THN-samenvatting: belangrijkste bedreigingen, hulpmiddelen en praktijken op het gebied van cyberbeveiliging (28 oktober

Deze week was er een totale digitale afvalcontainerbrand! Hackers zeiden: “Laten we wat chaos veroorzaken!” en ging achter alles aan, van onze browsers tot die mooie camera’s die zoomen en draaien. (Je weet wel, degenen die ze gebruiken in spionagefilms? 🕵️‍♀️)

We hebben het over bots die wachtwoorden stelen, stiekeme extensies die je bespioneren en zelfs ninja’s die in de cloud hacken! 🥷 Het is genoeg om ervoor te zorgen dat je je telefoon in de oceaan wilt gooien. (Maar doe dat niet, je hebt het nodig om deze nieuwsbrief te kunnen lezen!)

Het goede nieuws? Wij hebben een voorproefje van het laatste drama. Beschouw deze nieuwsbrief als uw spiekbriefje om de digitale apocalyps te overleven. We analyseren de grootste bedreigingen en geven u de kennis om die vervelende hackers te slim af te zijn. Laten we gaan!

⚡ Bedreiging van de week

Noord-Koreaanse hackers implementeren Play-ransomware: In wat een teken is van het vervagen van de grenzen tussen nationale groepen en cybercriminaliteitsactoren, is naar voren gekomen dat de door de Noord-Koreaanse staat gesponsorde hackploeg Andariël heeft waarschijnlijk samengewerkt met de Play-ransomware-actoren bij een digitale afpersingsaanval die plaatsvond in september 2024. Het eerste compromis vond plaats in mei 2024. Het incident overlapt met een inbraak waarbij in augustus 2024 drie verschillende organisaties in de VS werden aangevallen als onderdeel van een aanval. waarschijnlijk financieel gemotiveerde aanval.

SANS Cyberdefensie-initiatief 2024

SANS Cyberdefensie-initiatief 2024

Upgrade uw cyberbeveiligingsvaardigheden met SANS op CDI 2024 + ontvang een bonus van $ 1.950!

Ontgrendel cybersecuritytraining van het hoogste niveau tijdens SANS CDI 2024, van 13 tot 18 december in Washington, DC. Met meer dan 40 door experts geleide cursussen verkrijgt u praktische vaardigheden en een bonus van $ 1.950, inclusief uitgebreide toegang tot het laboratorium en een GIAC-certificeringspoging wanneer u persoonlijk traint! Aanbieding eindigt op 11 november.

Verbeter nu uw vaardigheden!

đź”” Topnieuws

  • Chinese bedreigingsacteur gebruikt Quad7-botnet voor het verspreiden van wachtwoorden: Een Chinese bedreigingsacteur die door Microsoft wordt gevolgd als Storm-0940, maakt gebruik van een botnet genaamd Quad7 (ook bekend als CovertNetwork-1658) om zeer ontwijkende wachtwoordspray-aanvallen te orkestreren. De aanvallen maken de weg vrij voor de diefstal van inloggegevens van meerdere Microsoft-klanten, die vervolgens worden gebruikt voor het infiltreren van netwerken en het uitvoeren van post-exploitatieactiviteiten.
  • Opera heeft een bug opgelost die gevoelige gegevens had kunnen blootleggen: Er is een nieuwe browseraanval met de naam CrossBarking onthuld in de Opera-webbrowser, die private application programming interfaces (API’s) compromitteert om ongeoorloofde toegang tot gevoelige gegevens mogelijk te maken. De aanval werkt door gebruik te maken van een kwaadaardige browserextensie om kwaadaardige code uit te voeren in de context van sites met toegang tot die privĂ©-API’s. Deze sites omvatten de eigen subdomeinen van Opera en domeinen van derden, zoals Instagram, VK en Yandex.
  • Evasive Panda gebruikt nieuwe tool voor het exfiltreren van cloudgegevens: De aan China gelinkte bedreigingsacteur, bekend als Evasive Panda, infecteerde een overheidsinstantie en een religieuze organisatie in Taiwan met een nieuwe post-compromis-toolset met de codenaam CloudScout waarmee gegevens uit Google Drive, Gmail en Outlook kunnen worden gestolen. De activiteit werd gedetecteerd tussen mei 2022 en februari 2023.
  • Operatie Magnus verstoort RedLine en MetaStealer: Een gecoördineerde wetshandhavingsoperatie onder leiding van de Nederlandse Nationale Politie leidde tot de verstoring van de infrastructuur die verband hield met RedLine- en MetaStealer-malware. De inspanning leidde tot het stilleggen van drie servers in Nederland en de inbeslagname van twee domeinen. Tegelijkertijd is een niet nader genoemde persoon gearresteerd en is een Rus genaamd Maxim Rudometov aangeklaagd wegens optreden als een van de ontwikkelaars en beheerders van RedLine Stealer.
  • Windows-downgrade maakt uitvoering van code op kernelniveau mogelijk: Uit nieuw onderzoek is gebleken dat een tool die kan worden gebruikt om up-to-date Windows-software terug te zetten naar een oudere versie, ook kan worden ingezet om een ​​patch voor een Driver Signature Enforcement (DSE)-bypass terug te draaien en niet-ondertekende kerneldrivers te laden, wat leidt tot uitvoering van willekeurige code op een bevoorrecht niveau. Microsoft zei dat het een beveiligingsupdate ontwikkelt om deze dreiging te beperken.

‎️‍🔥 Populaire CVE’s

CVE-2024-50550, CVE-2024-7474, CVE-2024-7475, CVE-2024-5982, CVE-2024-10386, CVE-2023-6943, CVE-2023-2060, CVE-2024-45274, CVE- 2024-45275, CVE-2024-51774

đź“° Rond de cyberwereld

  • Beveiligingsfouten in PTZ-camera’s: Bedreigingsactoren proberen twee zero-day-kwetsbaarheden te misbruiken in pan-tilt-zoom (PTZ) live streaming-camera’s die worden gebruikt in de industrie, de gezondheidszorg, zakelijke conferenties, de overheid, religieuze plaatsen en rechtszalen. Betrokken camera’s gebruiken VHD PTZ-camerafirmware < 6.3.40, die te vinden is in PTZOptics-, Multicam Systems SAS- en SMTAV Corporation-apparaten op basis van Hisilicon Hi3516A V600 SoC V60, V61 en V63. De kwetsbaarheden, bijgehouden als CVE-2024-8956 en CVE-2024-8957, stellen bedreigingsactoren in staat wachtwoorden te kraken en willekeurige besturingssysteemopdrachten uit te voeren, wat leidt tot de overname van apparaten. "Een aanvaller kan mogelijk de volledige controle over de camera overnemen, de videofeeds bekijken en/of manipuleren en ongeautoriseerde toegang krijgen tot gevoelige informatie", aldus GreyNoise. "Apparaten kunnen mogelijk ook in een botnet worden opgenomen en worden gebruikt voor denial-of-service-aanvallen." PTZOptics heeft firmware-updates uitgegeven om deze tekortkomingen te verhelpen.
  • Meerdere kwetsbaarheden in OpenText NetIQ iManager: Er zijn bijna een dozijn fouten onthuld in OpenText NetIQ iManager, een tool voor het beheren van bedrijfsdirectory’s. Sommige daarvan kunnen door een aanvaller aan elkaar worden gekoppeld om pre-authenticatie van externe code uit te voeren, of om een ​​tegenstander met geldige inloggegevens in staat te stellen zijn privileges binnen de organisatie te escaleren. platform en uiteindelijk een post-geauthenticeerde code-uitvoering bereiken. De tekortkomingen zijn verholpen in versie 3.2.6.0300, uitgebracht in april 2024.
  • Phish ‘n’ Ships gebruikt nepwinkels om creditcardgegevens te stelen: Er is vastgesteld dat een ‘uitbreidbaar’ fraudeprogramma genaamd Phish ‘n’ Ships verkeer naar een netwerk van nepwebwinkels leidt door legitieme websites te infecteren met een kwaadaardige lading die verantwoordelijk is voor het maken van valse productvermeldingen en het weergeven van deze pagina’s in de resultaten van zoekmachines. Gebruikers die op deze valse productlinks klikken, worden doorgestuurd naar een frauduleuze website onder controle van de aanvaller, waar ze worden gevraagd hun creditcardgegevens in te voeren om de aankoop te voltooien. De activiteit, die sinds 2019 aan de gang is, zou meer dan 1.000 websites hebben geĂŻnfecteerd en 121 nepwebwinkels hebben gebouwd om consumenten te misleiden. “De bedreigingsactoren gebruikten meerdere bekende kwetsbaarheden om een ​​grote verscheidenheid aan websites te infecteren en valse productvermeldingen op te zetten die bovenaan de zoekresultaten stegen”, aldus HUMAN. “Het afrekenproces loopt vervolgens via een andere webwinkel, die integreert met een van de vier betalingsverwerkers om het afrekenen te voltooien. En hoewel het geld van de consument naar de bedreigingsacteur gaat, zal het artikel nooit aankomen.” Phish ‘n’ Ships heeft enkele elementen gemeen met BogusBazaar, een ander crimineel e-commercenetwerk dat eerder dit jaar aan het licht kwam.
  • Funnull achter zwendelcampagnes en goksites: Funnull, het Chinese bedrijf dat eerder dit jaar de Polyfill(.)io JavaScript-bibliotheek heeft overgenomen, is in verband gebracht met investeringsfraude, nep-handelsapps en verdachte goknetwerken. Het kwaadaardige infrastructuurcluster heeft de codenaam Triad Nexus gekregen. In juli werd het bedrijf betrapt op het plaatsen van malware in polyfill.js die gebruikers doorverwees naar gokwebsites. “Voorafgaand aan de polyfill(.)io supply chain-campagne had ACB Group – het moederbedrijf dat eigenaar is van Funnull’s CDN – een openbare webpagina op ‘acb(.)bet’, die momenteel offline is”, aldus Silent Push. “ACB Group beweert eigenaar te zijn van Funnull(.)io en verschillende andere sport- en gokmerken.”
  • Beveiligingsfouten opgelost in AC-laadcontrollers: Cybersecurity-onderzoekers hebben meerdere beveiligingstekortkomingen ontdekt in de firmware van Phoenix Contact CHARX SEC-3100 AC-laadcontrollers, waardoor een niet-geauthenticeerde aanvaller op afstand het wachtwoord van de gebruikers-app-account kan resetten naar de standaardwaarde, willekeurige scriptbestanden kan uploaden, bevoegdheden kan escaleren en deze kan uitvoeren willekeurige code in de context van root. De

🔥 Hulpbronnen, gidsen en inzichten

🎥 Expertwebinar

Leer de tactieken voor identiteitsexploitatie van LUCR-3 en hoe u deze kunt stoppen — Neem deel aan ons exclusieve webinar met Ian Ahl om de geavanceerde identiteitsgebaseerde aanvalstactieken van LUCR-3 te ontdekken die zich richten op cloud- en SaaS-omgevingen.

Leer praktische strategieën om inbreuken te detecteren en te voorkomen, en uw organisatie te beschermen tegen deze geavanceerde bedreigingen. Mis het niet: registreer u nu en versterk uw verdediging.

🔧 Cyberbeveiligingshulpmiddelen

  • SAIF-risicobeoordeling — Google introduceert de SAIF Risk Assessment, een essentieel hulpmiddel voor cyberbeveiligingsprofessionals om AI-beveiligingspraktijken te verbeteren. Met op maat gemaakte checklists voor risico’s zoals Data Poisoning en Prompt Injection vertaalt deze tool complexe raamwerken naar bruikbare inzichten en genereert hij direct rapporten over kwetsbaarheden in uw AI-systemen, zodat u problemen zoals Model Source Tampering kunt aanpakken.
  • CVEMap — Een nieuwe gebruiksvriendelijke tool voor het navigeren door de complexe wereld van veelvoorkomende kwetsbaarheden en blootstellingen (CVE). Deze opdrachtregelinterface (CLI) vereenvoudigt het verkennen van verschillende databases met kwetsbaarheden, waardoor u eenvoudig informatie over beveiligingsproblemen kunt openen en beheren.

đź”’ Tip van de week

EssentiĂ«le mobiele beveiligingspraktijken die u nodig heeft – Om robuuste mobiele beveiliging te garanderen, moet u prioriteit geven aan het gebruik van open-source-apps die zijn doorgelicht door cyberbeveiligingsexperts om verborgen bedreigingen te beperken. Maak gebruik van netwerkmonitoringtools zoals NetGuard of AFWall+ om aangepaste firewallregels te maken die beperken welke apps toegang hebben tot internet, zodat alleen vertrouwde apps kunnen worden verbonden. Controleer app-machtigingen met geavanceerde tools voor machtigingsbeheer die zowel achtergrond- als voorgrondtoegangsniveaus onthullen. Stel een DNS-resolver in, zoals VolgendeDNS of Vierde9 om kwaadaardige sites en phishing-pogingen te blokkeren voordat ze uw apparaat bereiken. Gebruik voor veilig browsen privacygerichte browsers zoals Firefox-focus of Moedigdie standaard trackers en advertenties blokkeren. Houd apparaatactiviteitslogboeken bij met tools zoals Syslog-viewer om ongeautoriseerde processen of mogelijke gegevensexfiltratie te identificeren. Maak gebruik van veilige app-sandboxen, zoals Eiland of Schuilplaatsom apps te isoleren waarvoor risicovolle machtigingen nodig zijn. Kies voor apps die onafhankelijke beveiligingsaudits hebben ondergaan en gebruik VPN’s die zijn geconfigureerd met Draadbeschermer voor gecodeerde netwerkverbindingen met lage latentie. Update uw firmware regelmatig om kwetsbaarheden te verhelpen en overweeg het gebruik van een mobiel besturingssysteem met beveiligingsverhogende functies, zoals GrafeenOS of LineageOSom uw aanvalsoppervlak te beperken en u te beschermen tegen veelvoorkomende exploits.

Conclusie

En dat is het einde van de cyberavonturen van deze week! Gek, toch? Maar hier is een verbijsterend feit: wist u dat er elke 39 seconden ergens ter wereld een nieuwe cyberaanval plaatsvindt? Blijf scherp daar! En wil je een echte cyber-ninja worden, kijk dan op onze website voor het laatste hackernieuws. Tot volgende week! đź‘‹

Thijs Van der Does