāpniekus

Vērienīga Interpol operācija “HAEICHI-II”, kurā 20 valstīs arestēti 1000 krāpnieki (romantiskie krāpnieki, Business Email Compromise, naudas atmazgāšana).

Iepriekšējā operācija “HEICHI-I” notika iepriekš šogad un tajā arestēti 500 cilvēki, tā kā 2021. gadā Interpol ir manāmi aktivizējies.

Itālijas krāpnieki

Itālijā arestēta krāpnieku grupa, kas tirgoja COVID-19 sertifikātus. Šajā gadījumā visa shēma bija viena liela krāpniecība, jo sertifikāti neeksistēja un noziedznieki vienkārši izkrāpa naudu no uzticīgiem cilvēkiem.

CloudLinux

Atrasta kritiska ievainojamība CloudLinux sistēmā. CloudLinux ir populārs drošības risinājums, ko izmanto daudzas hostinga kompānijas, arī Latvijā.

Caurums atklāts Immunify360 komponentē, kas darbojas līdzīgi antivīrusam, veicot real-time failu skenēšanu. Deserializācijas ievainojamības dēļ šīs skenēšanas rezultātā bija iespējams palaist patvaļīgu kodu ar root tiesībām.

Windows LPE 0day #1

Novembra “Patch Tuesday” iekļāva ielāpu Windows caurumam (CVE-2021-41379), kas ļāva jebkuram sistēmas lietotājam iegūt Administrator tiesības (Local Privilege Escalation, LPE). Izrādās, ka problēma nebija atrisināta līdz galam, kā rezultātā kāds pētnieks ir publicējis Github “0day” kodu, kas ļauj izmantot šo ievainojamību arī pilnīgi nopatchotās sistēmās (skarti Windows 10, Windows 11 un arī Windows Server).

Windows LPE 0day #2

Cits Windows “0day” (CVE-2021-24084), kas arī nodrošina “Privilege Escalation”, bet savādākā veidā. Caurums atklāts un informācija nodota Microsoft vēl pirms gada, taču problēma joprojām nav atrisināta.

Ievainojamība iespējama dēļ race conditions arhīva veidošanas laikā un ļauj parastiem lietotājiem lasīt patvaļīgus failus no failu sistēmas, kas daudzos gadījumos noved pie Administrator tiesību iegūšanas.

Lai gan Microsoft informēts par ievainojamību pagājušā gada oktobrī un ievainojamība jūnijā padarīta publiska, oficiāli ielāpi joprojām nav publicēti. Šonedēļ ir publiskots mikroielāps no Slovēnijas komāpnijas “0patch”, kas izlabo šo ievainojamību.

Insulīna dozētāji

Atrasta ievainojamība automātiskā insulīna dozētājā “Insulet OmniPod”, kas padara iespējamu “replay-attack” tipa uzbrukumu, faktiski ļaujot uzbrucējam nosūtīt medicīniskai ierīcei patvaļīgas komandas. Uzbrukums darbojas no 6m attāluma.

Ierīcēs nav paredzēta atjauninājumu instalēšanas funkcionalitāte, tādēļ visi tekošie lietotāji ir riska grupā. Šobrīd ražotāja ieteikums lietotājiem ir pārstāt izmantot dotos dozētājus un tā vietā pāriet uz nākamo produktu sēriju (taču ievainotās ierīces nav formāli atsauktas).

“Hide My WP” paplašinājums

“SQL Injection” ievainojamība WordPress drošības paplašinājumā “Hide My WP”, kam cita starpā būtu jāpasargā mājaslapa no SQL Injection tipa uzbrukumiem.

Mediatek draiveri

Mediatek draiveru ievainojamības, kas skar 1/3 Android lietotāju. Atklātas vairākas ievainojamības Mediatek audio draiveros, kas ļauj aplikācijām ierakstīt audio, t.sk. no zvaniem, kā arī palielināt privilēģijas, inficējot vai pilnībā pārņemot Android ierīci.

GoDaddy

Uzhakots populārs domēnu reģistrators un hostinga provaideris GoDaddy. Izmantota ievainojamība pakalpojumā “Managed WordPress”, hakeri pavadījuši tīklā divus mēnešus un savākuši 1.2 miljons lietotāju datus.

Uzbrukuma rezultātā tika atklāti:

• WordPress admin paroles, kas izmantotas instalācijas brīdī (parasti netiek mainītas)
• SFTP un datubāžu paroles
• dažos gadījumos arī SSL privātās atslēgas

Lietotāju apziņošanu sarežģī tas, ka skarti arī GoDaddy reselleri - kompānijas, kas piedāvā to pašu servisu ar citu nosaukumu, tādēļ lietotāji var arī nezināt, ka viņu dati ir kompromitēti.

Vēja ģeneratoru ražotājs

Dānijā ticis uzlauzts pasaules lielākais vēja ģeneratoru ražotājs “Vestas”. Nav zināms, vai uzbrukums ir bijis ransomware, vai cita veida. Kompānija drošības pēc atslēdza daļu IT sistēmu, šobrīd uzņēmuma darbība esot atjaunota, bet vairāk detaļas par notikušo incidentu pagaidām nav publicētas.

Uzbrukumi biomedicīnas centriem

Tardigrade grupa uzbrūk Eiropas biomedicīnas centriem, t.sk. vakcīnu ražotājiem.

“Super Duper Secure Mode”

Edge pārlūkā ieslēgts “Super Duper Secure Mode” — režīms, kas atslēdz Chromium funkcionalitāti “Just-in-Time Compilation” (JIT). JIT paātrina JavaScript izpildes ātrumu, taču vēsturiski šī tehnoloģija ir radījusi gandrīz pusi visu drošības problēmu Chromium bāzētos pārlūkos.

Tādā veidā “Super Duper Secure Mode” režīma ieslēgšana potenciāli var aizsargāt lietotājus no vēl nezināmiem uzbrukumiem (0day), taču tas var padarīt dažu mājaslapu ielādi nedaudz lēnāku.

Printeru drošība

Pētījums par printeru drošību atklāj, ka internetā pieejami tūkstoši printeru, lielākā daļa no tiem — ar zināmām ievainojamībām. Šīs ierīces var tikt izmantotas botnetu veidošanai (piem. dDoS uzbrukumiem), kā arī kā sākotnējais solis organizācijas tīkla kompromitēšanai.

Firefox Lockwise atslēgšana

Mozilla apstādina paroļu pārvaldnieka “Firefox Lockwise” attīstību. Android lietotājiem ieteicams izmantot mobilo Firefox pārlūka versiju, taču iOS lietotājiem tādas opcijas nav — viņiem nāksies pārnest paroles uz citu paroļu pārvaldnieku.