Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

CyberNews дайджест №1 Серпень 2023

CyberNews дайджест №1 Серпень 2023

10.08.2023
1) Хакери використовують WikiLoader для ураження італійських організацій за допомогою банківського троянаІталійські організації стали об'єктом нової фішингової кампанії із застосуванням шкідливого програмного забезпечення WikiLoader, призначеного для встановлення банківського трояна Ursnif.WikiLoader виявлений ще у грудні 2022 року, був пов'язаний із загрозою від зловмисників TA544 (Bamboo Spider, Zeus Panda). Злочинці експлуатують це шкідливе програмне забезпечення, використовуючи електронні листи з додатками Excel, OneNote або PDF, в яких замасковано завантажувач WikiLoader та троян Ursnif.Нещодавні кампанії TA544, виявлені в середині липня 2023 року, використовували бухгалтерські листи для поширення PDF-додатків із URL-адресами, на які при натисканні відбувається завантаження архівного файлу ZIP. У цьому архівному файлі міститься файл JavaScript, який відповідає за завантаження та виконання WikiLoader, що в свою чергу встановлює троян Ursnif.Варто помітити, що WikiLoader достатньо обфускований і здатен обійти антивірусне програмне забезпечення кінцевої точки та уникнути детонації в автоматизованих середовищах аналізу. Це шкідливе програмне забезпечення також розроблене для отримання та запуску корисного навантаження шел-коду, розміщеного на платформі Discord, який, в результаті, використовується для запуску уже самого трояна Ursnif.
Джерело: https://thehackernews.com/2023/08/cybercriminals-renting-wikiloader-to.html
2) Microsoft викрила підступну фішингову тактику російських хакерів через чати Microsoft TeamsКомпанія Microsoft повідомила, що виявила цілеспрямовані атаки соціальної інженерії, здійснені російським державним суб'єктом з використанням фішингових методів для викрадення облікових даних, надісланих через чати Microsoft Teams.Найбільша технологічна компанія приписує ці атаки групі, яку вона відстежує під назвою Midnight Blizzard (колишня назва - Nobelium). Ця група також відома під іншими назвами: APT29, BlueBravo, Cozy Bear, Iron Hemlock і The Dukes.У заяві компанії йдеться "У цій новітній активності зловмисники використовують раніше скомпрометовані облікові записи Microsoft 365, що належать малим підприємствам, для створення нових доменів, які виглядають як служби технічної підтримки".Використовуючи ці домени зі скомпрометованих облікових записів, Midnight Blizzard надсилає в повідомленнях Teams приманки, спрямовані на викрадення облікових даних цільової організації, залучення користувача та отримання згоди на підтвердження запитів на багатофакторну автентифікацію (MFA).
Джерело: https://thehackernews.com/2023/08/microsoft-exposes-russian-hackers.html
3) Reuters: Російські хакери вдались до атаки італійських банківАгентство кібербезпеки Італії виявило хакерські атаки на веб-сайти щонайменше п'яти банків. Їх здійснила російська хакерська група NoName057(16).Представник агентства повідомив, що банками, які під атакою росіян, були Intesa Sanpaolo (ISP.MI), Monte dei Paschi di Siena (BMPS.MI) та BPER Banca (EMII.MI), а також FinecoBank (FBK.MI) та Banca Popolare di Сондріо (BPSI.MI).Під час DDoS-атак хакери намагалися заповнити мережу дуже великим обсягом трафіку даних, щоб паралізувати її.Джерело в одному з банків, який став об'єктом атаки, зазначає, що їхній сайт вийшов з ладу через великий трафік, але лише на короткий проміжок часу, а мобільний додаток працював регулярно.В агентстві кібербезпеки заявили, що швидко надали допомогу установам, які стали мішенню для атак, щоб пом'якшити будь-який вплив на їх працездатність.
Джерело: https://www.reuters.com/world/europe/russian-hackers-crash-italian-bank-websites-cyber-agency-2023-08-01/
4) Північнокорейські хакери зламали провідного російського виробника ракетЕлітні північнокорейські групи хакерів, які дослідники безпеки називають ScarCruft і Lazarus, таємно зламала комп’ютерні мережі та встановили приховані цифрові бекдори в системі НВО Машинобудування, ракетно-конструкторського бюро в Реутові, невеликому місту на околиці Москви. Згідно з технічними даними, вторгнення почалося приблизно наприкінці 2021 року і тривало до травня 2022 року, коли, згідно з внутрішньою комунікацією в компанії, ІТ-інженери виявили активність хакерів. Хакери проникли в ІТ-середовище компанії, отримавши можливість читати електронну пошту, перемикатися між мережами та отримувати дані.Поки не визначено, чи були якісь дані вилучені під час вторгнення або яку інформацію могли переглядати, але протягом кількох місяців після цифрового зламу Пхеньян оголосив про декілька змін у своїй програмі створення балістичних ракет, хоча невідомо, чи було це пов’язано зі зломом. Цей інцидент показує, як ізольована країна буде націлюватися навіть на своїх союзників, таких як Росія, у спробі отримати важливі технології.Аналітики дізнались про злом завдяки тому, що ІТ-спеціаліст НВО випадково злив внутрішні комунікації його компанії під час розслідування цієї атаки, завантаживши докази на приватний портал, який використовують дослідники кібербезпеки по всьому світу.
Джерело: https://www.reuters.com/technology/north-korean-hackers-breached-top-russian-missile-maker-2023-08-07/

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,
бульвар Вацлава Гавела, 6, корпус 3,
Україна, Київ, 03124

Illustration


Зателефонувати

+38 (044) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,
бульвар Вацлава Гавела, 6, корпус 3,
Україна, Київ, 03124