.
Em resumo O grupo avançado de ameaças persistentes (APT) Budworm mudou de alvo depois de atingir o Oriente Médio, Europa e Ásia, e foi pego esta semana tentando invadir os sistemas de uma legislatura estadual dos EUA sem nome.
Equipe de caçadores de ameaças da Symantec relatado a invasão, dizendo que tem todas as características de um ataque da gangue Budworm ligada à China, que se acredita ser patrocinada pelo Estado.
A principal ferramenta da Budworm é conhecida como HyperBro, mas foi flagrada abusando de várias ferramentas de segurança legítimas recentemente, disse a Symantec, incluindo o uso do software de gerenciamento de privilégios de endpoint CyberArk Viewfinity, ferramenta de teste de penetração Ataque de Cobaltoferramenta de coleta de credenciais LaZagne, ferramenta de proxy e encaminhamento de porta IOX, Fast Reverse Proxy e Fscan.
“O Budworm é conhecido por montar ataques ambiciosos contra alvos de alto valor”, disse a Symantec, apontando como evidência os ataques contra um governo anônimo do Oriente Médio e um hospital do Leste Asiático.
Embora não tenha incluído detalhes desses incidentes, a Symantec vinculou a um relatório da Agência de Segurança Cibernética e Infraestrutura (CISA) sobre um Campanha APT contra um empreiteiro de defesa dos EUA não identificado no início deste ano. A CISA observa que o HyperBro foi usado no ataque, o que significa que é provável que o grupo estivesse envolvido – mas não estava agindo sozinho.
“Durante as atividades de resposta a incidentes, a CISA descobriu que provavelmente vários grupos de APT comprometeram a rede da organização, e alguns atores de APT tiveram acesso de longo prazo ao ambiente”, disse a agência.
Isso não é uma grande notícia, como a Symantec vê: com dois alvos americanos de alto valor atacados em poucos meses, “a retomada dos ataques contra alvos baseados nos EUA pode sinalizar uma mudança de foco para o grupo”.
O senador Warren soa o Zelle’arm, envergonha os bancos por fraude EFT
A senadora norte-americana Elizabeth Warren (D-MA) diz que os grandes bancos estão ignorando a crescente fraude na plataforma de pagamentos online Zelle que eles administram e não estão reembolsando os usuários que são vítimas de golpes.
Se você não ouviu falar de Zelle, você não está sozinho – o concorrente Venmo em apuros é de propriedade do Bank of America, Truist, Capital One, JPMorgan Chase, PNC Bank, US Bank e Wells Fargo. Agora o senador está reivindicando o sistema está vendendo a descoberto aos consumidores.
De acordo com os dados de Warren, que ela disse terem sido fornecidos por quatro dos sete bancos do consórcio a pedido em setembro, as reivindicações de fraude na plataforma ultrapassaram US$ 90 milhões (£ 80,5 milhões) em 2020 e estavam a caminho de ultrapassar US$ 255 milhões (£ 228 milhões) até o final de 2022.
Para piorar a situação, Warren disse que os bancos relataram apenas 9,6 por cento dos pedidos de fraude, totalizando apenas US$ 2,9 milhões.
Zele, por outro lado, disse que 99,9 por cento das transações em sua rede são enviadas sem relatórios de fraude ou fraude e que “qualquer análise externa feita é incompleta e não reflete os esforços e dados relatados por mais de 1.700 instituições financeiras na Rede Zelle”.
Airtag ajuda a descobrir lixeira democrata
Um bandido de placa de gramado político da Pensilvânia foi frustrado graças ao uso inteligente de um Apple Airtag.
Enquanto o suspeito continua foragido, a deputada estadual democrata da Pensilvânia Melissa Shusterman tuitou que um rastreador da Apple era exatamente o que era necessário para tornar os esforços do ladrão um exercício em vão.
“Os republicanos locais pensaram que poderiam jogar fora [Josh Shapiro], [Chrissy Houlahan], e meus sinais sem ser pego. Por sorte, um membro da comunidade colocou uma etiqueta de ar em um [of] as placas e isso nos levou a esta lixeira”, Shusterman twittou junto com uma foto de uma lixeira cheia de placas de campanha.
Agentes da lei em Tredyffrin Township, PA, disse eles estavam revisando imagens de vídeo de um caminhão parando na lixeira e alguém descarregando as placas. Os oficiais também alegaram que não havia filiação partidária entre os encontrados no lixo, mas um ex-membro do comitê democrata que relatou ter retirado 118 cartazes da lixeira disse que todos eram para candidatos democratas, com os sinais do candidato ao Senado dos EUA John Fetterman também encontrados em o lixo.
Implacável, Shusterman disse que os itens foram recuperados e que os trabalhadores da campanha estavam em vigor. “O dobro da quantidade de sinais vai voltar”, ela tuitou.
Fortinet triple-whammy CVE recebe PoC, explicação de mergulho profundo
Uma falha crítica no FortiOS, FortiProxy e FortiSwitchManager da Fortinet foi corrigida, mas para aqueles de natureza curiosa, a empresa de segurança Horizon3.ai lançou um prova de conceito para o exploit, bem como explicar como ele funciona.
Como Strong The One relatado no início desta semana, o bug pode permitir que “um invasor não autenticado execute operações na interface administrativa por meio de solicitações HTTP ou HTTPS especialmente criadas”, mas agora temos uma melhor compreensão do que aconteceu.
Ao executar um comando diff em versões vulneráveis e corrigidas do FortiOS, Horizon3.ai escreveu em seu mergulho profundoele encontrou algumas strings no binário init do instalador que apontavam para cabeçalhos no arquivo NodeJs do instalador.
“Esse binário de inicialização é bastante grande e parece ter muitas funcionalidades, incluindo ganchos e manipuladores do Apache para vários pontos de extremidade da API REST de gerenciamento”, observou Horizon3.ai.
Para encurtar a história: esses cabeçalhos encaminhados podem ser abusados por um invasor para definir o IP do cliente como 127.0.0.1, o que engana o agente de autenticação de acesso confiável e dá ao invasor a capacidade de executar solicitações de API, sem necessidade de autenticação.
“Um invasor pode usar essa vulnerabilidade para fazer praticamente tudo o que quiser no sistema vulnerável”, observou Horizon3.ai, incluindo adicionar novos usuários, alterar configurações de rede e outras atividades maliciosas.
Más notícias: os pesquisadores disseram que isso não é novo e que notaram “uma tendência entre as vulnerabilidades de software corporativo descobertas recentemente, em que os cabeçalhos HTTP são validados incorretamente ou excessivamente confiáveis”.
Instale esses patches, pessoal. ®
.
