Belangrijkste bedreigingen en trends van vorige week (16-22 september)

Houd je vast, mensen, want het cybersecuritylandschap van vorige week was een achtbaan! We zagen van alles, van Noord-Koreaanse hackers die “droombanen” voor zich uit smijten om een ​​nieuwe malware bloot te leggen, tot een verrassende wending in de Apple vs. NSO Group-saga. Zelfs de ogenschijnlijk alledaagse wereld van domeinnamen en cloudconfiguraties had zijn deel van drama. Laten we eens in de details duiken en kijken welke lessen we uit de afgelopen week kunnen trekken.

⚡ Bedreiging van de week

Raptor Train Botnet ontmanteld: De Amerikaanse overheid kondigde de verwijdering aan van het Raptor Train-botnet dat werd aangestuurd door een aan China gelinkte dreigingsactor die bekendstaat als Flax Typhoon. Het botnet bestond in juni 2024 uit meer dan 260.000 apparaten, met slachtoffers verspreid over Noord-Amerika, Europa, Azië, Afrika, Oceanië en Zuid-Amerika. Het schreef de Flax Typhoon-dreigingsactor ook toe aan een beursgenoteerd, in Beijing gevestigd bedrijf dat bekendstaat als Integrity Technology Group.

🔔 Topnieuws

  • Nieuwe malware van Lazarus Group: De Noord-Koreaanse cyberespionagegroep UNC2970 (ook bekend als TEMP.Hermit) is waargenomen bij het gebruik van phishing-lokmiddelen met een werkthema om potentiële slachtoffers in de energie- en lucht- en ruimtevaartsector te targeten en ze te infecteren met een voorheen ongedocumenteerde backdoor genaamd MISTPEN. De activiteit wordt ook gevolgd als Operation Dream Job.
  • iServer en Ghost ontmanteld: In nog een grote overwinning voor wetshandhavingsinstanties kondigde Europol de ontmanteling aan van een internationaal crimineel netwerk dat een phishingplatform gebruikte om gestolen of verloren mobiele telefoons te ontgrendelen. Het agentschap ontmantelde, in samenwerking met de Australian Federal Police (AFP), een gecodeerd communicatienetwerk genaamd Ghost dat ernstige en georganiseerde misdaad over de hele wereld mogelijk maakte.
  • Iraanse APT fungeert als initiële toegangsprovider: Een Iraanse dreigingsactor die wordt gevolgd als UNC1860 fungeert als een initiële toegangsfacilitator die externe toegang biedt tot doelnetwerken door verschillende passieve backdoors te implementeren. Deze toegang wordt vervolgens benut door andere Iraanse hackinggroepen die zijn aangesloten bij het Ministerie van Inlichtingen en Veiligheid (MOIS).
  • Apple laat rechtszaak tegen NSO Group vallen: Apple heeft een motie ingediend om de rechtszaak die het aanspant tegen de Israëlische commerciële spyware-leverancier NSO Group “vrijwillig” af te wijzen, waarbij het een veranderend risicolandschap aanhaalt dat kan leiden tot blootstelling van kritieke “threat intelligence”-informatie. De rechtszaak werd aangespannen in november 2021.
  • Phishingaanvallen maken gebruik van HTTP-headers: Een nieuwe golf van phishingaanvallen misbruikt refresh entries in HTTP headers om vervalste e-mail login pagina’s te leveren die zijn ontworpen om gebruikersreferenties te verzamelen. Doelen van de campagnes zijn onder andere entiteiten in Zuid-Korea en de VS

📰 Rond de cyberwereld

  • Sandvine verlaat 56 “niet-democratische” landen: Sandvine, het bedrijf achter middleboxes die de levering van commerciële spyware hebben gefaciliteerd als onderdeel van zeer gerichte aanvallen, zei dat het 32 ​​landen heeft verlaten en bezig is met het staken van de activiteiten in nog eens 24 landen, verwijzend naar verhoogde bedreigingen voor digitale rechten. Eerder deze februari werd het bedrijf toegevoegd aan de Amerikaanse Entity List. “Het misbruik van deep packet inspection-technologie is een internationaal probleem dat vrije en eerlijke verkiezingen, fundamentele mensenrechten en andere digitale vrijheden bedreigt waarvan wij geloven dat ze onvervreemdbaar zijn”, zei het. Het maakte de lijst met landen waar het zich als onderdeel van de revisie uit terugtrekt niet bekend.
  • .mobi-domein gekocht voor $20: Onderzoekers van watchTowr Labs spendeerden slechts $ 20 om een ​​verouderd WHOIS-serverdomein te verwerven dat is gekoppeld aan het .mobi-topleveldomein (TLD) en een WHOIS-server op dat domein in te stellen. Dit leidde tot de ontdekking dat meer dan 135.000 unieke systemen de oude WHOIS-server nog steeds raadpleegden gedurende een periode van vijf dagen tot en met 4 september 2024, waaronder cybersecuritytools en mailservers voor overheids-, militaire en universitaire entiteiten. Het onderzoek toonde ook aan dat het TLS/SSL-proces voor de gehele .mobi-TLD was ondermijnd, aangezien talloze certificeringsinstanties (CA’s) nog steeds de “malafide” WHOIS-server bleken te gebruiken om “de eigenaren van een domein te bepalen en waar verificatiegegevens naartoe moeten worden gestuurd.” Google heeft sindsdien opgeroepen om te stoppen met het gebruik van WHOIS-gegevens voor TLS-domeinverificaties.
  • ServiceNow-configuratiefouten lekken gevoelige gegevens: Duizenden bedrijven onthullen onbedoeld geheimen uit hun interne knowledge base (KB)-artikelen via ServiceNow-misconfiguraties. AppOmni schreef het probleem toe aan “verouderde configuraties en verkeerd geconfigureerde toegangscontroles in KB’s”, wat waarschijnlijk duidt op “een systematisch misverstand van KB-toegangscontroles of mogelijk de onbedoelde replicatie van ten minste één exemplaar van slechte controles naar een ander door middel van klonen.” ServiceNow heeft richtlijnen gepubliceerd over hoe hun exemplaren te configureren om niet-geverifieerde toegang tot KB-artikelen te voorkomen.
  • Google Cloud Document AI-fout opgelost: Over verkeerde configuraties gesproken, onderzoekers hebben ontdekt dat te permissieve instellingen in de Document AI-service van Google Cloud door dreigingsactoren kunnen worden misbruikt om Cloud Storage-buckets te hacken en gevoelige informatie te stelen. Vectra AI beschreef de kwetsbaarheid als een voorbeeld van misbruik van transitieve toegang.
  • Microsoft plant einde van kerneltoegang voor EDR-software: Na de enorme gevolgen van de CrowdStrike-updatemisstap in juli 2024, heeft Microsoft de “verbeterde beveiligingshouding en beveiligingsstandaarden” van Windows 11 benadrukt, die meer beveiligingsmogelijkheden bieden aan makers van beveiligingssoftware buiten de kernelmodustoegang. Het zei ook dat het zal samenwerken met ecosysteempartners om “verbeterde betrouwbaarheid te bereiken zonder in te leveren op beveiliging.”

🔥 Cybersecuritybronnen en inzichten

Aankomende webinars

    • Zero Trust: anti-ransomwarepantser: Doe mee met onze volgende webinar met Emily Laufer van Zscaler voor een diepgaande duik in het Ransomware Report van 2024, waarin de nieuwste trends, opkomende bedreigingen en de zero-truststrategieën worden onthuld die uw organisatie kunnen beschermen. Word geen statistiek – registreer u nu en vecht terug!
    • SIEM-reboot: van overbelasting naar toezicht: Verdrinkt u in data? Uw SIEM zou een redder in nood moeten zijn, geen hoofdpijn. Doe mee en ontdek hoe legacy SIEM de mist in ging en hoe een moderne aanpak de beveiliging kan vereenvoudigen zonder in te leveren op prestaties. We duiken in de oorsprong van SIEM, de huidige uitdagingen en onze community-gedreven oplossingen om door de ruis heen te snijden en uw beveiliging te versterken. Meld u nu aan voor een frisse kijk op SIEM!

Vraag het de expert

    • Q: Hoe verschilt Zero Trust fundamenteel van traditionele Perimeter Defense? En wat zijn de belangrijkste uitdagingen en voordelen bij de overgang van een organisatie van een Perimeter Defense-model naar een Zero Trust-architectuur?
    • A: Zero Trust en perimeter defense zijn twee manieren om computersystemen te beschermen. Zero Trust is alsof je meerdere sloten op je deuren hebt EN in elke kamer je identiteit controleert, wat betekent dat het niemand vertrouwt en constant iedereen en alles verifieert dat probeert toegang te krijgen tot iets. Het is geweldig om hackers te stoppen, zelfs als ze erin slagen binnen te sluipen, en het werkt goed als mensen op verschillende plekken werken of cloudservices gebruiken. Perimeter defense is alsof je een sterke muur om je kasteel hebt, gericht op het buiten houden van de slechteriken. Maar als iemand doorbreekt, hebben ze gemakkelijk toegang tot alles binnenin. Deze oudere aanpak worstelt met de bedreigingen van vandaag en situaties van werken op afstand. Overschakelen naar Zero Trust is als het upgraden van je beveiligingssysteem, maar het kost tijd en geld. Het is het waard omdat het veel betere bescherming biedt. Vergeet niet dat het niet slechts één ding is, maar een geheel nieuwe manier van denken over beveiliging, en je kunt klein beginnen en in de loop van de tijd opbouwen. En laat de muur niet helemaal vallen, het is nog steeds nuttig voor basisbescherming.

Jargonbreker voor cyberbeveiliging

    • Polymorfe malware: Stel je een sluw virus voor dat zijn vermomming (handtekening) blijft veranderen om je antivirusprogramma te misleiden. Het is als een kameleon, waardoor het moeilijk te vangen is.
    • Metamorfe malware: Deze is nog lastiger! Het is als een gedaanteverwisselaar, die niet alleen van kleding verandert, maar ook zijn lichaam volledig transformeert. Hij herschrijft zijn eigen code elke keer dat hij infecteert, waardoor het bijna onmogelijk is voor antivirus om te herkennen.

Tip van de week

“Denk na voordat je klikt”-doolhof: Neem een ​​aantal beslissingsmomenten op basis van realistische scenario’s en kies de veiligste optie om phishingvallen en andere online bedreigingen te vermijden.

Conclusie

“Fouten maken is menselijk; vergeven is goddelijk.” – Alexander Pope. Maar in het domein van cybersecurity kan vergeving kostbaar zijn. Laten we van deze fouten leren, onze verdediging versterken en de digitale wereld veiliger houden voor iedereen.

Thijs Van der Does