Wiadomości z ciemnej strony 15.01.2025

Wiadomości z ciemnej strony 15.01.2025

Nowo odkryta krytyczna luka w zabezpieczeniach urządzeń Ivanti Connect Secure jest wykorzystywana jako luka typu zero-day od połowy grudnia 2024 r.
Według firmy Mandiant, należącej do Google, luka została wykorzystana do wdrożenia ekosystemu złośliwego oprogramowania SPAWN – instalatora SPAWNANT, narzędzia tunelującego SPAWNMOLE i backdoora SPAWNSNAIL SSH – a także dwóch innych wcześniej nieudokumentowanych rodzin szkodliwego oprogramowania o nazwach DRYHOOK i PHASEJAM.
Istnieje prawdopodobieństwo, że za tą luką stoją liczne grupy cyberprzestępcze, w tym powiązana z Chinami grupa UNC5337.

Cyberprzestępcy aktywnie próbują wykorzystać niedawno ujawnioną lukę CVE-2024-52875 w zabezpieczeniach wpływającą na zapory GFI KerioControl, która w przypadku pomyślnego wykorzystania mogłaby umożliwić hakerom zdalne wykonanie kodu (RCE). Próby wykorzystania luki rozpoczęły się około 28 grudnia 2024 r.

Dostawcy usług internetowych (ISP) i podmioty rządowe na Bliskim Wschodzie zostały zaatakowane przy użyciu zaktualizowanej wersji złośliwego oprogramowania EAGERBEE (znanej również jako Thumtais). Program może zarządzać procesami, utrzymywać połączenia zdalne, zarządzać usługami systemowymi i wyświetlać połączenia sieciowe itp.

Państwa w południowo-wschodniej Azji padły ofiarą ataków Mustang Panda zorganizowanej grupy przestępczej powiązanej z Chinami. Ataki obejmują użycie plików Windows Shortcut (LNK), Windows Installer (MSI) i Microsoft Management Console (MSC), prawdopodobnie dystrybuowanych za pośrednictwem spear-phishingu, jako pierwszego etapu komponentu uruchamiającego łańcuch infekcji, co ostatecznie prowadzi do wdrożenia PlugX przy użyciu technik bocznego ładowania DLL.

Telegram, po tym jak został aresztowany CEO Pavlo Durov, częściej udostępnia dane użytkowników na żądanie organów ścigania. Indie, Niemcy, USA, Francja, Brazylia, Korea Południowa, Belgia, Hiszpania, Polska i Włochy znalazły się w pierwszej dziesiątce krajów z największą liczbą żądań. Telegram obiecał wprowadzić działania naprawcze wynikające z braku nadzoru i nadużywania platformy do nielegalnych działań. Zobowiązał się również do udostępniania adresów IP i numerów telefonów użytkowników, którzy naruszają zasady. Pomimo zmian w polityce Telegram nadal jest głównym centrum cyberprzestępców, którzy prowadzą swoje operacje ze względu na swoją „ugruntowaną” bazę użytkowników i funkcjonalność. Chociaż Signal, Discord i inne alternatywne platformy są wykorzystywane przez cyberprzestępców, nie wydaje się, aby w przyszłości całkowicie zastąpiły Telegram.

Popularne aplikacje Windows takie jak curl.exe, excel.exe, openssl.exe, plink.exe, tar.exe i wget.exe podatne są no nowy typ ataku WorstFit, który wykorzystuje wbudowaną w system Windows funkcję konwersji znaków zwaną Best-Fit. Tajwańska firma zajmująca się cyberbezpieczeństwem DEVCORE stwierdziła, że ​​konwersja Best-Fit została zaprojektowana w celu obsługi sytuacji, w których system operacyjny musi przekonwertować znaki z UTF-16 na ANSI. Zanim Microsoft dokona napraw, deweloperom zaleca się wycofanie z ANSI i przejście na API Wide Character.


15.01.2025
źródło: HackerNews

krytyczna luka w zabezpieczeniach,Ivanti Connect Secure,luka typu zero-day,cyberprzestępcy,zapory GFI KerioControl,złośliwe oprogramowanie,Mustang Panda, Telegram,critical vulnerability,zeroday vulnerability,cybercriminals,GFI KerioControl firewalls,malware, kritische Sicherheitslücke, Zero-Day-Sicherheitslücke, Cyberkriminelle, GFI Kerio Control Firewall, Malware