Todo lo que necesitas saber sobre tecnología

Category: Ciberseguridad Page 2 of 473

Kulinda Biashara Yako Msimu Huu wa Likizo: Ufunguo

Kulinda Biashara Yako Msimu Huu wa Likizo: Ufunguo

Msimu huu wa likizo wachambuzi wetu wa SOC wameona ongezeko kubwa katika shughuli za tishio la mtandao. Hasa, wameona ongezeko la majaribio ya uvamizi wa programu ya kukomboa, ambayo yalianza wakati wa sikukuu ya Shukrani ya Marekani (Novemba 25–31, 2024) na yanatarajiwa kuendelea katika msimu wote wa likizo. Tunashiriki maelezo kuhusu wahusika wa vitisho wanaohusika, mbinu zao, pamoja na mapendekezo ya kukupa maarifa na zana za kuimarisha usalama wako dhidi ya vitisho vinavyoendelea. BlackSuit ya Vikundi vya Tishio (zamani “Royal”) Inayojulikana kwa kulenga sekta muhimu za miundombinu, ikiwa ni pamoja na huduma ya afya, serikali na utengenezaji, BlackSuit hutumia mbinu za kuchuja data, ulaghai na usimbaji fiche, kulingana na ushauri wa Wakala wa Usalama wa Mtandao na Miundombinu (CISA). Vekta za mashambulizi ya kawaida ni pamoja na: Barua pepe za hadaa na tovuti hasidi Unyonyaji wa mitandao ya kibinafsi isiyolindwa (VPNs) isiyo na uthibitishaji wa vipengele vingi (MFA) Kuzima programu ya antivirus ili kuchuja data kabla ya mifumo ya usimbaji fiche Black Basta Inayofanya kazi kama programu ya ukombozi-kama-huduma (RaaS ), washirika wa Black Basta wamelenga zaidi ya vyombo 500 katika 2024 pekee katika Amerika Kaskazini, Ulaya, na Australia, kulingana na CISA. Mbinu Muhimu: Vishing: Kuiga mafundi wa dawati la usaidizi kupitia simu ili kufikia mitandao Kwa kutumia zana zenye nia mbaya za usimamizi wa kijijini ili kuingia na kuongeza mashambulizi LevelBlue Observations of Threat Actor TTPs na Jinsi ya Kuimarisha Usalama Katika wiki za hivi karibuni, timu yetu ya SOC imeona watendaji tishio kwa kutumia yafuatayo. mbinu za kuzindua mashambulizi: Mapendekezo ya Mbinu Utumiaji wa tovuti ya VPN ambayo hailazimishi MFA kupata ufikiaji wa awali Tekeleza. MFA ya miunganisho ya VPN na uzio wa geo-fence portal yako ya VPN Patch VPN vifaa. Kihistoria tumeona vifaa hivi vya mtandao vinavyotazama nje kuathiriwa Matumizi ya vishing (kuiga mwanatimu wa “dawati la usaidizi”) ili kupata ufikiaji wa awali kwa vituo vya kazi vya watumiaji wa mwisho, ambayo humpa mvamizi ufikiaji wa mtandao mkubwa (barua pepe na maandishi. ujumbe pia unasaidiwa kwa ukusanyaji wa hati miliki na kusambaza programu hasidi) Nambari mbili za LevelBlue imebainisha kuhusika katika matukio ni 1-844-201-3441 na 304-718-2459 Wape wafanyikazi mafunzo na elimu juu ya shambulio la vishing na vivutio vya kawaida vinavyoweza kutumika Tekeleza mchakato wa uthibitishaji kwa wafanyikazi wa dawati la usaidizi na wafanyikazi wanaoitwa wakati wa hali halali za usaidizi wa IT moja kwa moja. wafanyakazi kuripoti mawasiliano ya kutiliwa shaka mara moja kwa msimamizi na uongozi wa usalama Matumizi ya Rclone, WinSCP, na zana zingine za kuhamisha faili toa data kutoka kwa mazingira Zuia usakinishaji au utekelezwaji wa zana za mvamizi wa kawaida ambazo hazina kazi maalum ndani ya mtandao wako, au tekeleza vighairi vizuizi kwa kuruhusu matumizi Matumizi ya udhaifu kwenye programu/maombi ya kawaida ili kuongeza mapendeleo Kuathirika kwa VMware, Microsoft Exchange. , Microsoft SharePoint, na programu zingine zinazojiendesha zinalengwa haswa kupata msimamizi au hata ufikiaji wa mizizi ndani ya programu ya Patch ya mazingira. kwa mapendekezo ya muuzaji na ukague ratiba ya kuathirika ya shirika lako ya kuchanganua na kuweka viraka Dumisha rekodi nzuri za programu na mifumo ya uendeshaji inayoendeshwa ndani ya mazingira yako, na uwashe arifa wakati arifa za viraka, barua pepe, au masasisho ya habari yanapotoka kuhusu programu hizi na mifumo ya uendeshaji Matumizi ya Kidhibiti cha Mbali. Itifaki ya Eneo-kazi (RDP), Usimamizi wa Kijijini cha Dirisha (WinRM), na zana za Usimamizi wa Ufuatiliaji wa Mbali (RMM) za harakati za kando Zuia yoyote ya nje hadi ya ndani. Majaribio ya RDP na kuzima RDP kwa wapangishi ambao hawahitaji Punguza trafiki ya RDP na WinRM kutoka sehemu za mtandao ambazo hazihitaji aina hiyo ya utepetevu wa magharibi/mashariki. Hili pia linaweza kutumika kwa itifaki zingine na trafiki ya jumla ya mtandao pia, kukomesha harakati za baadaye za mshambuliaji Zuia usakinishaji au utekelezaji wa zana za RMM ambazo hazitumiwi kwa njia dhahiri na shirika lako. Kumbuka kuwa zana za RMM zimezingatiwa katika takriban kila tukio linalohusiana na ukombozi ambalo timu ya LevelBlue SOC imechunguza. Kuzuia usakinishaji au utekelezaji wa zana hizi kutapunguza kwa kiasi kikubwa ufanisi wa mashambulizi Hatua Nyingine Mahiri za Usalama Mtandaoni Huongeza Ufahamu wa Wafanyakazi Ingawa wafanyakazi wanaweza kufurahia sherehe nyingi zaidi wakati huu wa mwaka, ni muhimu kuwasilisha uharaka wa kuwa waangalifu zaidi wakati wa msimu wa likizo. Kuelimisha wafanyakazi juu ya kutambua na kuripoti mawasiliano ya kutiliwa shaka. Na kutoa mwongozo wazi juu ya kuthibitisha anwani za usaidizi wa IT. Thibitisha Vidhibiti vya Usalama na Kushughulikia Mfiduo Unayoweza Kushughulikia Endelea kufuatilia viraka na uhakikishe kuwa mali zinazoonekana kwa umma zinalindwa kupitia MFA. Tuko hapa ili kusaidia kutambua mapengo yanayoweza kutokea ya usalama na mifichuo. Pata manufaa ya jaribio lisilolipishwa la siku 30 ukitumia huduma ya LevelBlue ya Kudhibiti Athari. Linda dhidi ya Tovuti na Barua pepe Hasidi Ikiwa tayari huna usalama wa barua pepe, ufikiaji salama wa mbali, au ulinzi salama wa lango la wavuti uliopo, zingatia kuziongeza. LevelBlue hutoa chaguo rahisi, zinazodhibitiwa za utoaji wa huduma na chaguo la teknolojia kuu. Huduma hizi zinaweza kusaidia kuwalinda wafanyakazi dhidi ya majaribio ya kuhadaa ili kupata maelezo ya kibinafsi na tovuti hasidi na pia kusaidia kudhibiti na kudhibiti ufikiaji wa programu. Imarisha Usalama wa Mwisho Zaidi ya 75% ya mashirika yanasema yamepitia angalau shambulio moja la mtandao kutokana na vifaa visivyojulikana, visivyodhibitiwa au vinavyosimamiwa vyema.[1] LevelBlue Inayosimamiwa Mwisho wa Usalama na SentinelOne hulinda sehemu tofauti za mwisho, ikiwa ni pamoja na kompyuta za mkononi, seva, kompyuta za mezani, na mizigo ya kazi ya wingu, dhidi ya vitisho vinavyoendelea. Oanisha huduma hii na LevelBlue Managed Threat Detection na Response ili kufunika eneo lako lote la mashambulizi. Pia tunatoa viwango kadhaa kwa kihifadhi majibu ya tukio, kuwapa wateja ufikiaji wa majibu ya ziada, uchunguzi wa uchunguzi na usaidizi wa uokoaji. Hatimaye, inaweza kushawishi kuruhusu kazi kuchelewa wakati huu wa mwaka, lakini kama tunavyojua sote, wahalifu wa mtandao watatumia hilo kwa manufaa yao. Shughulikia maswala ya usalama mara moja, ili yasichanganywe na kukua kuwa makali zaidi. Likizo ni wakati wa shughuli nyingi kwa kila mtu, pamoja na watendaji tishio. Tumia huduma zetu za usaidizi katika msimu huu na baada ya hapo ili kuimarisha shughuli zako za mtandaoni na kuhakikisha kuwa shirika lako linasalia salama. Wasiliana na LevelBlue info@levelblue.com

Ripoti ya Maarifa ya Usalama ya Mtandao ya NCSC 58% Kuongezeka kwa Matukio

Ripoti ya Maarifa ya Usalama ya Mtandao ya NCSC 58% Kuongezeka kwa Matukio

Muhtasari Kituo cha Kitaifa cha Usalama wa Mtandao cha New Zealand (NCSC) kimefichua Ripoti yake ya Maarifa ya Usalama ya Mtandao ya Q3 2024, ikitoa muhtasari wa kina wa vitisho vya mtandao vinavyoathiri New Zealand. Ripoti ya robo ya tatu inaangazia ongezeko la matukio ya mtandaoni, na kutoa uelewa wa kina wa wahusika tishio wanaolenga watu binafsi, biashara na mashirika kote nchini. Kulingana na Ripoti ya Maarifa ya Usalama ya Mtandao ya NCSC, idadi ya matukio yaliyoripotiwa iliongezeka hadi 1,905 katika Q3 2024, kuashiria ongezeko la 58% ikilinganishwa na robo ya awali. Ingawa ongezeko hili linaweza kuonekana kuwa la kutatanisha, NCSC ilibaini kuwa ongezeko kama hilo ni maendeleo chanya. Inaonyesha wakazi zaidi wa New Zealand na wafanyabiashara wanaochukua hatua za haraka kwa kuripoti matukio ya mtandaoni, na hivyo kuchangia katika mkao wa usalama wa nchi kwa ujumla. Ripoti inasisitiza mienendo kadhaa muhimu, huku matukio ya ufikiaji usioidhinishwa yanakaribia maradufu. Zaidi ya hayo, matukio ya hadaa na uvunaji wa kitambulisho yaliongezeka kwa 70%, ikionyesha juhudi kubwa za wahalifu wa mtandao wanaojaribu kuwahadaa waathiriwa kubofya viungo hasidi. Muhtasari wa Ripoti ya Maarifa ya Usalama ya Mtandao ya NCSC Ripoti ya NCSC iliangazia matishio mbalimbali ya mtandaoni ambayo wananchi wa New Zealand walikabiliana nayo katika Q3-2024. Waigizaji wa Tishio wamezidi kulenga vipanga njia, wakijaribu kuingia kwenye mitandao ya nyumbani na biashara. Tishio lingine lililotambuliwa ni shambulio la hadaa la Adversary-in-the-Middle (AitM), ambalo huhatarisha vidakuzi vya kikao ili kukwepa hatua za jadi za usalama. Zaidi ya hayo, ripoti inatanguliza CVV zinazobadilika—teknolojia mpya inayolenga kudhibiti ulaghai mtandaoni na kutoa usalama zaidi kwa miamala ya kadi. Msimu wa likizo unapokaribia, NCSC pia huonya kuhusu ulaghai wa kawaida ulioundwa ili kuiba taarifa za kibinafsi na pesa. Wananchi wa New Zealand wanahimizwa kutembelea tovuti ya NCSC ya Kumiliki Wako Mtandaoni kwa mwongozo wa ziada wa kutambua na kuepuka ulaghai huu. Kivinjari chako hakitumii lebo ya video. Athari za Kifedha na Uchanganuzi wa Matukio Uchanganuzi wa NCSC wa hasara za kifedha mnamo Q3 2024 unaonyesha kupungua kwa 19% ikilinganishwa na robo ya awali, na kuripotiwa hasara za moja kwa moja za kifedha za jumla ya $ 5.5 milioni. Hata hivyo, 25% ya matukio yote yaliyoripotiwa bado yalisababisha aina fulani ya hasara ya kifedha. Ukiangalia kwa undani aina za matukio unaonyesha kuwa wizi wa data binafsi na uvunaji stakabadhi unaendelea kuwa aina zilizoenea zaidi za uhalifu wa mtandaoni. Matukio haya yalichangia 43% ya matukio yote yaliyoripotiwa. Makundi mengine ni pamoja na ulaghai na ulaghai (31%) na ufikiaji usioidhinishwa (16%). Huu hapa ni uchanganuzi wa matukio kwa kategoria ya Q3 2024: Kitengo cha Matukio Hesabu ya Asilimia ya Mabadiliko kutoka kwa Q2 2024Hadaa na Uvunaji wa Hati 823+70%Ulaghai na Ulaghai596+37%Upatikanaji Usioidhinishwa300+80%Tovuti Maelewano56+2024+695%6Malware61%Malware Trafiki4+300%Trafiki ya Mtandao inayoshukiwa2-50%Kunyimwa Huduma1-75%C&C Kukaribisha Seva10%Mashambulizi kwenye Mfumo00%Other80+63% Huduma ya Usumbufu wa Uhadaa: Kupambana na Uhalifu wa Mtandao Huduma ya Usumbufu wa Hadaa (PDS), huduma isiyolipishwa inayotolewa na NCSC , inaendelea kuwa na fungu muhimu katika kuwalinda watu wa New Zealand. Kwa kukusanya na kuchambua viungo vya hadaa vilivyoripotiwa na umma, NCSC huchapisha viashiria vya ulaghai vilivyothibitishwa ili mashirika yazuie. Mnamo Q3 2024, NCSC ilichakata zaidi ya viashirio 20,500 vya hadaa, huku zaidi ya 6,200 kati ya hizo zikiongezwa kwenye PDS. Mnamo Q3 2024, huduma za posta na usafirishaji ndizo zilizoigwa sana na walaghai, ikionyesha mwelekeo unaoongezeka wa ulaghai unaolenga sekta ya biashara ya mtandaoni na vifaa. Hitimisho Ripoti ya NCSC Q3 2024 inaangazia matukio 98 yanayoathiri mashirika ya kitaifa, kuanzia madogo hadi mashuhuri kwa ukali. Hakuna matukio ambayo yameainishwa kama dharura za kitaifa. Kuongezeka kwa idadi ya matukio ya mtandaoni kunasisitiza haja ya kuboreshwa kwa hatua za usalama mtandao huku wahalifu wa mtandao wakirekebisha mbinu zao. Mashambulizi ya hadaa na ufikiaji ambao haujaidhinishwa unaendelea kuwa vitisho kuu, ikionyesha umuhimu wa mbinu dhabiti za usalama kama vile uthibitishaji wa mambo mengi na ugunduzi wa hali ya juu wa vitisho. Marejeleo Yanayohusiana

Siku Sifuri katika Programu ya Kuhamisha Faili ya Cleo Iliyotumiwa Katika Wengi – Chanzo: www.infosecurity-magazine.com

Siku Sifuri katika Programu ya Kuhamisha Faili ya Cleo Iliyotumiwa Katika Wengi – Chanzo: www.infosecurity-magazine.com

Watafiti wa usalama wamewaonya wateja wa mchuuzi maarufu wa programu ya kuhamisha faili Cleo kwamba hatari ya siku sifuri kwa sasa inatumiwa porini kuiba data zao. Mchuuzi wa usalama Huntress alikuwa wa kwanza kutangaza mashambulizi hayo siku ya Jumatatu, akidai kuwa hitilafu ya utekelezaji wa kanuni za mbali (RCE) CVE-2024-50623 inaathiri bidhaa za Cleo Harmony, VLTrader na LexiCom. Inaonekana inatokana na kiraka kisichokamilika cha muuzaji kilichotolewa mnamo Oktoba ambacho watendaji tishio waliweza kupita. “Kutoka kwa telemetry yetu, tumegundua angalau biashara 10 ambazo seva zao za Cleo ziliathiriwa na hali nzuri ya unyonyaji iliyozingatiwa mnamo Desemba 8 karibu 07:00 UTC. Baada ya uchambuzi wa awali, hata hivyo, tumepata ushahidi wa unyonyaji mapema Desemba 3, “alisema Huntress. “Wateja wengi ambao tuliona wameathiriwa na bidhaa za watumiaji, tasnia ya chakula, lori, na tasnia ya usafirishaji. Bado kuna kampuni zingine kadhaa nje ya mtazamo wetu ambazo zinaweza kuathiriwa pia. Soma zaidi kuhusu uvamizi wa programu ya kuhamisha faili: Kikundi cha Clop Ransomware Kinatumia GoAnywhere MFT Flaw Cleo alitoa ushauri Jumanne, akiwasihi wateja wapate toleo jipya zaidi la bidhaa (5.8.0.21) “ili kushughulikia vienezaji vya mashambulizi zaidi vinavyoweza kuathiriwa vilivyogunduliwa.” Walakini, Huntress alidai kuwa hata kiraka hiki “hakitoshi” dhidi ya ushujaa aliona porini. Mawasiliano ya hivi karibuni ya Cleo, yaliyotolewa hivi karibuni, yalibainisha kuwa bidhaa hadi toleo la 5.8.0.23 zimeathirika. Inaangazia kiungo kwa wateja ili waweze kuchukua “hatua mara moja” ili kupunguza dosari. “Cleo ametambua uwezekano wa kuathiriwa na wapangishi hasidi ambao haujaidhinishwa (CVE inasubiri) ambao unaweza kusababisha utekelezaji wa nambari ya mbali,” ilisema. Wakati wa kuandika, kiraka kilikuwa hakijatolewa na muuzaji kwa unyonyaji huu mpya, lakini moja inadhaniwa kuwa inasubiri. Hatua ya Haraka Inahitajika Rapid7 iliwashauri wateja wa Cleo kuondoa bidhaa zilizoathiriwa kwenye mtandao wa umma na kuhakikisha kuwa zimewekwa nyuma ya ngome. “Uchunguzi wa Per Huntress, kulemaza Saraka ya Cleo ya Autorun, ambayo inaruhusu faili za amri kushughulikiwa kiotomatiki, inaweza pia kuzuia sehemu ya mwisho ya mlolongo wa mashambulizi kutekelezwa,” iliongeza. “Blogu ya Huntress ina maelezo kadhaa ya shughuli za baada ya unyonyaji, ikiwa ni pamoja na mabaki ya msururu wa mashambulizi, amri zinazoendeshwa na faili zilizodondoshwa kwa ajili ya kuendelea. Rapid7 inapendekeza kwamba wateja walioathiriwa wakague viashirio hivi na kuchunguza mazingira yao kwa ajili ya shughuli za kutiliwa shaka kuanzia angalau tarehe 3 Desemba 2024.” Kampeni hii ina mwangwi wa juhudi za awali za kikundi cha uhalifu wa mtandaoni cha Clop, ambacho kililenga bidhaa za programu za kuhamisha faili zinazosimamiwa kutoka MOVEit, GoAnywhere na Accellion FTA na ushujaa wa siku sifuri, ili kuiba na kushikilia data ya wateja ili kufidia. Ripoti ambazo hazijathibitishwa zinaonyesha kuwa, wakati huu, kikundi cha Mchwa – ambacho hapo awali kilihusika na shambulio la Blue Yonder – kinaweza kuwa nyuma ya kampeni ya siku sifuri. URL ya Chapisho Asilia: https://www.infosecurity-magazine.com/news/zero-day-cleo-file-transfer/

Siku Sifuri katika Programu ya Kuhamisha Faili ya Cleo Imetumiwa Kwa wingi

Siku Sifuri katika Programu ya Kuhamisha Faili ya Cleo Imetumiwa Kwa wingi

Watafiti wa usalama wamewaonya wateja wa mchuuzi maarufu wa programu ya kuhamisha faili Cleo kwamba hatari ya siku sifuri kwa sasa inatumiwa porini kuiba data zao. Mchuuzi wa usalama Huntress alikuwa wa kwanza kutangaza mashambulizi hayo siku ya Jumatatu, akidai kuwa hitilafu ya utekelezaji wa kanuni za mbali (RCE) CVE-2024-50623 inaathiri bidhaa za Cleo Harmony, VLTrader na LexiCom. Inaonekana inatokana na kiraka kisichokamilika cha muuzaji kilichotolewa mnamo Oktoba ambacho watendaji tishio waliweza kupita. “Kutoka kwa telemetry yetu, tumegundua angalau biashara 10 ambazo seva zao za Cleo ziliathiriwa na hali nzuri ya unyonyaji iliyozingatiwa mnamo Desemba 8 karibu 07:00 UTC. Baada ya uchambuzi wa awali, hata hivyo, tumepata ushahidi wa unyonyaji mapema Desemba 3, “alisema Huntress. “Wateja wengi ambao tuliona wameathiriwa na bidhaa za watumiaji, tasnia ya chakula, lori, na tasnia ya usafirishaji. Bado kuna kampuni zingine kadhaa nje ya mtazamo wetu ambazo zinaweza kuathiriwa pia. Soma zaidi kuhusu uvamizi wa programu ya kuhamisha faili: Kikundi cha Clop Ransomware Kinatumia GoAnywhere MFT Flaw Cleo alitoa ushauri Jumanne, akiwasihi wateja wapate toleo jipya zaidi la bidhaa (5.8.0.21) “ili kushughulikia vienezaji vya mashambulizi zaidi vinavyoweza kuathiriwa vilivyogunduliwa.” Walakini, Huntress alidai kuwa hata kiraka hiki “hakitoshi” dhidi ya ushujaa aliona porini. Mawasiliano ya hivi karibuni ya Cleo, yaliyotolewa hivi karibuni, yalibainisha kuwa bidhaa hadi toleo la 5.8.0.23 zimeathirika. Inaangazia kiungo kwa wateja ili waweze kuchukua “hatua mara moja” ili kupunguza dosari. “Cleo ametambua uwezekano wa kuathiriwa na wapangishi hasidi ambao haujaidhinishwa (CVE inasubiri) ambao unaweza kusababisha utekelezaji wa nambari ya mbali,” ilisema. Wakati wa kuandika, kiraka kilikuwa hakijatolewa na muuzaji kwa unyonyaji huu mpya, lakini moja inadhaniwa kuwa inasubiri. Hatua ya Haraka Inahitajika Rapid7 iliwashauri wateja wa Cleo kuondoa bidhaa zilizoathiriwa kwenye mtandao wa umma na kuhakikisha kuwa zimewekwa nyuma ya ngome. “Uchunguzi wa Per Huntress, kulemaza Saraka ya Cleo ya Autorun, ambayo inaruhusu faili za amri kushughulikiwa kiotomatiki, inaweza pia kuzuia sehemu ya mwisho ya mlolongo wa mashambulizi kutekelezwa,” iliongeza. “Blogu ya Huntress ina maelezo kadhaa ya shughuli za baada ya unyonyaji, ikiwa ni pamoja na mabaki ya msururu wa mashambulizi, amri zinazoendeshwa na faili zilizodondoshwa kwa ajili ya kuendelea. Rapid7 inapendekeza kwamba wateja walioathiriwa wakague viashirio hivi na kuchunguza mazingira yao kwa ajili ya shughuli za kutiliwa shaka kuanzia angalau tarehe 3 Desemba 2024.” Kampeni hii ina mwangwi wa juhudi za awali za kikundi cha uhalifu wa mtandaoni cha Clop, ambacho kililenga bidhaa za programu za kuhamisha faili zinazosimamiwa kutoka MOVEit, GoAnywhere na Accellion FTA na ushujaa wa siku sifuri, ili kuiba na kushikilia data ya wateja ili kufidia. Ripoti ambazo hazijathibitishwa zinaonyesha kuwa, wakati huu, kikundi cha Mchwa – ambacho hapo awali kilihusika na shambulio la Blue Yonder – kinaweza kuwa nyuma ya kampeni ya siku sifuri.

Marekani Inamtoza Mdukuzi wa Kichina kwa Kutumia Siku Sifuri katika Ngome 81,000 za Sophos

Marekani Inamtoza Mdukuzi wa Kichina kwa Kutumia Siku Sifuri katika Ngome 81,000 za Sophos

Des 11, 2024Ravie Lakshmanan Vulnerability / Ukiukaji wa Data Serikali ya Marekani mnamo Jumanne iliondoa mashtaka dhidi ya raia wa Uchina kwa madai ya kuvunja maelfu ya vifaa vya kuzima moto vya Sophos duniani kote mwaka wa 2020. Guan Tianfeng (aka gbigmao na gxiaomao), ambaye inasemekana wamefanya kazi katika Sichuan Silence Information Technology Company, Limited, amefunguliwa mashtaka njama ya kufanya udanganyifu wa kompyuta na njama ya kufanya udanganyifu wa waya. Guan ameshutumiwa kwa kuendeleza na kupima udhaifu wa kiusalama wa siku sifuri unaotumika kufanya mashambulizi dhidi ya ngome za moto za Sophos. “Guan Tianfeng anatafutwa kwa jukumu lake la madai ya kula njama ya kufikia ngome za Sophos bila idhini, kuziharibu, na kupata na kuchuja data kutoka kwa ngome zenyewe na kompyuta zilizo nyuma ya ngome hizi,” Ofisi ya Upelelezi ya Shirikisho la Marekani (FBI) alisema. “Unyonyaji huo ulitumika kupenyeza takriban ngome 81,000.” Athari ya siku sifuri inayozungumziwa ni CVE-2020-12271 (alama ya CVSS: 9.8), dosari kali ya sindano ya SQL ambayo inaweza kutumiwa na mwigizaji hasidi kufikia utekelezaji wa msimbo wa mbali kwenye ngome zinazoathiriwa za Sophos. Katika safu ya ripoti iliyochapishwa mwishoni mwa Oktoba 2024 chini ya jina Pacific Rim, Sophos alifichua kwamba ilikuwa imepokea ripoti ya fadhila ya “wakati huo huo yenye kusaidia sana lakini yenye tuhuma” kuhusu dosari hiyo mnamo Aprili 2020 kutoka kwa watafiti wanaohusishwa na Taasisi ya Utafiti ya Sichuan Silence’s Double Helix, siku moja baada ya hapo ilitumiwa katika mashambulizi ya ulimwengu halisi kuiba data nyeti kwa kutumia trojan ya Asnarök, ikiwa ni pamoja na majina ya watumiaji na manenosiri. Ilifanyika mara ya pili mnamo Machi 2022 wakati kampuni ilipokea ripoti nyingine kutoka kwa mtafiti asiyejulikana wa Uchina inayoelezea dosari mbili tofauti: CVE-2022-1040 (alama ya CVSS: 9.8), dosari muhimu ya uthibitishaji katika ukuta wa moto wa Sophos ambayo inaruhusu mshambulizi wa mbali kutekeleza msimbo kiholela, na CVE-2022-1292 (alama ya CVSS: 9.8), amri mdudu wa sindano katika OpenSSL Unyonyaji wa porini wa CVE-2022-1040 umepewa moniker Personal Panda. “Guan na washirika wake walitengeneza programu hasidi ili kuiba taarifa kutoka kwa ngome,” Idara ya Haki ya Marekani (DoJ) ilisema. “Ili kuficha shughuli zao vyema, Guan na washirika wake walisajili na kutumia vikoa vilivyoundwa kuonekana kama vilidhibitiwa na Sophos, kama vile sophosfirewallupdate.[.]com.” Wahusika tishio kisha wakahamia kurekebisha programu hasidi zao huku Sophos ilipoanza kutunga hatua za kukabiliana, wakitumia lahaja ya Ragnarok ransomware katika tukio ambalo waathiriwa walijaribu kuondoa vizalia vya programu kutoka kwa mifumo ya Windows iliyoambukizwa. Juhudi hizi hazikufaulu, DoJ ilisema. Sanjari na mashitaka, Ofisi ya Idara ya Hazina ya Marekani ya Udhibiti wa Mali za Nje (OFAC) imeweka vikwazo dhidi ya Sichuan. Kimya na Guan, wakisema wengi wa wahasiriwa walikuwa kampuni muhimu za miundombinu za Amerika Sichuan Silence imetathminiwa kuwa mkandarasi wa serikali ya usalama wa mtandao wa Chengdu ambayo inatoa huduma zake kwa mashirika ya kijasusi ya China, kuwapa uwezo wa kufanya unyonyaji wa mtandao, ufuatiliaji wa barua pepe. uvunjaji wa nenosiri kwa nguvu, na ukandamizaji wa hisia za umma Pia inasemekana kuwapa wateja vifaa vilivyoundwa kuchunguza na kutumia mtandao unaolengwa Vipanga njia. “Zaidi ya 23,000 ya firewalls kuathirika walikuwa katika Marekani. Kati ya firewalls haya, 36 walikuwa kulinda mifumo ya makampuni muhimu ya miundombinu ya Marekani’,” Hazina alisema. “Ikiwa yeyote kati ya wahasiriwa hawa angeshindwa kurekebisha mifumo yao ili kupunguza unyonyaji, au hatua za usalama wa mtandao hazingegundua na kurekebisha haraka uvamizi huo, athari inayoweza kutokea ya shambulio la Ragnarok la ukombozi ingeweza kusababisha jeraha kubwa au kupoteza maisha ya binadamu. ” Kando, Idara ya Jimbo imetangaza zawadi ya hadi $10 milioni kwa taarifa kuhusu Sichuan Silence, Guan, au watu wengine ambao wanaweza kuwa wanashiriki katika mashambulizi ya mtandao dhidi ya taasisi muhimu za miundombinu za Marekani chini ya uongozi wa serikali ya kigeni. “Kiwango na kuendelea kwa wapinzani wa taifa la China kunaleta tishio kubwa kwa miundombinu muhimu, pamoja na biashara zisizotarajiwa,” Ross McKerchar, afisa mkuu wa usalama wa habari huko Sophos, alisema katika taarifa iliyoshirikiwa na The Hacker News. “Azma yao isiyo na kikomo inafafanua upya maana ya kuwa Tishio la Hali ya Juu; kutatiza mabadiliko haya kunahitaji hatua za mtu binafsi na za pamoja katika tasnia nzima, ikiwa ni pamoja na utekelezaji wa sheria. Hatuwezi kutarajia makundi haya kupungua kasi, ikiwa hatutaweka utaratibu muda na juhudi katika kuzivumbua, na hii ni pamoja na uwazi wa mapema kuhusu udhaifu na kujitolea kuunda programu imara zaidi.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

Hitilafu 8 zenye Athari za Juu na Jinsi Wateja wa HackerOne Walivyoepuka Ukiukaji: Ufichuaji wa Habari – Chanzo:www.hackerone.com

Hitilafu 8 zenye Athari za Juu na Jinsi Wateja wa HackerOne Walivyoepuka Ukiukaji: Ufichuaji wa Habari – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: johnk. Mfululizo huu wa blogu unapunguza aina 8 za uwezekano wa kuathiriwa na athari za juu, pamoja na mifano ya jinsi HackerOne ilisaidia kuzuia ukiukaji unaohusishwa nazo. Hii ni mara ya pili katika mfululizo baada ya kuanza mambo kwa Kuongeza Upendeleo. Tulichagua aina hizi 8 za uwezekano wa kuathiriwa kulingana na mseto wa OWASP Top 10 pamoja na uchanganuzi wa hivi majuzi wa HackerOne wa Aina 10 Bora za Athari na Zilizotuzwa. Kisha tukashauriana na Hacktivity, saraka kubwa zaidi ya ripoti za athari zilizofichuliwa hadharani. Tumechukua mifano ya jinsi watafiti wetu mahiri wa usalama walivyosaidia wateja wa HackerOne kuepuka ukiukaji wa gharama kubwa unaohusishwa na kila aina ya athari. Athari za leo, Ufichuzi wa Habari, hutupatia fursa ya kuonyesha jinsi HackerOne “hufanya jaribio la kindani” la Fadhila yetu wenyewe ya umma na ufichuzi wa umma. Chaguomsingi kwa Ufichuzi ni, baada ya yote, mojawapo ya maadili matano ya kampuni ya HackerOne. Ufichuaji wa Taarifa Kulingana na Mitre, Ufichuzi wa Taarifa (au Mfichuo kama vile Miter huita katika CWE 200) uwezekano wa kuathiriwa hutokea wakati maelezo yanapofichuliwa kwa muigizaji ambaye hajaidhinishwa kwa uwazi kufikia maelezo hayo. Kuna aina mbili kuu: Wakati maelezo yaliyofichuliwa yanachukuliwa kuwa nyeti ndani ya utendakazi wa bidhaa yenyewe, kama vile ujumbe wa faragha Ikiwa ufichuzi utatoa taarifa kuhusu bidhaa au mazingira yake ambayo inaweza kuwa muhimu katika shambulio lakini kwa kawaida haipatikani kwa mshambulizi, kama vile njia ya usakinishaji ya bidhaa ambayo inapatikana kwa mbali. HackerOne iliorodhesha udhaifu huu katika nafasi ya tatu kwa jumla kwenye orodha yetu ya udhaifu kumi bora wenye athari na zawadi. Na kama takwimu iliyo hapa chini inavyoonyesha, kuenea kwa athari hii ni kubwa sana katika sekta ya Serikali ya Shirikisho, ambapo inawakilisha 27% ya jumla ya kiasi cha ripoti. Kama tutakavyoona katika mfano ufuatao kutoka kwa Hacktivity, @yashrs na @milindpurswani waliweza kuuliza data ya siri kwenye www.hackerone.com kupitia mwisho wa GraphQL. Jinsi HackerOne Iliepuka Ukiukaji wa Ufichuzi wa Habari Mnamo Januari 31, 2019, zaidi ya mwezi mmoja baada ya timu ya wahandisi ya HackerOne kusukuma kipengele kipya cha GraphQL katika uzalishaji, @yashrs iliripoti kuwa “Eneo la mwisho la GraphQL halina vidhibiti vya ufikiaji vinavyotekelezwa ipasavyo.” Ripoti inaendelea “mshambulizi yeyote anaweza kupata taarifa zinazomtambulisha mtu binafsi za watumiaji wa Hackerone kama vile anwani ya barua pepe, misimbo ya chelezo ya hashi, facebook_user_id, account_recovery_phone_number_verified_at, totp_enabled, n.k.” Shukrani kwa ripoti hiyo nzuri na ya wakati unaofaa, HackerOne iliweza kutekeleza marekebisho ya muda mfupi tarehe 31 Januari 2019 saa 9:46 PM, saa 2 pekee baada ya athari hii kutolewa tena. Utafiti wa timu ya wahandisi ulibaini kuwa athari hiyo haikuwa imetumiwa na wahalifu wowote na hakuna taarifa nyeti iliyokiukwa. Athari Zinazowezekana za Biashara Timu ya HackerOne iliamua kuwa taarifa nyeti za vitu vingi zilifichuliwa na athari hii. Ratiba ya GraphQL huwezesha mtu yeyote kuuliza maswali kwenye jukwaa. Huu ni uamuzi wa makusudi wa kubuni. Hata hivyo, kwa sababu kila kitu cha Mtumiaji kingeweza kufikiwa, kiasi kikubwa cha taarifa za siri kilipatikana. Ilibainika zaidi kuwa data fulani ya Timu haikufikiwa kwa njia ifaayo kupitia usanidi huu usiofaa. Iliwezekana kupata maelezo ya majaribio ya ndani na sera ya idadi iliyochaguliwa ya programu za kibinafsi ambazo mtumiaji hakuwa na ufikiaji. Waandishi wa habari waliuliza taarifa za programu kwa sehemu, lakini hawakupata taarifa yoyote nyeti iliyohitaji HackerOne kufikia wateja wowote. Kutokana na athari inayoweza kutokea, ripoti hii iliainishwa kuwa muhimu na kulipwa zawadi ya $20,000. Naval ROTC Scholarship Hopeful Husaidia Idara ya Ulinzi ya Marekani Kuepuka Ukiukaji wa Ufichuzi wa Taarifa Mdukuzi Aaron Esau, anayetumia jina maarufu @arinerron2, na washiriki wengine wawili wa timu, aliripoti hitilafu ya Ufichuzi wa Taarifa Muhimu kupitia VDP ya DoD ya HackerOne Response mnamo Agosti 19, 2019. Kama Aaron anaelezea katika uandishi wake bora wa blogi, amekuwa akichunguza programu ya DoD kwenye HackerOne kwa sehemu kwa sababu anakusudia kutuma ombi la ufadhili wa masomo ya Naval ROTC atakapoendelea na chuo mwaka wa 2020. Aaron alifanya upelelezi kwa kufanya uchunguzi usioidhinishwa wa njia ya wavuti kwenye saraka ndogo /nrotc alipogundua ukurasa unaoitwa Trace.axd ambao ulirudisha msimbo wa hali ya HTTP 302 na kuelekezwa tena ukurasa wa kuingia. Kwa kuchimba zaidi kidogo, Aaron aligundua kuwa kupitia ukurasa huu aliweza kupata nambari za usalama wa kijamii, majina ya watumiaji, anwani za barua pepe, manenosiri ya maandishi, ishara za kikao, tokeni za CSRF, na bila shaka, maelezo mahususi ya programu (km taarifa kuhusu programu na mfumo wa faili), na vichwa vya trafiki ya HTTP. DoD inamshukuru Aaron Hadharani Baada ya kuchapisha hitilafu, na kuiweka alama muhimu, kuirekebisha, na kufichua ripoti, DoD ilichukua hatua ya ziada ya kumshukuru Aaron kwenye twitter kwa matokeo mazuri na kuripoti: Inayofuata katika safu yetu ya athari 8 za athari kubwa itaonekana. kwenye Sindano ya SQL na jinsi kahawa uipendayo ina ladha bora zaidi bila moja—kwa hivyo endelea kufuatilia! Url ya Chapisho Asilia: https://www.hackerone.com/security-compliance/8-high-impact-bugs-and-how-hackerone-customers-avoided-breach-information

Microsoft Inarekebisha Makosa 72, Ikijumuisha Kiraka kwa Athari za CLFS Iliyonyonywa

Microsoft Inarekebisha Makosa 72, Ikijumuisha Kiraka kwa Athari za CLFS Iliyonyonywa

Microsoft ilifunga masasisho yake ya Jumanne ya Patch kwa 2024 na kurekebishwa kwa jumla ya dosari 72 za kiusalama kutoka kwa jalada la programu yake, pamoja na ile ambayo ilisema imekuwa ikinyonywa porini. Kati ya dosari 72, 17 zimekadiriwa kuwa Muhimu, 54 zimekadiriwa kuwa Muhimu, na moja imekadiriwa kuwa Wastani kwa ukali. Thelathini na moja ya udhaifu ni dosari za utekelezaji wa msimbo wa mbali, na 27 kati yao huruhusu uinuaji wa marupurupu. Hii ni pamoja na udhaifu 13 ambao kampuni imeshughulikia katika kivinjari chake cha Edge cha Chromium tangu kutolewa kwa sasisho la usalama la mwezi uliopita. Kwa jumla, Microsoft imesuluhisha udhaifu mwingi kama 1088 mnamo 2024 pekee, kulingana na Fortra. Athari ambayo Microsoft imekiri kuwa imetumiwa kikamilifu ni CVE-2024-49138 (alama ya CVSS: 7.8), hitilafu iliyoongezeka ya fursa katika Kiendeshaji cha Mfumo wa Faili wa Kumbukumbu wa Windows (CLFS). “Mshambulizi ambaye alitumia vibaya uwezekano huu anaweza kupata marupurupu ya SYSTEM,” kampuni hiyo ilisema katika ushauri, ikiishukuru kampuni ya usalama wa mtandao ya CrowdStrike kwa kugundua na kuripoti dosari hiyo. Inafaa kumbuka kuwa CVE-2024-49138 ni dosari ya tano ya ongezeko la upendeleo wa CLFS tangu 2022 baada ya CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, na CVE-208252 (alama za CVE-SS8252: 2022-2022-24522). ) Pia ni hatari ya tisa katika sehemu hiyo hiyo kutiwa viraka mwaka huu. “Ingawa maelezo ya unyonyaji wa porini bado hayajajulikana, ukiangalia nyuma katika historia ya udhaifu wa madereva wa CLFS, inafurahisha kutambua kwamba waendeshaji wa ransomware wameunda tabia ya kutumia uinuaji wa CLFS wa mapendeleo katika miaka michache iliyopita, ” Satnam Narang, mhandisi mkuu wa utafiti wa wafanyikazi huko Tenable, aliiambia The Hacker News. “Tofauti na vikundi vya tishio vya hali ya juu ambavyo kwa kawaida huzingatia usahihi na subira, waendeshaji na washirika wa programu ya ukombozi huzingatia mbinu za kubomoa na kunyakua kwa njia yoyote inayohitajika. Kwa kutumia uinuaji wa dosari za fursa kama hii katika CLFS, washirika wa ransomware wanaweza kupitia njia fulani. mtandao ili kuiba na kusimba data na kuanza kuwanyang’anya waathiriwa wao.” Ukweli kwamba CLFS imekuwa njia ya kuvutia ya mashambulizi kwa watendaji hasidi haijatambuliwa na Microsoft, ambayo ilisema inafanya kazi kuongeza hatua mpya ya uthibitishaji wakati wa kuchanganua faili kama hizo za kumbukumbu. “Badala ya kujaribu kuhalalisha maadili ya kibinafsi katika miundo ya data ya kumbukumbu, upunguzaji huu wa usalama hutoa CLFS uwezo wa kugundua wakati faili za kumbukumbu zimerekebishwa na kitu kingine chochote isipokuwa kiendeshaji cha CLFS yenyewe,” Microsoft ilibainisha mwishoni mwa Agosti 2024. “Hii imekamilika. kwa kuongeza Nambari za Uthibitishaji wa Ujumbe wa Hash (HMAC) hadi mwisho wa faili ya kumbukumbu.” Wakala wa Usalama wa Mtandao na Miundombinu wa Marekani (CISA) tangu wakati huo umeongeza dosari kwenye katalogi yake ya Athari Zilizotumiwa (KEV), inayohitaji mashirika ya Shirikisho la Tawi la Kiraia (FCEB) kutekeleza marekebisho yanayohitajika kufikia tarehe 31 Desemba 2024. Hitilafu hiyo kwa ukali wa juu zaidi. katika toleo la mwezi huu kuna hitilafu ya utekelezaji wa msimbo wa mbali inayoathiri Itifaki ya Ufikiaji wa Saraka ya Windows Lightweight (LDAP). Inafuatiliwa kama CVE-2024-49112 (alama ya CVSS: 9.8). “Mshambulizi ambaye hajaidhinishwa ambaye alitumia vibaya athari hii anaweza kupata utekelezwaji wa msimbo kupitia seti maalum ya simu za LDAP ili kutekeleza msimbo kiholela ndani ya muktadha wa huduma ya LDAP,” Microsoft ilisema. Pia ya kukumbukwa ni dosari nyingine mbili za utekelezaji wa msimbo wa mbali zinazoathiri Windows Hyper-V (CVE-2024-49117, alama ya CVSS: 8.8), Mteja wa Eneo-kazi la Mbali (CVE-2024-49105, alama ya CVSS: 8.4), na Microsoft Muzic (CVE- 2024-49063, alama ya CVSS: 8.4). Maendeleo haya yanakuja wakati 0patch ilitoa marekebisho yasiyo rasmi kwa hatari ya siku sifuri ya Windows ambayo inaruhusu washambuliaji kunasa kitambulisho cha Kidhibiti cha NT LAN (NTLM). Maelezo ya ziada kuhusu dosari hiyo yamezuiliwa hadi kiraka rasmi kitakapopatikana. “Udhaifu huruhusu mshambulizi kupata kitambulisho cha NTLM kwa kumfanya mtumiaji aone faili hasidi katika Windows Explorer – kwa mfano, kwa kufungua folda iliyoshirikiwa au diski ya USB iliyo na faili kama hiyo, au kutazama folda ya Vipakuliwa ambapo faili kama hiyo ilipakuliwa kiotomatiki hapo awali. kutoka kwa ukurasa wa wavuti wa mshambuliaji,” Mitja Kolsek alisema. Mwishoni mwa Oktoba, viraka visivyolipishwa visivyo rasmi pia vilipatikana ili kushughulikia athari ya siku sifuri ya Mandhari ya Windows ambayo inaruhusu wavamizi kuiba vitambulisho vya walengwa wa NTLM kwa mbali. 0patch pia imetoa micropatches kwa athari nyingine isiyojulikana hapo awali kwenye Windows Server 2012 na Server 2012 R2 ambayo inaruhusu mshambuliaji kukwepa ulinzi wa Mark-of-the-Web (MotW) kwenye aina fulani za faili. Suala hilo linaaminika kuanzishwa zaidi ya miaka miwili iliyopita. Huku NTLM ikikabiliwa na unyonyaji mkubwa kupitia mashambulizi ya relay na pass-the-hash, Microsoft imetangaza mipango ya kukataa itifaki ya uthibitishaji wa urithi kwa niaba ya Kerberos. Zaidi ya hayo, imechukua hatua ya kuwezesha Ulinzi Ulioongezwa kwa Uthibitishaji (EPA) kwa chaguomsingi kwa usakinishaji mpya na uliopo wa Exchange 2019. Microsoft ilisema imeanzisha uboreshaji sawa wa usalama kwa Huduma za Cheti cha Saraka ya Azure (AD CS) kwa kuwezesha EPA kwa chaguo-msingi kwa kutolewa kwa Windows Server 2025, ambayo pia huondoa usaidizi kwa NTLM v1 na kupunguza NTLM v2. Mabadiliko haya pia yanatumika kwa Windows 11 24H2. “Zaidi ya hayo, kama sehemu ya toleo lile lile la Windows Server 2025, LDAP sasa ina uunganisho wa chaneli unaowezeshwa kwa chaguomsingi,” timu ya usalama ya Redmond ilisema mapema wiki hii. “Maboresho haya ya usalama hupunguza hatari ya NTLM kutuma mashambulizi kwa chaguo-msingi katika huduma tatu za nje: Seva ya Exchange, Huduma za Cheti Amilifu cha Saraka (AD CS) na LDAP.” “Tunapoendelea kuelekea kulemaza NTLM kwa chaguomsingi, mabadiliko ya haraka, ya muda mfupi, kama vile kuwezesha EPA katika Exchange Server, AD CS, na LDAP huimarisha mkao wa ‘salama kwa chaguo-msingi’ na kuwalinda watumiaji dhidi ya mashambulizi ya ulimwengu halisi.” Viraka vya Programu kutoka kwa Wachuuzi Wengine Nje ya Microsoft, masasisho ya usalama pia yametolewa na wachuuzi wengine katika wiki chache zilizopita ili kurekebisha udhaifu kadhaa, ikiwa ni pamoja na – Je, umepata makala haya ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

“CP3O” inakiri hatia ya mpango wa mamilioni ya dola za kuchimba madini – Chanzo: www.bitdefender.com

“CP3O” inakiri hatia ya mpango wa mamilioni ya dola za kuchimba madini – Chanzo: www.bitdefender.com

Mwanamume mmoja anakabiliwa na kifungo cha miaka 20 jela baada ya kukiri mashtaka yanayohusiana na operesheni haramu ya uchimbaji madini ambayo iliiba rasilimali za kompyuta zenye thamani ya mamilioni ya dola. Charles O Parks III mwenye umri wa miaka 45 (aliyetumia moniker “CP30” mtandaoni) alikubali mashtaka ya ulaghai katika mahakama ya shirikisho huko Brooklyn, New York, baada ya kuwalaghai watoa huduma wawili mashuhuri wa huduma za kompyuta ya wingu nje ya muda. Dola za Marekani milioni 3.5. Watoa huduma mashuhuri hawakutajwa katika taarifa ya Idara ya Haki kwa vyombo vya habari, lakini kwa vile walitajwa hapo awali kuwa wanaishi Seattle na Redmond mtawalia, haungehitaji kuwa Sherlock Holmes ili kubaini ni kampuni gani kubwa za teknolojia ziliathiriwa. . Mahakama ilisikia kwamba katika kipindi cha miezi minane mwaka wa 2021, Parks ilisajili akaunti nyingi na watoa huduma za wingu ili kupata uwezo wa kuhifadhi nishati na uhifadhi wao. Hata hivyo, Parks waliunda akaunti kwa kutumia vitambulisho bandia, anwani mbalimbali za barua pepe na majina ya kampuni kama vile “MultiMillionaire LLC” na “CP3O LLC.” Zaidi ya hayo, hakulipia ufikiaji wake kwa akaunti za wingu, akipendelea kupotosha maswali ya kampuni kuhusu utumiaji wake wa data na bili za kuweka, na akazitumia kuchimba madini anuwai ya Ether (ETH), Litecoin (LTC), na Monero (XMR) . Katika kipindi cha mpango wake wa uhalifu, Parks alianzisha maelfu ya matukio yenye nguvu nyingi. Wakati mmoja, waendesha mashitaka walidai, Parks alianza kutumia akaunti mpya katika mmoja wa watoa huduma za cloud ndani ya siku moja baada ya ile ya awali kupigwa marufuku kutokana na kukosa malipo na shughuli za ulaghai. Parks inasemekana kujaribu kupata mapato yatokanayo na shughuli zake za uchimbaji fedha kupitia ubadilishanaji wa sarafu za siri, soko la NFT, na hata akaunti za benki za kitamaduni – kujaribu kuzuia mahitaji ya shirikisho kuripoti miamala na mapato yake. Parks inasemekana kutengeneza takriban dola za Marekani 970,000 kutokana na mpango wake. Baada ya kubadilisha faida alizozipata kwa njia mbaya kuwa dola za Marekani, Parks aliishi kwenye njia ya haraka – akifanya ununuzi wa kifahari kama vile gari la kifahari aina ya Mercedes Benz, vito vya bei ghali, na hoteli za daraja la kwanza na usafiri. “Kupitia ulaghai na ulaghai, Parks ilipata rasilimali za kompyuta zenye thamani ya mamilioni ya dola ili kuchochea operesheni yake haramu ya uchimbaji fiche,” alisema Mwanasheria wa Marekani wa Wilaya ya Mashariki ya New York, Breon Peace. “[This] ombi la hatia linasisitiza dhamira yetu thabiti ya kuwashtaki wahalifu wanaojitajirisha kupitia ulaghai wa hali ya juu wa sarafu-fiche na mipango mingine tata ya mtandao.” URL ya Chapisho Asilia: https://www.bitdefender.com/en-us/blog/hotforsecurity/cp3o-pleads-guilty-to-multi-million-dollar-cryptomining-schemeKategoria & Lebo: Blogu ya Wageni,Sheria na agizo,Amazon ,cryptocurrency,cryptomining,Microsoft – Guest blog,Law & order,Amazon,cryptocurrency,cryptomining,Microsoft

CERT-UA Yaonya Kuhusu Mashambulizi ya Hadaa Yanayolenga Jeshi la Ulinzi na Usalama la Ukraine

CERT-UA Yaonya Kuhusu Mashambulizi ya Hadaa Yanayolenga Jeshi la Ulinzi na Usalama la Ukraine

Des 10, 2024Ravie LakshmananMalware/Cyber ​​Attack Timu ya Kukabiliana na Dharura ya Kompyuta ya Ukraine (CERT-UA) imeonya kuhusu mashambulizi mapya ya mtandaoni ambayo ilisema yalilenga makampuni ya ulinzi nchini pamoja na usalama na ulinzi wake. vikosi. Mashambulizi ya hadaa yamehusishwa na mwigizaji tishio anayehusishwa na Urusi anayeitwa UAC-0185 (aka UNC4221), ambaye amekuwa akifanya kazi tangu angalau 2022. “Barua pepe za ulaghai ziliiga ujumbe rasmi kutoka Ligi ya Wana Viwanda na Wajasiriamali ya Ukraine,” CERT- UA alisema. “Barua pepe hizo zilitangaza mkutano uliofanyika tarehe 5 Desemba huko Kyiv, unaolenga kuoanisha bidhaa za makampuni ya sekta ya ulinzi wa ndani na viwango vya NATO.” Barua pepe hizo huja zikiwa na URL hasidi inayowahimiza wapokeaji kuibofya ili kuona “maelezo muhimu” yanayohusiana na ushiriki wao katika mkutano. Lakini kwa kweli, kufanya hivyo husababisha kupakuliwa kwa faili ya njia ya mkato ya Windows ambayo, inapofunguliwa, imeundwa kutekeleza Programu ya HTML, ambayo, kwa upande wake, ina msimbo wa JavaScript unaohusika na kutekeleza amri za PowerShell ambazo zina uwezo wa kupakia mizigo ya hatua inayofuata. . Hii ni pamoja na faili ya decoy na kumbukumbu ya ZIP ambayo ina hati ya kundi, Programu nyingine ya HTML na faili inayoweza kutekelezwa. Katika hatua ya mwisho, hati ya kundi inazinduliwa ili kuendesha faili ya Maombi ya HTML, ambayo, basi, inaendesha mfumo binary wa MeshAgent kwenye seva pangishi, ikiwapa washambuliaji udhibiti wa mbali juu ya mfumo ulioathirika. CERT-UA ilisema mwigizaji tishio analenga hasa kuiba vitambulisho vinavyohusishwa na programu za kutuma ujumbe kama vile Signal, Telegram, na WhatsApp, na mifumo ya kijeshi ya Ukraine kama vile DELTA, Teneta na Kropyva. “Wadukuzi pia wameanzisha mashambulizi kadhaa ya mtandaoni ili kupata ufikiaji usioidhinishwa wa Kompyuta za wafanyikazi wa kampuni za ulinzi na wawakilishi wa vikosi vya usalama na ulinzi,” wakala huo ulisema. Kulingana na Mandiant inayomilikiwa na Google, ambayo ilifichua UNC4221 kwenye mkutano wa usalama wa SentinelLabs LABScon mapema Septemba hii, mwigizaji huyo tishio anajulikana kwa kukusanya “data zinazohusiana na uwanja wa vita kupitia matumizi ya programu hasidi ya Android, shughuli za hadaa zinazojifanya kama programu za jeshi la Ukrain, na shughuli zinazolenga. majukwaa maarufu ya ujumbe kama vile Telegram na WhatsApp.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

Siku Sifuri Zilizotumiwa Kikamilifu, RCE Muhimu Zinaongoza Kiraka cha Microsoft Jumanne – Chanzo: www.darkreading.com

Siku Sifuri Zilizotumiwa Kikamilifu, RCE Muhimu Zinaongoza Kiraka cha Microsoft Jumanne – Chanzo: www.darkreading.com

Chanzo: www.darkreading.com – Mwandishi: Tara Seals, Mhariri Msimamizi, Habari, Usomaji Giza A hatari ya usalama ya Windows ya siku sifuri chini ya unyonyaji hai inaongoza sasisho la usalama la Microsoft la Desemba 2024 Patch Tuesday, ambalo halijumuishi habari nyingi za sherehe kwa wasimamizi wa usalama. : Soksi iliyojazwa na mabaka 71. Jitu hilo la kiteknolojia lilifunua CVE katika Vipengee vya Windows na Windows, Vipengee vya Ofisi na Ofisi, Seva ya SharePoint, Hyper-V, Defender for Endpoint, na Meneja wa Uendeshaji wa Kituo cha Mfumo. Kuingia kwa msimu wa likizo wa mwaka huu kunaleta jumla ya idadi ya viraka kwa mwaka hadi 1,020, mwaka wa pili kwa taabu zaidi wa Redmond kwa marekebisho baada ya 2020 1,250. Kati ya CVEs za mwezi huu, 16 zimekadiriwa kuwa muhimu. Siku ya Sifuri ya Windows CLFS Inaruhusu Kuongezeka kwa Mapendeleo Kidudu kilichotumiwa kikamilifu kinafuatiliwa kama CVE-2024-49138 (CVSS 7.8), dosari ya ukali wa wastani katika Kiendeshi cha Mfumo wa Faili za Kumbukumbu za Kawaida (CLFS). “CLFS ni huduma ya ukataji miti ambayo inasaidia utendakazi wa hali ya mtumiaji na kernel,” alielezea Henry Smith, mhandisi mkuu wa usalama huko Automox, katika uchanganuzi uliotumwa kwa barua pepe. “Wakati maelezo bado ni machache, sababu kuu inaweza kushikamana na uthibitishaji usiofaa wa data. … Viashirio vya awali vinapendekeza kwamba wavamizi wanaweza kutumia hitilafu hii kwa kutumia API za Windows ili kudhibiti faili za kumbukumbu au data mbovu ya kumbukumbu, na hivyo kusababisha hatari hiyo.” Athari inayowezekana ni kubwa, aliongezea, ikizingatiwa kuwa unyonyaji husababisha upendeleo wa kiwango cha SYSTEM kwenye Windows Server. Inapooanishwa na hitilafu ya utekelezaji wa msimbo wa mbali (RCE), ni kichocheo kamili cha kuchukua kabisa Kompyuta. Kuhusiana:Siku ya Sifuri ya Microsoft NTLM Kubaki Bila Kipeperushi Hadi Aprili Satnam Narang, mhandisi mkuu wa utafiti wa wafanyikazi huko Tenable, alibainisha kupitia barua pepe kwamba waendeshaji wa ukombozi hasa “wamekuza tabia ya kunyonya dosari za mwinuko wa CLFS katika miaka michache iliyopita. ” Alibainisha, “tofauti na vikundi vya tishio vinavyoendelea (APT) ambavyo kwa kawaida huzingatia usahihi na uvumilivu, waendeshaji wa programu ya ukombozi na washirika wanazingatia mbinu za smash-na-kunyakua kwa njia yoyote muhimu. Kwa kutumia kasoro za hali ya juu kama hii katika CLFS, washirika wa ransomware wanaweza kupitia mtandao fulani ili kuiba na kusimba data na kuanza kuwanyang’anya wahasiriwa wao.” Athari Muhimu za Utekelezaji wa Msimbo wa Mbali katika LDAP, Hyper-V, RDP CVE-2024-49112 ya ukali-msingi (CVSS 9.8) ndiyo CVE inayohusika zaidi katika kujaa huzuni mwezi huu. Ni suala la RCE ambalo halijaidhinishwa katika Itifaki ya Ufikiaji wa Saraka ya Windows Lightweight (LDAP). Kulingana na Dustin Childs katika Mpango wa Siku ya Sifuri (ZDI), wavamizi wa mtandao wanaweza kutumia hitilafu hiyo kuhatarisha Vidhibiti vya Kikoa kwa kutuma seti maalum za simu za LDAP. Kuhusiana:Microsoft Inapanua Ufikiaji wa Kipengele cha AI cha Kukumbuka Windows “Utekelezaji wa Msimbo hutokea katika kiwango cha huduma ya LDAP, ambayo ni ya juu, lakini si MFUMO,” Childs waliandika katika chapisho la blogu mnamo Desemba 10. “Microsoft hutoa… ushauri wa kuvutia wa kupunguza . Wanapendekeza kutenganisha Vidhibiti vya Kikoa kutoka kwa Mtandao. Ingawa hiyo ingesimamisha shambulio hili, sina uhakika jinsi hiyo inaweza kuwa ya vitendo kwa biashara nyingi. Ninapendekeza kupima na kupeleka kiraka haraka. Athari nyingine muhimu ya RCE kushughulikia haraka ni CVE-2024-49117 (CVSS 8.8) katika Windows Hyper-V. Unyonyaji unaweza kumruhusu mtu kwenye mashine pepe ya mgeni (VM) kutekeleza msimbo kwenye mfumo wa uendeshaji wa msingi, au kufanya shambulio la msalaba wa VM. “Habari njema hapa ni kwamba mshambuliaji anahitaji kuthibitishwa,” Childs alibainisha. “Habari mbaya ni kwamba mshambuliaji anahitaji tu uthibitishaji wa kimsingi – hakuna kitu kilichoinuliwa. Ikiwa unaendesha Hyper-V au una mwenyeji kwenye seva ya Hyper-V, hakika utataka kupata viraka hivi haraka. Jumla ya hitilafu tisa muhimu huathiri Huduma za Kompyuta ya Mbali ya Windows, huku moja (CVE-2024-49132, CVSS 8.1) ikiruhusu RCE kwa kutumia hali ya kumbukumbu ya matumizi baada ya bila malipo. “Unyonyaji unahitaji muda sahihi, na kuifanya kuwa shambulio la hali ya juu,” Ryan Braunstein, meneja wa usalama wa Automox, alisema kupitia barua pepe. “Hasa, ikiwa mtumiaji ataunganisha kupitia Jukumu la Lango la Eneo-kazi la Mbali, mshambulizi anaweza kuanzisha kimakusudi hali ya matumizi baada ya bila malipo. Ikitumiwa vibaya, athari hii inaweza kuruhusu washambuliaji kutekeleza misimbo yao wakiwa mbali, na kupata udhibiti wa mfumo.” Kuhusiana:Vipaumbele vya Usalama wa Chanzo Huria Pata Marekebisho Hiyo ina maana kwamba unyonyaji uko kwenye upande mgumu, lakini Braunstein alionya kuwa “baada ya muda, kuna uwezekano kwamba wavamizi wa mtandao hutengeneza zana zinazorahisisha mchakato wa kushambulia. Hadi wakati huo, hakuna masuluhisho madhubuti, na kufanya kuweka viraka mara moja kuwa nafasi yako nzuri ya kupunguza hatari hii. Pia kuna udhaifu mwingine muhimu nane ambao unakadiria 8.1 kwenye kipimo cha CVSS katika Huduma za Eneo-kazi la Mbali, ikijumuisha hitilafu zingine tano za UAF (CVE-2024-49115, CVE-2024-49116, CVE-2024-49108, CVE-2024-49106, na CVE-2024-49128); CVE-2024-49123, ambayo inahusisha uhifadhi wa data nyeti katika kumbukumbu imefungwa vibaya; CVE-2024-49120, hitilafu isiyo salama ya uanzishaji wa utofautishaji chaguomsingi; na CVE-2024-49119, inayotokana na utunzaji usiofaa wa rasilimali wakati wa vikao vya RDP. “Udhaifu huu unasisitiza masuala yanayoendelea katika vipengele vya RDP, ikiwa ni pamoja na usimamizi wa kumbukumbu, muda, na uendeshaji wa uendeshaji,” alisema Mike Walters, rais na mwanzilishi mwenza wa Action1, kupitia barua pepe. “[With] sababu mbalimbali za mizizi, [it shows that] washambuliaji wanaweza kutumia vipengele tofauti vya huduma za RDP. Mashirika yanapaswa kuepuka kufichua huduma za RDP kwenye Mtandao wa kimataifa na kutekeleza udhibiti thabiti wa usalama ili kupunguza hatari. Dosari hizi zinathibitisha zaidi hatari ya kuacha RDP wazi na bila ulinzi.” Athari Zingine za Usalama za Desemba 2024 Ili Kurekebisha Sasa Wataalamu wa Usalama pia waliripoti hitilafu zingine mbili kwa wasimamizi wa usalama ili kuongeza kwenye orodha zao za ukaguzi wa likizo, ikijumuisha kuathiriwa kwa EoP katika Mfumo wa Faili unaostahimili Windows (ReFS). Mfumo wa Faili Resilient (ReFS) ni mfumo wa faili ulioundwa kwa ajili ya kuimarishwa kwa kasi na uvumilivu wa hitilafu kwa mazingira ya utazamaji, hifadhidata na hifadhi rudufu. Inatoa uthabiti wa data, ufanisi wa uhifadhi, na utendakazi ulioboreshwa. “CVE-2024-49093 (CVSS 8.8) inahusu mabadiliko ya upeo ambayo inaruhusu mshambuliaji kuinua marupurupu kutoka kwa mazingira ya chini ya chombo cha programu,” alielezea Seth Hoyt, mhandisi mkuu wa usalama katika Automox, kupitia barua pepe. “Kwa kawaida, vyombo vya programu vimeundwa ili kupunguza uwezo wa mchakato wa kufikia faili, kumbukumbu, na rasilimali nyingine. Kutumia athari hii huwawezesha washambuliaji kuepuka mipaka hiyo, na kupata ufikiaji mpana wa kiwango cha mfumo. Hii inamaanisha kuwa wanaweza kuingiliana na faili, michakato, na kumbukumbu hapo awali bila kufikiwa. Kutoka hapo, wavamizi wa mtandao wanaweza kusonga mbele katika mazingira, aliongeza. Donge la mwisho la makaa ya mawe lililoitwa na watafiti mwezi huu ni hatari ya RCE katika Musik (CVE-2024-49063), mradi wa utafiti kuhusu muziki ulioundwa na AI. “Tumekuwa tukishangaa ni mende gani katika AI wangeonekana, na hadi sasa, wanaonekana kama udhaifu wa kupoteza,” ZDI’s Childs ilisema. “Hilo ndilo tulilo nalo hapa. Mshambulizi anaweza kupata utekelezaji wa msimbo kwa kuunda upakiaji ambao utatekelezwa baada ya kuondolewa. Safi.” URL ya Chapisho Asilia: https://www.darkreading.com/application-security/microsoft-zero-day-critical-rces-patch-tuesday

Page 2 of 473

Powered by WordPress & Theme by Anders Norén