Todo lo que necesitas saber sobre tecnología

Tag: habari ya mdukuzi Page 1 of 32

WordPress Skimmers Epuka Kugunduliwa kwa Kujidunga kwenye Jedwali la Hifadhidata

WordPress Skimmers Epuka Kugunduliwa kwa Kujidunga kwenye Jedwali la Hifadhidata

Watafiti wa usalama wa mtandao wanatahadharisha kuhusu kampeni mpya ya siri ya mchezo wa kucheza kadi za mkopo ambayo inalenga kurasa za malipo za biashara ya mtandaoni za WordPress kwa kuingiza msimbo hasidi wa JavaScript kwenye jedwali la hifadhidata linalohusishwa na mfumo wa kudhibiti maudhui (CMS). “Programu hii ya programu hasidi ya kadi ya mkopo inayolenga tovuti za WordPress huingiza JavaScript hasidi kimyakimya kwenye maingizo ya hifadhidata ili kuiba maelezo nyeti ya malipo,” mtafiti wa Sucuri Puja Srivastava alisema katika uchanganuzi mpya. “Programu hasidi huwashwa haswa kwenye kurasa za malipo, kwa kuteka nyara sehemu za malipo zilizopo au kuingiza fomu ya kadi ya mkopo ghushi.” Kampuni ya usalama ya tovuti inayomilikiwa na GoDaddy ilisema iligundua programu hasidi iliyopachikwa kwenye jedwali la WordPress wp_options kwa chaguo “widget_block,” na hivyo kuiruhusu kuzuia kugunduliwa kwa zana za kuchanganua na kuendelea kwenye tovuti zilizoathiriwa bila kuvutia tahadhari. Kwa kufanya hivyo, wazo ni kuingiza JavaScript hasidi kwenye wijeti ya kuzuia HTML kupitia paneli ya msimamizi ya WordPress (wp-admin > wijeti). Msimbo wa JavaScript hufanya kazi kwa kuangalia ikiwa ukurasa wa sasa ni ukurasa wa kulipa na inahakikisha kwamba inatekelezwa tu baada ya mgeni wa tovuti anakaribia kuweka maelezo yake ya malipo, ambapo inaunda kikamilifu skrini ya malipo ya uwongo ambayo inaiga vichakataji halali. kama Stripe. Fomu imeundwa ili kunasa nambari za kadi ya mkopo, tarehe za mwisho wa matumizi, nambari za CVV na maelezo ya malipo. Vinginevyo, hati chafu pia ina uwezo wa kunasa data iliyoingizwa kwenye skrini halali za malipo katika muda halisi ili kuongeza uoanifu. Data iliyoibiwa baadaye husimbwa kwa Base64 na kuunganishwa na usimbaji fiche wa AES-CBC ili kuifanya ionekane kuwa haina madhara na kupinga majaribio ya uchanganuzi. Katika hatua ya mwisho, inatumwa kwa seva inayodhibitiwa na mshambulizi (“valhafather[.]xyz” au “fqbe23[.]xyz”). Maendeleo haya yanakuja zaidi ya mwezi mmoja baada ya Sucuri kuangazia kampeni kama hiyo ambayo ilitumia programu hasidi ya JavaScript kuunda fomu bandia za kadi ya mkopo au kutoa data iliyoingizwa katika sehemu za malipo kwenye kurasa za malipo. Maelezo yaliyovunwa yatafichwa kwa tabaka tatu. kwa kuisimba kwanza kama JSON, XOR-kusimbua kwa ufunguo “hati,” na mwishowe kutumia usimbaji wa Base64, kabla ya kuchujwa kwa seva ya mbali. (“fonts[.]com”). “Hati imeundwa ili kutoa maelezo nyeti ya kadi ya mkopo kutoka sehemu mahususi kwenye ukurasa wa kulipa,” Srivastava alibainisha. “Kisha programu hasidi hukusanya data ya ziada ya mtumiaji kupitia API za Magento, ikiwa ni pamoja na jina la mtumiaji, anwani, barua pepe, nambari ya simu. , na maelezo mengine ya malipo. Data hii inarejeshwa kupitia data ya mteja na mifano ya bei ya Magento.” Ufichuzi huo pia unafuatia ugunduzi wa kampeni ya barua pepe ya ulaghai inayochochewa kifedha ambayo huwahadaa wapokeaji kubofya kurasa za kuingia kwenye PayPal kwa kisingizio cha ombi la malipo ambalo halijalipwa kwa takriban. $2,200 “Mlaghai anaonekana kuwa amesajili kikoa cha majaribio cha Microsoft 365, ambacho hakina malipo kwa miezi mitatu, na kisha kuunda orodha ya usambazaji. (Idara za malipo1[@]gkjyryfjy876.onmicrosoft.com) zenye barua pepe za mwathirika,” Carl Windsor wa Fortinet FortiGuard Labs alisema. “Kwenye tovuti ya PayPal, wanaomba pesa na kuongeza orodha ya usambazaji kama anwani.” Kinachofanya kampeni kuwa ya ujanja ni ukweli kwamba jumbe hizo hutoka kwa anwani halali ya PayPal (service@paypal.com) na zina URL halisi ya kuingia, ambayo inaruhusu barua pepe Ili kufanya mambo kuwa mabaya zaidi, mara tu mwathiriwa anapojaribu kuingia kwenye akaunti yake ya PayPal kuhusu ombi la malipo, akaunti yake inaunganishwa kiotomatiki na anwani ya barua pepe ya orodha ya usambazaji, na hivyo kumruhusu mhusika tishio kuteka nyara udhibiti wa akaunti Katika wiki za hivi majuzi, waigizaji hasidi pia wameonekana kutumia mbinu mpya inayoitwa uigaji wa shughuli ili kuiba pesa za siri kutoka kwa pochi za waathiriwa uigaji kama kipengele kinachofaa mtumiaji,” Scam Sniffer alisema. “Uwezo huu unaruhusu watumiaji kuhakiki matokeo yanayotarajiwa ya miamala yao kabla ya kuwatia sahihi. Ingawa imeundwa ili kuongeza uwazi na uzoefu wa mtumiaji, washambuliaji wamepata njia za kutumia utaratibu huu.” Misururu ya maambukizi inahusisha kuchukua fursa ya pengo la muda kati ya uigaji wa shughuli na utekelezaji, kuruhusu wavamizi kuanzisha tovuti bandia wakiiga programu zilizogatuliwa (DApps) ili kufanya mashambulizi ya ulaghai ya kuondoa pochi “Vekta hii mpya ya uvamizi inawakilisha mageuzi makubwa katika mbinu za kuhadaa ili kupata maelezo ya kibinafsi,” mtoa huduma wa ufumbuzi wa ulaghai wa Web3 alisema. “Badala ya kutegemea udanganyifu rahisi, wavamizi sasa wanatumia vipengele vya pochi vinavyoaminika ambavyo watumiaji hutegemea kwa usalama. Mbinu hii ya kisasa hurahisisha ugunduzi kuwa ngumu sana.” Je, umepata makala haya ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

Microsoft Inashtaki Kikundi cha Udukuzi Kinachonyonya AI ya Azure kwa Uundaji wa Maudhui Yenye Madhara

Microsoft Inashtaki Kikundi cha Udukuzi Kinachonyonya AI ya Azure kwa Uundaji wa Maudhui Yenye Madhara

Jan 11, 2025Ravie LakshmananAI Security / Cybersecurity Microsoft imefichua kuwa inafuatilia hatua za kisheria dhidi ya “kundi la waigizaji tishio lenye makao yake ya kigeni” kwa kuendesha miundombinu ya udukuzi-huduma ili kuvuka kwa makusudi udhibiti wa usalama wa kampuni yake. huduma za kijasusi bandia (AI) na kutoa maudhui yanayokera na yenye madhara. Kitengo cha Uhalifu wa Kidijitali cha kampuni hiyo kubwa ya kiteknolojia (DCU) kilisema kimeona wahusika tishio “wanatengeneza programu ya kisasa ambayo ilitumia kitambulisho cha mteja kilichofichuliwa kutoka kwa tovuti za umma,” na “kutafuta kutambua na kufikia kinyume cha sheria akaunti zilizo na huduma fulani za uzalishaji za AI na kubadilisha uwezo kwa makusudi. wa huduma hizo.” Wapinzani walitumia huduma hizi, kama vile Huduma ya Azure OpenAI, na kuchuma mapato kwa kuziuza kwa watendaji wengine hasidi, wakiwapa maagizo ya kina kuhusu jinsi ya kutumia zana hizi maalum kutoa maudhui hatari. Microsoft ilisema iligundua shughuli hiyo mnamo Julai 2024. Kampuni ya kutengeneza Windows ilisema tangu wakati huo imebatilisha ufikiaji wa kikundi cha waigizaji tishio, imetekeleza hatua mpya za kupinga, na kuimarisha ulinzi wake ili kuzuia shughuli kama hiyo kutokea katika siku zijazo. Pia ilisema ilipata amri ya mahakama ya kukamata tovuti (“aitism[.]net”) ambayo ilikuwa msingi wa operesheni ya jinai ya kikundi. Umaarufu wa zana za AI kama OpenAI ChatGPT pia umekuwa na matokeo ya watendaji vitisho kuzitumia vibaya kwa nia ovu, kuanzia kutoa maudhui yaliyokatazwa hadi kuunda programu hasidi. Microsoft na OpenAI wamefichua mara kwa mara kwamba makundi ya mataifa kutoka China, Iran, Korea Kaskazini, na Urusi yanatumia huduma zao kwa ajili ya uchunguzi, utafsiri na kampeni za kutoa taarifa zisizo sahihi za Mahakama angalau watu watatu wasiojulikana wanahusika na operesheni hiyo, wakitumia funguo za API za Azure zilizoibiwa na maelezo ya uthibitishaji wa kitambulisho cha mteja ili kukiuka mifumo ya Microsoft na kuunda picha zenye madhara kwa kutumia DALL-E kinyume na sera yake ya matumizi inayokubalika huduma na zana zinazotolewa nao kwa madhumuni sawa na jinsi funguo za API zinavunwa kwa sasa hazijulikani, lakini Microsoft ilisema washtakiwa walijihusisha na “wizi wa ufunguo wa API” kutoka kwa nyingi. wateja, pamoja na kampuni kadhaa za Amerika, ambazo zingine ziko Pennsylvania na New Jersey. “Kwa kutumia Vifunguo vya API vya Microsoft vilivyoibiwa vilivyokuwa vya wateja wa Microsoft wanaoishi Marekani, washtakiwa waliunda mpango wa udukuzi-kama-huduma – unaopatikana kupitia miundombinu kama vile vikoa vya ‘rentry.org/de3u’ na ‘aitism.net’ – iliyoundwa mahsusi matumizi mabaya ya miundombinu na programu ya Azure ya Microsoft,” kampuni hiyo ilisema kwenye faili. Kulingana na hazina ya GitHub iliyoondolewa sasa, de3u imeelezewa kama “DALL-E 3 frontend na usaidizi wa wakala wa nyuma.” Akaunti ya GitHub inayozungumziwa iliundwa tarehe 8 Novemba 2023. Inasemekana watendaji tishio walichukua hatua “kufunika nyimbo zao, ikiwa ni pamoja na kujaribu kufuta baadhi ya kurasa za Rentry.org, hazina ya GitHub ya zana ya de3u, na sehemu za kinyume. miundombinu ya wakala” kufuatia kunaswa kwa “aitism[.]net.” Microsoft ilibaini kuwa watendaji tishio walitumia de3u na huduma ya proksi ya reverse bespoke, iitwayo oai reverse proksi, kupiga simu za Azure OpenAl Service API kwa kutumia vitufe vya API vilivyoibiwa ili kutengeneza isivyo halali maelfu ya picha hatari kwa kutumia vidokezo vya maandishi. haijulikani ni aina gani ya taswira ya kukera iliundwa. Huduma ya wakala ya oai inayoendeshwa kwenye seva imeundwa kusambaza mawasiliano kutoka kwa mtumiaji wa de3u kompyuta kupitia handaki la Cloudflare ndani ya Huduma ya Azure OpenAI, na kusambaza majibu kwa kifaa cha mtumiaji “Programu ya de3u inaruhusu watumiaji kutoa simu za API za Microsoft kutoa picha kwa kutumia kielelezo cha DALL-E kupitia kiolesura rahisi cha mtumiaji kinachotumia Azure. API za kufikia Huduma ya Azure OpenAI,” Redmond alieleza. “Programu ya de3u ya washtakiwa huwasiliana na kompyuta za Azure kwa kutumia API za mtandao wa Microsoft zisizo na hati kutuma maombi yaliyoundwa. kuiga maombi halali ya Azure OpenAPI Service API. Maombi haya yameidhinishwa kwa kutumia vitufe vya API vilivyoibiwa na maelezo mengine ya uthibitishaji.” Inafaa kuashiria kuwa matumizi ya huduma za wakala kufikia huduma za LLM kinyume cha sheria yaliangaziwa na Sysdig mnamo Mei 2024 kuhusiana na kampeni ya LLMjacking inayolenga matoleo ya AI kutoka Anthropic, AWS. Bedrock, Google Cloud Vertex AI, Microsoft Azure, Mistral, na OpenAI kwa kutumia wingu lililoibiwa stakabadhi na kuuza ufikiaji kwa watendaji wengine “Washtakiwa wameendesha shughuli za Azure Abuse Enterprise kupitia muundo ulioratibiwa na endelevu wa shughuli haramu ili kufikia malengo yao ya kawaida yasiyo halali,” Microsoft ilisema si mdogo kwa mashambulizi ya Microsoft. Ushahidi ambao Microsoft imegundua hadi sasa unaonyesha kuwa Azure Abuse Enterprise imekuwa ikiwalenga na kuwadhulumu watoa huduma wengine wa AI.” Je, makala haya yamekuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee zaidi tunayochapisha.

DoJ Inawashutumu Warusi Watatu kwa Uendeshaji wa Vichanganyaji vya Crypto Zinazotumika katika Utapeli wa Uhalifu wa Mtandaoni

DoJ Inawashutumu Warusi Watatu kwa Uendeshaji wa Vichanganyaji vya Crypto Zinazotumika katika Utapeli wa Uhalifu wa Mtandaoni

Jan 11, 2025Ravie LakshmananUhalifu wa Kifedha / Cryptocurrency Idara ya Haki ya Marekani (DoJ) mnamo Ijumaa iliwafungulia mashtaka raia watatu wa Urusi kwa madai ya kuhusika katika kuendesha huduma za kuchanganya sarafu-fedha Blender.io na Sinbad.io. Roman Vitalyevich Ostapenko na Alexander Evgenievich Oleynik walikamatwa mnamo Desemba 1, 2024, kwa uratibu wa Idara ya Ujasusi wa Kifedha na Upelelezi ya Uholanzi, Ofisi ya Kitaifa ya Upelelezi ya Finland, na Ofisi ya Upelelezi ya Shirikisho la Marekani (FBI). Haijabainika walikokamatwa. Mtu wa tatu, Anton Vyachlavovich Tarasov, bado yuko huru. Washtakiwa hao wameshtakiwa kwa kutumia vichanganyiko vya sarafu za siri (yaani tumblers) ambavyo vilikuwa mahali salama kwa “windaji fedha zinazotokana na uhalifu,” ikiwa ni pamoja na mapato ya ransomware na ulaghai wa waya, na hivyo kuruhusu vikundi vya udukuzi vinavyofadhiliwa na serikali na wahalifu wa mtandao kufaidika na shughuli zao mbaya. . Hasa, waliwaruhusu watumiaji wao wanaolipa kutuma sarafu-fiche kwa wapokeaji walioteuliwa kwa njia iliyobuniwa kuficha chanzo cha fedha hizo na ukweli kwamba zilitokana na uhalifu mbalimbali wa mtandaoni. “Blender.io na Sinbad.io zilidaiwa kutumiwa na wahalifu duniani kote kutakatisha fedha zilizoibwa kutoka kwa waathiriwa wa ransomware, wizi wa fedha pepe na uhalifu mwingine,” alisema Wakili wa Marekani Ryan K. Buchanan katika Wilaya ya Kaskazini ya Georgia. Blender, iliyozinduliwa mwaka wa 2018, iliidhinishwa na Idara ya Hazina ya Merika mnamo Mei 2022 baada ya kubainika kuwa Kikundi cha Lazarus chenye uhusiano na Korea Kaskazini kilitumia huduma hiyo kuchafua mapato ya uhalifu wa mtandaoni, pamoja na yale yaliyotokana na udukuzi wa Daraja la Ronin. “Huduma ilitangazwa kwenye jukwaa maarufu la mtandao kuwa na ‘Sera ya Hakuna Kumbukumbu’ na kufuta alama zozote za miamala ya watumiaji,” DoJ ilisema. “Zaidi ya hayo, katika tangazo hilo, Blender ilielezewa kuwa haihitaji watumiaji kujisajili, kujiandikisha, au ‘kutoa maelezo ya aina yoyote isipokuwa anwani ya kupokea!'” Pia inashutumiwa kwa kuwezesha ufujaji wa pesa kwa magenge ya ukombozi yaliyounganishwa na Urusi kama TrickBot, Conti (zamani Ryuk), Sodinokibi (aka REvil), na Gandcrab. Wakati Blender ilikoma kufanya kazi mwezi mmoja kabla ya tangazo la vikwazo, kampuni ya ujasusi ya blockchain Elliptic ilifichua mnamo Mei 2023 kwamba huduma hiyo “ina uwezekano mkubwa” ilibadilishwa jina na kuzinduliwa kama Sinbad mapema Oktoba 2022. Zaidi ya mwaka mmoja baadaye, utekelezaji wa sheria za kimataifa ulikamata miundombinu ya mtandaoni. inayohusishwa na Sinbad na kuidhinisha kichanganyaji kwa kuchakata sarafu pepe ya thamani ya mamilioni ya dola kutoka Kikundi cha Lazaro kinaruka. Ostapenko, 55, ameshtakiwa kwa kosa moja la kula njama ya kutakatisha pesa na makosa mawili ya kuendesha biashara ya kutuma pesa bila leseni. Oleynik, 44, na Tarasov, 32, wameshtakiwa kwa kosa moja la kula njama ya kutakatisha pesa na shtaka moja la kuendesha biashara ya kusambaza pesa bila leseni. Iwapo watapatikana na hatia, washtakiwa wote watatu wanakabiliwa na adhabu ya kifungo cha miaka 25 jela kwa makosa hayo. Hatua hiyo inakuja wakati Chainalysis ilisema iligundua zaidi ya wahasiriwa 1,100 wa ulaghai wa sarafu ya fiche kama sehemu ya Operesheni Spincaster na Operesheni DeCloak kwa ushirikiano na mamlaka ya kutekeleza sheria ya Kanada, na kusababisha hasara inayokadiriwa ya zaidi ya $25 milioni. Katika ulaghai huu, wahasiriwa kwa kawaida huagizwa na walaghai kuanzisha pochi yao ya kujihifadhi, kununua sarafu ya crypto katika ubadilishanaji wa kati (CEXs) nchini Kanada, na kutuma pesa hizi kwa mkoba wa kujilinda. “Walaghai hufanya malipo kwa waathiriwa, wakiwashawishi kuongeza pesa kwenye pochi zao za kujihifadhi,” Chainalysis ilisema. “Walaghai kisha huwashawishi wahasiriwa kutuma pesa za siri kwenye anwani za lengwa, na hivyo kunyonya pochi/fedha za mwathiriwa.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

CrowdStrike Yaonya kuhusu Ulaghai wa Hadaa Unaowalenga Wanaotafuta Kazi kwa kutumia XMRig Cryptominer

CrowdStrike Yaonya kuhusu Ulaghai wa Hadaa Unaowalenga Wanaotafuta Kazi kwa kutumia XMRig Cryptominer

Jan 10, 2025Ravie LakshmananCryptomining / Programu hasidi Kampuni ya Cybersecurity ya CrowdStrike inatahadharisha kuhusu kampeni ya hadaa ambayo inatumia chapa yake yenyewe kusambaza mchimbaji madini ya cryptocurrency ambaye amejificha kama ombi la CRM la mfanyakazi kama sehemu ya mchakato unaodaiwa wa kuajiri. “Shambulio linaanza na barua pepe ya ulaghai inayoiga uajiri wa CrowdStrike, inayoelekeza wapokeaji kwenye tovuti hasidi,” kampuni hiyo ilisema. “Waathiriwa wanahamasishwa kupakua na kuendesha programu ghushi, ambayo hutumika kama kipakuzi cha XMRig ya cryptominer.” Kampuni hiyo yenye makao yake makuu Texas ilisema iligundua kampeni hiyo mbovu mnamo Januari 7, 2025, na kwamba “inajua ulaghai unaohusisha ofa za uwongo za ajira na CrowdStrike.” Barua pepe ya ulaghai huwavutia wapokeaji kwa kudai kuwa wameorodheshwa kwa hatua inayofuata ya mchakato wa kuajiri jukumu la msanidi programu mdogo, na kwamba wanahitaji kujiunga na simu na timu ya kuajiri kwa kupakua zana ya usimamizi wa uhusiano wa mteja (CRM) iliyotolewa katika kiungo kilichopachikwa. Mbinu ya jozi iliyopakuliwa, ikishazinduliwa, hufanya ukaguzi kadhaa ili kukwepa kugunduliwa na uchanganuzi kabla ya kuleta mizigo ya hatua inayofuata. Ukaguzi huu ni pamoja na kutambua kuwepo kwa kitatuzi na kuchanganua orodha ya michakato inayoendesha kwa uchanganuzi wa programu hasidi au zana za programu za uboreshaji. Pia zinahakikisha kuwa mfumo una idadi fulani ya michakato inayotumika na CPU ina angalau cores mbili. Ikiwa mwenyeji atakidhi vigezo vyote, ujumbe wa hitilafu kuhusu usakinishaji uliofeli huonyeshwa kwa mtumiaji, huku akipakua kwa siri mchimbaji XMRig kutoka GitHub na usanidi wake sambamba kutoka kwa seva nyingine (“93.115.172)[.]41”) chinichini. “Programu hasidi basi huendesha mchimbaji XMRig, kwa kutumia hoja za mstari wa amri ndani ya faili ya maandishi ya usanidi iliyopakuliwa,” CrowdStrike ilisema, na kuongeza inayoweza kutekelezeka huanzisha uendelevu kwenye mashine kwa kuongeza hati ya bechi ya Windows kwenye Mwanzo. Folda ya Kuanzisha Menyu, ambayo ina jukumu la kuzindua mchimbaji LDAPNightmare PoC Inalenga Watafiti wa Usalama Maendeleo huja kama Trend Micro ilifichua kuwa uthibitisho bandia wa dhana (PoC) ya dosari ya usalama iliyofichuliwa hivi majuzi katika Itifaki ya Upataji wa Saraka ya Windows Lightweight (LDAP) – CVE-2024-49113 (aka LDAPNightmare) – inatumiwa kuwavutia watafiti wa usalama kupakua habari. mwizi.” Hazina mbaya ya GitHub inayohusika – github[.]com/YoonJae-rep/CVE-2024-49113 (sasa imeondolewa) – inasemekana kuwa uma wa hazina asili kutoka kwa SafeBreach Labs inayopangisha PoC halali. hazina ghushi, hata hivyo, hubadilisha faili zinazohusiana na unyonyaji na mfumo wa jozi unaoitwa “poc.exe” ambao, inapoendeshwa, hudondosha hati ya PowerShell ili kuunda kazi iliyoratibiwa ya kutekeleza hati iliyosimbwa ya Base64. Hati iliyosimbuliwa kisha hutumika kupakua hati nyingine kutoka kwa Pastebin. Programu hasidi ya hatua ya mwisho ni mwizi ambaye hukusanya anwani ya IP ya umma ya mashine, metadata ya mfumo, orodha ya mchakato, orodha za saraka, anwani za IP za mtandao, adapta za mtandao na masasisho yaliyosakinishwa. “Ingawa mbinu ya kutumia chambo za PoC kama gari la kusambaza programu hasidi sio mpya, shambulio hili bado linaleta wasiwasi mkubwa, haswa kwa vile linafadhili suala linalovuma ambalo linaweza kuathiri idadi kubwa ya wahasiriwa,” mtafiti wa usalama Sarah Pearl Camiling alisema. . Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

RedDelta Inatumia PlugX Malware Kulenga Mongolia na Taiwan katika Kampeni za Ujasusi

RedDelta Inatumia PlugX Malware Kulenga Mongolia na Taiwan katika Kampeni za Ujasusi

Jan 10, 2025Ravie LakshmananCyber ​​Espionage / Cyber ​​Attack Mongolia, Taiwan, Myanmar, Vietnam, na Kambodia zimelengwa na mwigizaji tishio wa China-nexus RedDelta kuwasilisha toleo maalum la PlugX backdoor kati ya Julai 2023 na Desemba 2024. Kikundi kilitumia hati za kuvutia zenye mada karibu 2024 Mgombea urais wa Taiwani Terry Gou, Likizo ya Kitaifa ya Vietnam, ulinzi wa mafuriko nchini Mongolia, na mialiko ya mikutano, ikijumuisha mkutano wa Jumuiya ya Mataifa ya Kusini-Mashariki mwa Asia (ASEAN),” Recorded Future’s Insikt Group ilisema katika uchambuzi mpya. Inaaminika kuwa mwigizaji tishio alihatarisha Wizara ya Ulinzi ya Mongolia mnamo Agosti 2024 na Chama cha Kikomunisti cha Vietnam mnamo Novemba 2024. Pia inasemekana kuwalenga wahasiriwa kadhaa huko Malaysia, Japan, Amerika, Ethiopia, Brazil, Australia na India. kuanzia Septemba hadi Desemba 2024. RedDelta, inayofanya kazi tangu angalau 2012, ndiye mhusika aliyepewa jukumu la mwigizaji tishio anayefadhiliwa na serikali kutoka. China. Pia inafuatiliwa na jumuiya ya usalama wa mtandao kwa majina BASIN, Rais wa Bronze, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (na Vertigo Panda yake inayohusiana kwa karibu), Red Lich, Stately Taurus, TA416, na Twill Typhoon. Kikosi cha wadukuzi kinajulikana kwa kuendelea kuboresha msururu wake wa maambukizi, huku mashambulizi ya hivi majuzi yakifyatua vichuguu Visual Studio Code kama sehemu ya operesheni za kijasusi zinazolenga vyombo vya serikali Kusini-mashariki mwa Asia, mbinu ambayo inazidi kutumiwa na vikundi mbalimbali vya kijasusi vinavyohusishwa na China kama vile Operesheni Digital Eye. na MirrorFace. Seti ya kuingilia iliyorekodiwa na Recorded Future inahusisha matumizi ya Windows Shortcut (LNK), Windows Installer (MSI), na faili za Microsoft Management Console (MSC), ambazo huenda zilisambazwa kupitia wizi wa mkuki, kama sehemu ya hatua ya kwanza ya kuanzisha msururu wa maambukizi. , hatimaye kusababisha kupelekwa kwa PlugX kwa kutumia mbinu za upakiaji wa upande wa DLL. Kampeni zilizochaguliwa zilizoratibiwa mwishoni mwa mwaka jana pia zilitegemea barua pepe za ulaghai zilizo na kiungo cha faili za HTML zilizopangishwa kwenye Microsoft Azure kama sehemu ya kuanzia ili kuanzisha upakuaji wa upakiaji wa MSC, ambao, kwa upande wake, huangusha kisakinishi cha MSI kinachowajibika kupakia PlugX kwa kutumia inayoweza kutekelezwa ambayo inaweza kuathiriwa na utekaji nyara wa agizo la utaftaji la DLL. Katika ishara zaidi ya mabadiliko ya mbinu zake na kukaa mbele ya ulinzi wa usalama, RedDelta imezingatiwa kwa kutumia mtandao wa uwasilishaji wa maudhui wa Cloudflare (CDN) kutoa seva mbadala ya amri na udhibiti (C2) kwa seva za C2 zinazoendeshwa na washambulizi. Hii inafanywa ili kujaribu kuchanganya trafiki halali ya CDN na kutatiza juhudi za ugunduzi. Recorded Future ilisema ilitambua seva 10 za utawala zinazowasiliana na seva mbili zinazojulikana za RedDelta C2. Anwani zote 10 za IP zimesajiliwa kwa Mkoa wa Unicom Henan wa Uchina. “Shughuli za RedDelta zinalingana na vipaumbele vya kimkakati vya China, ikilenga serikali na mashirika ya kidiplomasia katika Asia ya Kusini-Mashariki, Mongolia na Ulaya,” kampuni hiyo ilisema. “Lengo la kikundi cha Asia mnamo 2023 na 2024 inawakilisha kurejea kwa lengo la kihistoria la kikundi baada ya kulenga mashirika ya Ulaya mnamo 2022. Ulengaji wa RedDelta kwa Mongolia na Taiwan unaendana na ulengaji wa zamani wa kikundi wa vikundi vinavyoonekana kama vitisho kwa nguvu ya Chama cha Kikomunisti cha Uchina. .” Haya yanajiri huku kukiwa na ripoti kutoka kwa Bloomberg kwamba shambulio la hivi majuzi la mtandaoni lililolenga Wizara ya Hazina ya Marekani lilifanywa na kikundi cha wadukuzi kinachojulikana kama Silk Typhoon (aka Hafnium), ambayo hapo awali ilihusishwa na unyonyaji wa siku sifuri wa dosari nne za usalama katika Microsoft. Seva ya Kubadilishana (iliyojulikana pia kama ProxyLogon) mapema 2021. Je, ulipata makala haya ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

FunkSec Inayoendeshwa na AI Inawalenga Wahasiriwa 85 Kwa Kutumia Mbinu za Unyang’anyi Mara Mbili

FunkSec Inayoendeshwa na AI Inawalenga Wahasiriwa 85 Kwa Kutumia Mbinu za Unyang’anyi Mara Mbili

Watafiti wa usalama wa mtandao wameangazia familia ya ujasusi bandia (AI) iliyosaidiwa na programu ya uokoaji inayoitwa FunkSec ambayo iliibuka mwishoni mwa 2024, na imedai zaidi ya wahasiriwa 85 hadi sasa. “Kikundi kinatumia mbinu za ulafi maradufu, kuchanganya wizi wa data na usimbaji fiche ili kushinikiza waathiriwa walipe fidia,” Check Point Research ilisema katika ripoti mpya iliyoshirikiwa na The Hacker News. “Hasa, FunkSec ilidai fidia ya chini isivyo kawaida, wakati mwingine chini ya $10,000, na iliuza data iliyoibwa kwa washirika wengine kwa bei iliyopunguzwa.” FunkSec ilizindua tovuti yake ya uvujaji wa data (DLS) mnamo Desemba 2024 ili “kuweka kati” shughuli zao za ukombozi, ikiangazia matangazo ya ukiukaji, zana maalum ya kufanya mashambulio ya kunyimwa huduma (DDoS) na programu ya ukombozi iliyotangazwa kama sehemu ya ransomware- mfano wa huduma (RaaS). Wengi wa wahasiriwa wako Amerika, India, Italia, Brazil, Israel, Uhispania na Mongolia. Uchambuzi wa Check Point wa shughuli za kikundi umefichua kuwa huenda ikawa kazi ya waigizaji wapya ambao wanatafuta kuvutia sifa mbaya kwa kuchakata maelezo yaliyovuja kutoka kwa uvujaji wa awali unaohusiana na wadukuzi. Kulingana na Halcyon, FunkSec inajulikana kwa ukweli kwamba inafanya kazi kama kikundi cha ukombozi na wakala wa data, kuuza data iliyoibiwa kwa wanunuzi wanaovutiwa kwa $1,000 hadi $5,000. Imebainishwa kuwa baadhi ya washiriki wa kundi la RaaS wanaojihusisha na shughuli za udukuzi, ikisisitiza kuendelea kutiliwa kwa mipaka kati ya udukuzi na uhalifu wa mtandaoni, kama vile watendaji wa serikali na wahalifu wa mtandao waliopangwa wanazidi kuonyesha “muunganisho usio na utulivu wa mbinu, mbinu, na hata. malengo.” Pia wanadai kulenga India na Marekani, wakijipatanisha na vuguvugu la “Palestine Huru” na kujaribu kuhusishwa na vyombo vya hacktivist ambavyo sasa vimekufa kama vile Ghost Algeria na Cyb3r Fl00d. Baadhi ya waigizaji mashuhuri wanaohusishwa na FunkSec wameorodheshwa hapa chini – Mwigizaji anayeshukiwa kutoka Algeria anayeitwa Scorpion (aka DesertStorm) ambaye amekuza kikundi kwenye majukwaa ya chinichini kama vile Breached Forum El_farado, ambaye aliibuka kama mtu mkuu wa kutangaza FunkSec baada ya marufuku ya DesertStorm kutoka. Imekiuka Jukwaa la XTN, mshirika anayewezekana ambaye anahusika katika jambo ambalo bado halijulikani huduma ya “kuchambua data” Blako, ambaye ametambulishwa na DesertStorm pamoja na El_farado Bjorka, mdukuzi maarufu wa Kiindonesia ambaye jina lake la pak limetumiwa kudai uvujaji unaohusishwa na FunkSec kwenye DarkForums, aidha akielekeza kwenye ushirika uliolegea au majaribio yao ya kuiga FunkSec The uwezekano kwamba kikundi kinaweza pia kujishughulisha na shughuli ya hacktivist inathibitishwa na uwepo wa Zana za kushambulia za DDoS, pamoja na zile zinazohusiana na usimamizi wa eneo-kazi la mbali (JQRAXY_HVNC) na kizazi cha nenosiri (funkgenerate). “Uendelezaji wa zana za kikundi, ikiwa ni pamoja na encrypter, inawezekana ilisaidiwa na AI, ambayo inaweza kuwa imechangia kurudia kwao kwa haraka licha ya ukosefu wa utaalam wa kiufundi wa mwandishi,” Check Point alisema. Toleo la hivi punde zaidi la programu ya ukombozi, linaloitwa FunkSec V1.5, limeandikwa kwa Rust, na vizalia vya programu vilivyopakiwa kwenye jukwaa la VirusTotal kutoka Algeria. Uchunguzi wa matoleo ya zamani ya programu hasidi unapendekeza kuwa mwigizaji tishio anatoka Algeria pia kutokana na marejeleo kama vile FunkLocker na Ghost Algeria. Mbinu ya jozi ya ukombozi imesanidiwa ili kujirudiarudia kwenye saraka zote na kusimba kwa njia fiche faili zinazolengwa, lakini si kabla ya kuinua haki na kuchukua hatua za kuzima vidhibiti vya usalama, kufuta nakala rudufu za vivuli, na kusitisha orodha ya michakato na huduma yenye msimbo mgumu. “2024 ulikuwa mwaka wa mafanikio makubwa kwa vikundi vya ukombozi, wakati sambamba, migogoro ya kimataifa pia ilichochea shughuli za vikundi tofauti vya wahasibu,” Sergey Shykevich, meneja wa kikundi cha kijasusi cha Check Point Research, alisema katika taarifa. “FunkSec, kundi jipya ambalo liliibuka hivi majuzi kama kundi linalofanya kazi zaidi la ukombozi mnamo Desemba, linatia ukungu mipaka kati ya udukuzi na uhalifu mtandaoni. Ikiendeshwa na ajenda zote mbili za kisiasa na motisha za kifedha, FunkSec hutumia AI na kulenga tena uvujaji wa data wa zamani ili kuanzisha chapa mpya ya ransomware, ingawa mafanikio ya kweli ya shughuli zao yanasalia kuwa ya kutiliwa shaka sana.” Maendeleo hayo yanakuja wakati Forescout inaelezea shambulio la Kimataifa la Hunters ambalo lina uwezekano wa kuongeza Oracle WebLogic Server kama sehemu ya mwanzo ya kuweka ganda la wavuti la China Chopper, ambalo lilitumika kutekeleza safu ya shughuli za baada ya unyonyaji ambazo hatimaye zilisababisha kupelekwa kwa ransomware. “Baada ya kupata ufikiaji, washambuliaji walifanya uchunguzi na harakati za baadaye kuweka ramani ya mtandao na kuongeza marupurupu,” Foreskout alisema. “Washambuliaji walitumia zana mbalimbali za kawaida za kiutawala na za timu nyekundu kwa harakati za upande.” Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

Mtafiti Sifuri wa Mradi wa Google Agundua Vifaa vya Kulenga vya Samsung vya Kubofya Bila Kubofya

Mtafiti Sifuri wa Mradi wa Google Agundua Vifaa vya Kulenga vya Samsung vya Kubofya Bila Kubofya

Jan 10, 2025Ravie LakshmananCybersecurity / Android Cybersecurity watafiti wameeleza kwa kina dosari ya usalama iliyopo sasa inayoathiri avkodare ya Sauti ya Monkey (APE) kwenye simu mahiri za Samsung ambayo inaweza kusababisha utekelezaji wa msimbo. Athari za hali ya juu, zinazofuatiliwa kama CVE-2024-49415 (alama za CVSS: 8.1), huathiri vifaa vya Samsung vinavyotumia matoleo ya Android 12, 13, na 14. “Nje ya mipaka andika kwa libsaped.so kabla ya SMR Dec-2024 Toleo la 1 linaruhusu washambuliaji wa mbali kutekeleza nambari ya kiholela,” Samsung ilisema katika ushauri kwa dosari iliyotolewa mnamo Desemba 2024 kama sehemu ya sasisho zake za usalama za kila mwezi. “Kiraka kinaongeza uthibitishaji sahihi wa ingizo.” Mtafiti wa Google Project Zero, Natalie Silvanovich, ambaye aligundua na kuripoti upungufu huo, aliuelezea kuwa hauhitaji mwingiliano wa mtumiaji ili kuanzisha (yaani, kubofya sifuri) na “sehemu mpya ya kufurahisha ya shambulio” chini ya hali maalum. Hasa, hii inafanya kazi ikiwa Programu ya Messages kwenye Google imesanidiwa kwa ajili ya huduma bora za mawasiliano (RCS), usanidi chaguo-msingi kwenye simu za Galaxy S23 na S24, kwani huduma ya unukuzi katika eneo lako hutatua sauti inayoingia kabla ya mtumiaji kuingiliana na ujumbe kwa madhumuni ya unukuzi. “Kitendaji cha saped_rec katika libsaped.so huandikia dmabuf iliyotengwa na huduma ya media ya C2, ambayo kila wakati inaonekana kuwa na ukubwa wa 0x120000,” Silvanovich alielezea. “Ingawa kiwango cha juu cha thamani ya blocksperframe inayotolewa na libsapedextractor pia ni 0x120000, saped_rec inaweza kuandika hadi byte 3 * za blocksperframe nje, ikiwa byte kwa kila sampuli ya ingizo ni 24. Hii ina maana kwamba faili ya APE yenye ukubwa wa blocksperframe inaweza kwa kiasi kikubwa. zidisha bafa hii.” Katika hali ya dhahania ya shambulio, mshambulizi anaweza kutuma ujumbe wa sauti ulioundwa mahususi kupitia Google Messages kwa kifaa chochote lengwa ambacho kimewashwa na RCS, na hivyo kusababisha mchakato wa kodeki yake ya media (“samsung.software.media.c2”) kuacha kufanya kazi. Kiraka cha Samsung cha Desemba 2024 pia kinashughulikia athari nyingine ya hali ya juu katika SmartSwitch (CVE-2024-49413, alama ya CVSS: 7.1) ambayo inaweza kuruhusu wavamizi wa ndani kusakinisha programu hasidi kwa kuchukua fursa ya uthibitishaji usiofaa wa sahihi ya kriptografia. Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

Mwongozo wa Vitendo kwa MSPs

Mwongozo wa Vitendo kwa MSPs

Kuripoti usalama wa mtandao ni fursa muhimu lakini ambayo mara nyingi hupuuzwa kwa watoa huduma wanaosimamia usalama wa mtandao kwa wateja wao, na haswa kwa Maafisa Wakuu wa Usalama wa Taarifa (vCISOs). Ingawa kuripoti kunaonekana kama hitaji la kufuatilia maendeleo ya usalama wa mtandao, mara nyingi kunajazwa na jargon ya kiufundi, data changamano, na lahajedwali zilizotenganishwa ambazo zinashindwa kuguswa na watoa maamuzi. Matokeo? Wateja wanaotatizika kuelewa thamani ya kazi yako na kubaki kutokuwa na uhakika kuhusu mkao wao wa usalama. Lakini vipi ikiwa kuripoti kunaweza kubadilishwa kuwa zana ya kimkakati ya kuoanisha usalama wa mtandao na malengo ya biashara? Je, ikiwa ripoti zako ziliwezesha wateja, kujenga uaminifu, na kuonyesha usalama wa mtandao kama kichocheo cha mafanikio ya biashara? Hilo ndilo lengo hasa la mwongozo mpya wa Cynomi—”Kuondoa Maumivu Katika Kuripoti Usalama Mtandaoni: Mwongozo wa Kusimamia Ripoti za vCISO.” Nyenzo hii husaidia vCISO kufikiria upya kuripoti kama fursa ya kuunda thamani, kuboresha ushiriki wa mteja, na kuangazia athari zinazoweza kupimika za mipango ya usalama wa mtandao. Kwa kufuata mikakati katika mwongozo huu, vCISOs zinaweza kurahisisha mchakato wa kuripoti, kuokoa muda, na kuinua jukumu la usalama wa mtandao kama kuwezesha biashara. Mwongozo huu ulitungwa pamoja na Jesse Miller, mwandishi mwenza wa kitabu cha kucheza cha Siku 100 za Kwanza, na mwanzilishi wa PowerPSA Consulting na PowerGRYD. Jesse ni mtaalamu wa mikakati wa muda mrefu wa CISO/vCISO na infosec ambaye amefanya dhamira yake kuwasaidia watoa huduma kuvunja msimbo ili kupata faida kuu za vCISO. Kwa nini kuripoti ni muhimu zaidi kuliko hapo awali? Kulingana na Miller, “Ripoti ya Usalama wa Mtandao inahusu kuunda maono ya pamoja na wateja wako, ambapo wanaona usalama wa mtandao kama kichocheo cha ukuaji, ufanisi, na mafanikio ya muda mrefu.” Kuripoti kwa usalama wa mtandao hutumikia madhumuni manne muhimu: Kuwasiliana na hatari – Ripoti huwasaidia wateja kuelewa mazingira ya tishio yanayoendelea na jinsi hatari mahususi zinavyoathiri shirika lao. Kuwezesha kufanya maamuzi – Kwa kuwasilisha maarifa wazi, yanayotekelezeka, ripoti huwapa watendaji uwezo wa kutanguliza uwekezaji wa usalama mtandao kwa ufanisi. Kuonyesha thamani – Ripoti huunganisha dots kati ya mipango ya usalama wa mtandao na matokeo ya biashara yanayoweza kupimika, kutoka kwa kupunguza hatari hadi utii ulioboreshwa. Kujenga uaminifu – Kuripoti mara kwa mara na kwa uwazi kunakuza imani katika huduma zako za vCISO na kuimarisha uhusiano wa muda mrefu wa mteja. Kama Miller anavyoeleza, “Madhumuni ya kuripoti ni kuwa na majadiliano ya mkakati wa biashara ambayo hutokea kuhusu usalama.” Kimsingi, kuripoti si tu kuhusu kuonyesha ulichofanya—ni kuhusu kutunga mteja kama shujaa wa safari yao ya usalama wa mtandao. Kazi yako kama vCISO ni kutoa ramani ya barabara, kupima maendeleo na kuwaelekeza kwenye maamuzi sahihi yanayolinda biashara zao. Kosa kubwa zaidi la kuripoti: Kuzingatia sana maelezo ya kiufundi Mojawapo ya mitego ya kawaida katika kuripoti usalama wa mtandao ni kulemea wateja wenye jargon ya kiufundi na data mbichi. vCISO nyingi hudhani kuwa wateja wanataka uchanganuzi wa kiufundi wa kina, lakini mbinu hii hukosa alama. Kama Miller anavyosema, “Watoa maamuzi wengi si wataalam wa usalama wa mtandao. Hawajali kuhusu ngome au viraka – wanajali matokeo ya biashara.” Watendaji hufikiria kuhusu: Biashara yangu iko salama kwa kiasi gani? Je, tunakabili hatari gani? Je, hii inaathiri vipi utendakazi, sifa, au msingi? Kwa mfano, badala ya kusema: “Kumbukumbu za Firewall zilitambua vitisho 50,000 vya nje, ambavyo vilizuiwa kulingana na sheria zilizowekwa.” Iandike kama: “Tulifanikiwa kuzuia mashambulizi 50,000 kutoka nje mwezi huu, ikionyesha uthabiti wa mkao wako wa sasa wa usalama. Tunafuatilia kwa karibu vitisho hivi ili kubaini mitindo na kutarajia hatari za siku zijazo.” Kwa kutafsiri matokeo ya kiufundi katika athari wazi za biashara, unashirikisha watoa maamuzi kwa masharti yao. Ripoti zako huwa zana za mazungumzo ya kimkakati, sio orodha tu ya shughuli. Vipengele vya ripoti madhubuti ya vCISO Ili kufanya ripoti kuwa muhimu na kutekelezeka, zingatia vipengele hivi muhimu: Jua hadhira yako: Rekebisha ripoti zako kwa washikadau mbalimbali. Watendaji wanahitaji muhtasari wa hali ya juu unaofungamana na malengo ya biashara, ilhali timu za TEHAMA zinaweza kuhitaji maelezo zaidi ya kiufundi. Tafsiri data ya kiufundi katika maarifa ya biashara: Unganisha vipimo vya usalama wa mtandao kwa matokeo ya ulimwengu halisi. Tumia lugha inayoeleweka kueleza jinsi mipango yako: Punguza hatari (kwa mfano, udhaifu mdogo, nyakati za haraka za kukabiliana na matukio). Boresha utiifu (kwa mfano, kukidhi mahitaji ya udhibiti). Linda mwendelezo wa biashara (km, kupunguza muda wa kupungua kutokana na mashambulizi ya programu ya kukomboa). Pima mafanikio kwa kutumia vipimo vinavyoonekana: Fuatilia maendeleo ya muda kwa kutumia vipimo vinavyoweza kupimika, kama vile:Muda uliopunguzwa wa majibu ya matukio.Mashambulizi machache ya hadaa yaliyofaulu.Alama za kufuata zilizoboreshwa. Kama Miller anavyosema, “Vipimo ni jinsi unavyounganisha vitendo vya usalama wa mtandao na athari za biashara—ni jinsi unavyosimulia hadithi ya thamani.” Vipimo hivi vinasimulia hadithi ya kuvutia ya uboreshaji, inayoonyesha faida kwenye uwekezaji kwa juhudi za usalama za mteja. Panga ripoti yako kimkakati: Panga ripoti zako ili ziwe rahisi kusoma na zinazofaa kwa mahitaji ya mteja. Muundo unaoeleweka ni pamoja na:Muhtasari wa Utendaji: Muhtasari wa hali ya juu wa matokeo muhimu na mapendekezo.Tathmini ya Hatari: Hatari na udhaifu uliopewa kipaumbele na maelezo ya wazi ya athari zao za biashara.Mapendekezo: Hatua zinazoweza kuchukuliwa ili kushughulikia hatari na kuboresha mkao wa usalama.Mwongozo wa Kimkakati: A. mpango wa kutazama mbele unaoelezea hatua zinazofuata na mipango ya muda mrefu. Tumia taswira ili kuboresha uelewaji: Chati, grafu na majedwali husaidia kurahisisha data changamano na kuangazia mitindo. Vifaa vya kuona hufanya ripoti kushirikisha zaidi na rahisi kuchambua kwa hadhira isiyo ya kiufundi. Kwa mfano, unaweza kutumia picha kuonyesha mteja vitisho na udhaifu wao, na mpango wao wa kupunguza hatari. Ripoti ya Sampuli: Athari na Uchanganuzi wa Ripoti ya Mfano: Mpango wa Kupunguza Hatari Kuhuisha kuripoti kwa teknolojia Michakato ya kuripoti kwa Mwongozo—kuchanganya lahajedwali, kutoa chati, na kukusanya data iliyokatishwa muunganisho—inatumia muda mwingi na huwa na makosa. Kama Miller anavyoonyesha, “vCISOs zinahitaji zana ambazo huondoa kusaga kwa mikono ili ziweze kulenga kutoa maarifa, sio kugawanya nambari.” Majukwaa ya vCISO kama vile Cynomi husanya data kiotomatiki, huunda ripoti zinazoonekana kuvutia, na kuoanisha matokeo na matokeo ya biashara. Kwa kutumia zana zinazofaa, vCISO zinaweza: Kuokoa muda na kupunguza juhudi za mikono. Toa ripoti thabiti, za kitaalamu. Zingatia maarifa ya kimkakati ambayo huendesha mafanikio ya mteja. Ulinzi wa pande mbili wa kuripoti kwa ufanisi Ripoti iliyoundwa vizuri haifaidi mteja tu—pia inalinda vCISO au MSP. Kwa kurekodi hatari, hatua zilizochukuliwa na maamuzi yaliyofanywa, unaunda rekodi ya uangalifu unaostahili. Hii inaweza kuwa muhimu sana katika tukio la: Ukaguzi wa udhibiti au mapitio ya kufuata. Matukio ya mtandao ambapo uwajibikaji unatiliwa shaka. Mizozo ya mteja kuhusu hatua zilizochukuliwa au zilizopendekezwa. Kuripoti kwa ufanisi hutoa uwazi, uwajibikaji na amani ya akili kwa pande zote mbili. Hatua zako zinazofuata kama vCISO Hatimaye, kuripoti usalama wa mtandao ni kuhusu kuunda maono ya pamoja ya mafanikio. Kwa kuoanisha ripoti zako na malengo ya biashara, kutafsiri matokeo ya kiufundi katika maarifa yanayoweza kutekelezeka, na kutumia kiotomatiki, unajiweka kama mshauri anayeaminika na mshirika wa kimkakati. Kwa maneno ya Miller, “Kuripoti kunaweka upya usalama wa mtandao kama kuwezesha biashara, si kituo cha gharama. Ni kuhusu kuonyesha jinsi usalama unavyosukuma ukuaji, ufanisi na mafanikio.” Mwongozo—”Kuondoa Maumivu Katika Kuripoti Usalama Mtandaoni”—hukupitia jinsi ya kubadilisha data mbichi kuwa masimulizi ya kuvutia, kuonyesha thamani inayoweza kupimika, na kuunda mustakabali wa mkakati wa usalama wa mtandao wa mteja wako. Kwa mbinu sahihi, unawawezesha wateja wako kuwa mashujaa wa safari yao ya usalama wa mtandao, huku ukionyesha utaalam wako kama mbunifu wa mafanikio yao. Je, umepata makala hii ya kuvutia? Makala haya ni sehemu iliyochangiwa kutoka kwa mmoja wa washirika wetu wanaothaminiwa. Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

Microsegmentation Kwa Watumiaji Wote, Mizigo ya Kazi na Vifaa kulingana na Elisity

Microsegmentation Kwa Watumiaji Wote, Mizigo ya Kazi na Vifaa kulingana na Elisity

Ugawaji wa mtandao unasalia kuwa hitaji muhimu la usalama, lakini mashirika yanatatizika na mbinu za kitamaduni ambazo zinahitaji uwekezaji mkubwa wa vifaa, usimamizi changamano wa sera, na mabadiliko ya mtandao yanayosumbua. Sekta za afya na utengenezaji zinakabiliwa na changamoto mahususi zinapounganisha ncha tofauti – kutoka kwa vifaa vya matibabu vilivyopitwa na wakati hadi vihisi vya IoT – kwenye mitandao yao ya uzalishaji. Vifaa hivi mara nyingi hukosa ugumu wa usalama, na kuunda udhaifu mkubwa ambao suluhu za kitamaduni za sehemu zinatatizika kushughulikia. Elisity inalenga kutatua changamoto hizi kupitia mbinu bunifu inayotumia miundombinu ya mtandao iliyopo huku ikitoa utambulisho wa sehemu ndogo ndogo kwenye ukingo wa mtandao. Badala ya kuhitaji maunzi mapya, mawakala au usanifu upya changamano wa mtandao, wateja wa Elisity huendesha viunganishi vichache vyepesi (vinaitwa Elisity Virtual Edge) ili kutekeleza sera za usalama kupitia miundo msingi ya sasa ya mashirika. Katika ukaguzi huu wa kina, tutachunguza uwezo wa kiufundi wa Elisity na utumiaji wa ulimwengu halisi kulingana na majaribio katika mazingira ya huduma ya afya ambayo yanaakisi hali za kawaida za utumiaji wa biashara. Ili kupata onyesho la kibinafsi, tembelea tovuti ya Elisity hapa. Usanifu wa Utambulisho wa Kwanza Katika msingi wa jukwaa la Elisity ni Kituo cha Kudhibiti Wingu, ambacho hutoa usimamizi na mwonekano wa sera kati. Wakati wa majaribio, tuliona jinsi vipengele vya “Elisity’s Virtual Edge” vinaweza kutumwa moja kwa moja kwenye swichi zinazotumika (Msururu wa Cisco Catalyst 9K) au kama VM au vyombo kwenye mawingu ya kibinafsi au kwenye mitandao, huunganishwa na swichi zilizopo za mtandao ikiwa ni pamoja na Cisco, Juniper na Arista. . Mazingira ya majaribio yanaonyesha kuwa Elisity inaweza kudhibiti utengano katika mfululizo wa kliniki zinazounganishwa kwenye mtandao kwa kutumia swichi za Cisco 9300 na 3850, na tovuti za hospitali zilizo na Cisco 9300 inayoendesha Elisity Virtual Edge juu yake. Injini ya Elisity IdentityGraph inathibitisha kuvutia sana katika mazoezi. Zaidi ya kugundua vifaa tu, inalinganisha data ya utambulisho kutoka kwa vyanzo vingi hadi kile Elisity inachokiita “sifa muhimu za msingi” – mtazamo uliounganishwa wa data halali na inayoaminika zaidi kuhusu kila kipengee. Wakati wa majaribio, tuliona ikichota data kwa wakati mmoja kutoka kwa Active Directory, ServiceNow, CrowdStrike na vyanzo vingine, na kuunda wasifu wa muktadha wa kuarifu maamuzi ya sera. Kwa sababu “viunganishi” vya Elistiy’s Virtual Edge ni mitandao ya kampuni iliyounganishwa wanayogundua na kuona zaidi ya maelezo ya kifaa, pia hutuma data ya mtiririko wa mtandao kwenye Kituo cha Kudhibiti Wingu cha Elisity. Kiwango hiki cha ujumuishaji huwezesha jukwaa kuoanisha “nani anazungumza na nani”. Uundaji na Usimamizi wa Sera Data hii yote inayohusiana ya meta kwa watumiaji, mzigo wa kazi na vifaa inakuwa muhimu kwa uwezo wa sera ya kufikia Elisity. Kiolesura cha sera hutumia taswira ya matriki angavu ambayo inaonyesha wazi uhusiano kati ya vikundi vya mali. Kipengele kikuu kilichoonyeshwa ni uwezo wa kuainisha mali kulingana na vigezo vingi. Kwa mfano, tulitazama kompyuta ndogo isiyoidhinishwa ikiainishwa upya kiotomatiki kuwa kikundi cha radiolojia kilichoidhinishwa kulingana na ulinganifu wa lebo za vipengee vya ServiceNow, aina ya kifaa na hali ya CrowdStrike EDR. Mfumo huu unajumuisha vipengele muhimu vya uboreshaji wa sera: · Hali ya kujifunza kuelewa mifumo halisi ya trafiki · Uigaji wa sera kabla ya utekelezaji · Uchanganuzi wa mtiririko wa trafiki uliowekwa kwenye mkusanyiko wa sera · Uwezo wa kufunga mali katika vikundi mahususi (haswa muhimu kwa mazingira ya OT) A muhimu sana. kipengele ni mwonekano wa uchanganuzi wa mtiririko wa trafiki, ambao hufunika mifumo halisi ya mawasiliano kwenye matriki ya sera. Hii huwasaidia wasimamizi kutambua njia ambazo hazijatumika ambazo zinaweza kuzuiwa kwa usalama na kuthibitisha mabadiliko ya sera kabla ya utekelezaji. Kupiga mbizi kwa kina Ili kutathmini utumikaji katika ulimwengu halisi, tulijaribu hali ya kawaida ya huduma ya afya: kupata vifaa vya matibabu vilivyopitwa na wakati vinavyotumia mifumo ya uendeshaji iliyopitwa na wakati. Mfumo huo uligundua kiotomatiki vifaa vyetu vya matibabu vilivyoiga na kutoa mwonekano wa punjepunje katika mifumo yao ya mawasiliano. Onyesho lilionyesha jinsi sera zinavyoweza kuundwa kwa urahisi kwa vifaa mbalimbali vya matibabu ikiwa ni pamoja na mashine za X-ray, vichanganuzi vya CT na mifumo ya EHR. Mfano muhimu sana ulionyesha kuzuia bandari maalum (kama vile bandari ya SSH 22) kwa vifaa vya matibabu vilivyopitwa na wakati huku vikidumisha ufikiaji muhimu wa kimatibabu. Majaribio ya Utendaji na Mizani yalifichua athari ndogo ya utendakazi kutoka kwa mifumo ya utekelezaji ya Elisity. Kwa kuongeza kasi ya kubadili ASIC kwa ajili ya utekelezaji wa sera, suluhu ilidumisha muda wa kusubiri wa milisekunde ndogo bila kupunguza matokeo yanayoonekana. Usanifu uliosambazwa ulishughulikia mzigo wetu wa majaribio kwa njia ifaayo, ikipendekeza upanuzi mzuri wa usambazaji wa biashara. Mchakato wa kupeleka ulionekana kuwa rahisi sana, ulichukua chini ya dakika 30 kwa kila tovuti bila kukatika kwa mtandao. Ufanisi huu unatokana na mbinu ya Elisity kulingana na kontena na uwezo wa kufanya kazi na miundombinu iliyopo. Maeneo ya Kuimarishwa Wakati Elisity inatekeleza ahadi yake ya msingi, baadhi ya maeneo yanaweza kuboreshwa. Uwezo wa kuunganisha pasiwaya umepanuliwa hivi majuzi na kujumuisha vidhibiti visivyotumia waya vya Cisco Catalyst 9800 vinavyosaidia utengaji wa ndani na wa ndani wa SSID au vinginevyo kwenye swichi ambapo AP au Kidhibiti huunganisha kwenye mtandao ambayo inaweza kuwa muhimu kwa mazingira ya huduma ya afya kwa kuongezeka kwa matumizi ya kifaa kisichotumia waya. Zaidi ya hayo, ingawa kiolesura cha sera ni angavu, violezo vilivyobainishwa mapema zaidi vitasaidia kuharakisha utumiaji wa awali. Pia tulibaini kuwa baadhi ya urekebishaji wa sera unaofanywa na mtu mwenyewe ulihitajika ili kuboresha sheria kwa kesi mahususi za utumiaji. Ingawa jukwaa linatoa mwonekano mzuri kwa urekebishaji huu, uwekaji otomatiki wa ziada unaweza kurahisisha mchakato huu. Tunakumbuka kuwa Elisity ilitufahamisha kwamba wanazindua Elisity Intelligence mapema 2025, ambayo wanasema itatoa injini yenye nguvu ya mapendekezo ya sera otomatiki. Mfano wa Uchunguzi wa Uchunguzi wa Umma wa Elisity unashiriki kuwa mfumo mkuu wa afya wa Marekani wenye hospitali na kliniki 800+ ulipata ufanisi wa hali ya juu na kuokoa gharama kwa kutekeleza Elisity, kupunguza jumla ya gharama kutoka $38M hadi $9M – punguzo la TCO kwa 76%. Utekelezaji huo ulihitaji wafanyakazi 2 pekee kwa kila tovuti badala ya 14, huku kupelekwa kukichukua saa 4-10 tu kwa kila eneo huku kukiepusha muda wa kazi na usumbufu wa huduma ya wagonjwa. Jukwaa la Elisity liligundua na kuainisha 99% ya vifaa ndani ya saa 4 na kuondoa hitaji la gharama kubwa la michakato ya kurejesha IP ya kifaa cha IoMT, na kutoa masasisho ya kiotomatiki, yanayoendelea ya orodha ya vifaa kwa CMDB yao yenye mwonekano wa kina wa mtandao katika maeneo yote. Soma zaidi juu ya uwekaji mafanikio wa Elisity katika huduma ya afya, maduka ya dawa na utengenezaji kwenye wavuti yao. Hitimisho Elisity inashughulikia kwa ufanisi changamoto za msingi za mbinu za jadi za ugawaji mdogo huku kutoa njia ya vitendo ya utekelezaji. Uwezo wa suluhisho kutumia miundombinu iliyopo huku ukitoa vidhibiti vinavyotegemea utambulisho unaifanya kuwa muhimu sana kwa mashirika yenye aina mbalimbali za mwisho na mahitaji changamano ya sehemu. Wakati wa majaribio, tulivutiwa sana na uwezo wa kukabiliana na tukio la Elisity. Mfumo huu unaruhusu mashirika kudumisha seti nyingi za sera – ikiwa ni pamoja na sera “zilizofungwa” zilizowekwa mapema ambazo zinaweza kutumwa kwa haraka kupitia vitabu vyao vya kucheza vya SOAR au miunganisho ya API, ikiwa programu ya ransomware au vitisho vingine vitatambuliwa. Uwezo wa utumaji wa haraka wa jukwaa na athari ndogo ya utendakazi huifanya kuwa chaguo la lazima kwa biashara zinazotaka kuboresha mkao wao wa usalama bila uwekezaji mkubwa wa miundombinu. Ingawa baadhi ya vipengele kama vile ujumuishaji wa pasiwaya vinaweza kuimarishwa, Elisity inatoa mbinu ya kimantiki ya kutekeleza ugawaji midogo katika biashara. Kwa mashirika yanayopambana na mbinu za kitamaduni za ugawaji, haswa zile katika sekta ya afya na utengenezaji, Elisity hutoa njia wazi mbele ambayo inasawazisha mahitaji ya usalama na hali halisi ya utendaji. Ili kujifunza zaidi kuhusu Elisity IdentityGraph, tembelea ukurasa wa suluhisho hapa. Je, umepata makala hii ya kuvutia? Makala haya ni sehemu iliyochangiwa kutoka kwa mmoja wa washirika wetu wanaothaminiwa. Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

MirrorFace Inaongeza ANEL na NOOPDOOR katika Mashambulizi ya Miangi ya Mtandaoni ya Miaka Mingi nchini Japani

MirrorFace Inaongeza ANEL na NOOPDOOR katika Mashambulizi ya Miangi ya Mtandaoni ya Miaka Mingi nchini Japani

Jan 09, 2025Ravie LakshmananCybersecurity/Malware Wakala wa Kitaifa wa Polisi wa Japani (NPA) na Kituo cha Kitaifa cha Utayari wa Matukio na Mikakati ya Usalama wa Mtandao (NCSC) walimshtumu mwigizaji tishio anayehusishwa na Uchina aitwaye MirrorFace kwa kuandaa shirika linaloendelea, la kushambulia, na kulenga biashara inayoendelea. na watu binafsi nchini tangu 2019. Msingi lengo la kampeni ya mashambulizi ni kuiba taarifa zinazohusiana na usalama wa taifa wa Japan na teknolojia ya juu, mashirika alisema. MirrorFace, ambayo pia inafuatiliwa kama Earth Kasha, inakadiriwa kuwa kikundi kidogo ndani ya APT10. Ina rekodi ya kufuatilia huluki za Kijapani zinazovutia, mara nyingi hutumia zana kama vile ANEL, LODEINFO, na NOOPDOOR (aka HiddenFace). Mwezi uliopita, Trend Micro ilifichua maelezo ya kampeni ya wizi wa data binafsi iliyolenga watu binafsi na mashirika nchini Japani kwa lengo la kuwasilisha ANEL na NOOPDOOR. Kampeni zingine zilizozingatiwa katika miaka ya hivi karibuni pia zimeelekezwa dhidi ya Taiwan na India. Kulingana na NPA na NCSC, mashambulizi yaliyowekwa na MirrorFace yamegawanywa kwa upana katika kampeni kuu tatu – Kampeni A (Kuanzia Desemba 2019 hadi Julai 2023), inayolenga mizinga, serikali, wanasiasa, na mashirika ya vyombo vya habari kwa kutumia barua pepe za kuhadaa ili kuwasilisha LODEINFO, NOOPDOOR, na LilimRAT (toleo maalum la Kampeni B ya chanzo huria ya Lilith RAT) (Kuanzia Februari hadi Oktoba 2023), ikilenga sekta za semiconductor, utengenezaji, mawasiliano, taaluma na anga kwa kutumia udhaifu unaojulikana katika vifaa vinavyohusiana na mtandao vya Array Networks, Citrix, na Fortinet ili kukiuka mitandao ili kuwasilisha Cobalt Strike Beacon, LODEINFO, na Kampeni ya NOOPDOOR. C (Kuanzia Juni 2024), ikilenga wasomi, mizinga, wanasiasa, na mashirika ya habari yanayotumia barua pepe za kuhadaa ili kuwasilisha ANEL (aka UPPERCUT) Mashambulizi hayo pia yana sifa ya matumizi ya vichuguu vya mbali vya Visual Studio Code kuanzisha miunganisho ya siri, na hivyo kuruhusu wahusika tishio kukwepa ulinzi wa mtandao na kudhibiti mifumo iliyoathiriwa kwa mbali. . Mashirika hayo pia yalibainisha kuwa yaliona matukio ambapo washambuliaji walitekeleza kwa siri upakiaji wa malipo hasidi uliohifadhiwa kwenye kompyuta mwenyeji ndani ya Windows Sandbox na wamewasiliana na seva ya amri na udhibiti tangu angalau Juni 2023. “Njia hii inaruhusu programu hasidi kutekelezwa bila kufuatiliwa na programu ya kingavirusi au EDR kwenye kompyuta mwenyeji, na kompyuta mwenyeji inapozimwa au kuwashwa upya, vifuatilizi kwenye Sanduku la Mchanga la Windows hufutwa, kwa hivyo ushahidi unawezekana. haijaachwa nyuma, “NPA na NCSC zilisema. Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.

Page 1 of 32

Powered by WordPress & Theme by Anders Norén