Nganyari Ankura CTIX FLASH – 18 November 2022 – Keamanan

Kanggo nyithak artikel iki, sampeyan mung kudu ndhaptar utawa mlebu ing Mondaq.com.

Aktivitas Ransomware/Malware

Kampanye Malware RapperBot Nindakake Serangan DDoS Marang Server Video Game

Peneliti ing Fortinet bubar ngenali conto anyar saka malware “RapperBot” ing kampanye ngluncurake serangan denial-of-service (DDoS) sing disebarake marang server game. Kampanye iki padha karo kampanye lawas sing diwiwiti ing Februari 2022 lan “ilang kanthi misterius ing pertengahan April.” Sampel RapperBot anyar pisanan diidentifikasi ing Agustus 2022 lan dikenal minangka “server SSH eksklusif brute-force sing dikonfigurasi kanggo nampa otentikasi sandhi.” Sampel paling anyar duwe kemampuan kanggo nindakake Telnet brute-forcing uga ndhukung serangan denial-of-service (DoS). Iki ditindakake kanthi nggunakake protokol tunneling Generic Routing Encapsulation (GRE) uga kanthi nggunakake banjir UDP kanggo target server game. Iki difasilitasi dening dhaptar hard-coding kredensial IoT standar ing plaintext sing ditempelake ing binar kode brute-meksa Telnet. Iki minangka teknik anyar, amarga kampanye sadurunge nyimpen lan njupuk dhaptar kredensial saka server command-and-control (C2). Yen dieksekusi kanthi bener, aktor ancaman bakal kasil otentikasi ing piranti target, nyebabake malware ngirim kredensial sing bener bali menyang C2 sing dikontrol aktor lan nginstal muatan RapperBot ing piranti sing dieksploitasi. Pangembangan sing menarik yaiku sifat malware sing ditargetake, dirancang kanggo mung nyerang piranti sing mlaku ing “arsitektur ARM, MIPS, PowerPC, SH4, lan SPARC, lan mandhegake mekanisme panyebaran diri yen mlaku ing chipset Intel.” Senajan durung resmi lantaran, iku kamungkinan sing loro kampanye iki dilakokno dening aktor ancaman padha. Analis CTIX bakal ngawasi kampanye iki lan menehi nganyari babagan aktor ancaman nalika atribusi tartamtu kasedhiya.

Aktivitas Aktor Ancaman

TA542 Muncul maneh Sawise 4 Sasi Hiatus, Ngapikake Emotet Arsenal

Sawise hiatus anyar, aktor ancaman saka TA542 maneh wiwit nggunakake malware Emotet kanggo nyebarake ewonan email ala menyang pangguna pungkasan. TA542, uga dilacak minangka Mummy Spider, umum dikenal kanggo pangembangan inti saka malware Emotet, kang pisanan diamati ing 2014. Kampanye dibukak dening aktor TA542 biasane miwiti kampanye Emotet-mimpin sing suwene sawetara sasi, sawise kang grup bakal pindhah ing. hiatus antarane telung (3) nganti rolas (12) sasi. Bubar, kegiatan Emotet wis diwiwiti maneh ing awal Nopember sawise mandheg patang (4) wulan sawise kampanye liyane ing wulan Juli. Ing kampanye anyar iki, analis Proofpoint nyathet sawetara owah-owahan sing signifikan ing malware Emotet kalebu owah-owahan binar, taktik nggodho lampiran Excel sing luwih apik, pemuat ringan sing diarani IcedID, lan laporan sing nyebarake muatan Bumblebee sing mudhun bebarengan karo IcedID. Ing babagan nargetake, TA542 wis nyebarake serangan Emotet menyang pangguna ing Amerika Serikat, Inggris, Jepang, Meksiko, Brasil, lan sawetara liyane. Modifikasi sing digawe dening aktor ancaman katon kanggo mbenerake masalah sing ana ing sekitar host sing rusak ing botnet. CTIX ngarepake kampanye anyar iki bakal tahan sawetara wulan maneh sadurunge TA542 mandheg maneh. CTIX terus ngawasi aktivitas aktor ancaman ing saindhenging lanskap lan bakal menehi nganyari tambahan.

Kerentanan

F5 Patch Loro Kerentanan RCE Dhuwur Keruwetan

Perusahaan cybersecurity F5 wis ngeculake patch kanggo rong (2) kerentanan kritis sing mengaruhi produk BIG-IP lan BIG-IQ. Yen cacat kasebut bakal dieksploitasi, aktor ancaman bisa nindakake eksekusi kode remot (RCE) sing ora dikonfirmasi marang titik pungkasan sing rawan. Kerentanan pisanan, sing dilacak minangka CVE-2022-41622 (CVSS 8.8/10), yaiku cacat panyuwunan lintas situs (CSRF) ing komponen SOAP iControl, sing mengaruhi produk BIG-IP lan BIG-IQ. Panyerang bisa ngeksploitasi kerentanan iki dening pangguna rekayasa sosial kanthi hak istimewa peran administrator sumber daya utawa sing luwih dhuwur, ngapusi dheweke supaya bisa ngakses titik pungkasan sing ala. Yen dieksploitasi, aktor ancaman bisa entuk akses root menyang antarmuka manajemen piranti sing rawan, ngidini kompromi sistem lengkap. Kerentanan kapindho, sing dilacak minangka CVE-2022-41800 (CVSS 8.7/10), yaiku cacat injeksi spek RPM sing mengaruhi mode piranti iControl REST. Yen kasil dieksploitasi, panyerang sing wis ngamanake kredensial administrator bisa maneh nindakake RCE sing ora dikonfirmasi kanthi nglakokake perintah cangkang liwat file khusus RPM. Sanajan abot, kemungkinan cacat kasebut bakal dieksploitasi kanthi skala sithik amarga panyerang kudu sinau babagan jaringan target lan kompromi akun administrator sing bener sadurunge ngeksploitasi kerentanan kasebut. Ana eksploitasi bukti-konsep (PoC) sing bisa digunakake kanggo CVE-2022-41622, mula pangguna kudu nginstal hotfix kasebut sanalika bisa. Saliyane nginstal tembelan, administrator kudu mateni Otentikasi Dasar kanthi manual kanggo komponen SOAP iControl sawise nginstal hotfix. Analis CTIX njaluk supaya para pamaca sing ngetrapake keamanan F5 iki kudu nganyarke platform kasebut kanthi cepet kanggo nyegah eksploitasi.

Isi artikel iki dimaksudaké kanggo nyedhiyani pandhuan umum kanggo subyek. Saran spesialis kudu digoleki babagan kahanan tartamtu sampeyan.

ARTIKEL POPULAR ING: Teknologi saka Amerika Serikat

Pandhuan Perbandingan Mata Uang Virtual

Bull Blockchain Law LLP

Pandhuan Perbandingan Mata Uang Virtual kanggo yurisdiksi Amerika Serikat, priksa bagean pandhuan komparatif kita kanggo mbandhingake ing pirang-pirang negara

.

Leave a Comment

Your email address will not be published. Required fields are marked *