.
Em resumo Cuidado, pesquisadores de segurança cibernética: suspeitos de hackers apoiados pela Coreia do Norte estão atacando novamente membros da comunidade de segurança da informação, de acordo com o Grupo de Análise de Ameaças (TAG) do Google.
Tal como aconteceu em 2021, quando a TAG fez um reivindicação semelhante, supostos agentes norte-coreanos estão a contactar os alvos usando as redes sociais para construir relacionamento antes de moverem os alvos para serviços seguros como Signal ou WhatsApp. Como também aconteceu em 2021, o Google não ofereceu explicações ou conclusões.
“Depois que um relacionamento foi desenvolvido com um pesquisador-alvo, os agentes da ameaça enviaram um arquivo malicioso que continha pelo menos um dia 0 em um pacote de software popular”, pesquisadores do TAG escreveu. O Google não mencionou o fornecedor afetado, mas disse que esforços estão em andamento para implantar um patch.
Segundo o Google, o shellcode no arquivo malicioso coleta informações sobre os sistemas afetados e as envia de volta aos servidores C2. “O shellcode usado nesta exploração é construído de maneira semelhante ao shellcode observado em explorações norte-coreanas anteriores”, explicou TAG.
Mas espere – há mais.
O Google tem um aviso adicional a entregar: os atores da ameaça também desenvolveram uma ferramenta autônoma para Windows que pode atrair a comunidade de segurança da informação. Na superfície, dbgsymbol [Github link https://github[.]com/dbgsymbol/ fornecido para visibilidade – não baixe isto]é usado para baixar informações de símbolos de depuração de várias fontes –– útil para depurar problemas em binários ou fazer pesquisas de vulnerabilidades.
“A ferramenta também tem a capacidade de baixar e executar código arbitrário de um domínio controlado pelo invasor”, alertou a TAG. Embora não inclua qualquer descrição do que dbgsymbol pode ter sido usado para download, o Google recomenda que qualquer pessoa que tenha baixado ou executado a ferramenta “garanta que seu sistema esteja em um estágio limpo conhecido, provavelmente exigindo uma reinstalação do sistema operacional”.
Desculpe – acho que esses planos de fim de semana foram feitos para vocês, downloaders aleatórios e azarados de projetos do GitHub.
Vulnerabilidades críticas: explorações ativas em movimento
Se foi uma semana tranquila para explorações recém-descobertas e criticamente perigosas, então os agentes da ameaça não entenderam a mensagem. Houve muitas explorações ativas abordadas esta semana.
Em primeiro lugar, a segurança mensal do Android do Google atualizações de setembro foram lançadas, abordando diversas vulnerabilidades críticas e uma que pode estar sob exploração ativa. CVE-2023-35674 é um problema na estrutura do Android e pode ser usado para escalonamento de privilégios sem a necessidade de interação do usuário.
A CISA, o FBI e a Força Missionária Nacional Cibernética consideraram adequado emitir um aviso esta semana, vários atores de ameaças do Estado-nação estiveram ativos explorando um par de vulnerabilidades no Fortinet firewalls e Zoho GerenciarEngine software para “expandir o acesso direcionado à rede, servir como infraestrutura maliciosa ou uma mistura de ambos”. Patch e monitor, recomendam os grupos.
Apache RocketMQ, um serviço de mensagens e streaming de código aberto desenvolvido pela Alibaba, está tendo uma vulnerabilidade de execução remota de código ativamente explorado também, e um patch está disponível.
Quanto às vulnerabilidades sinalizadas recentemente:
- CVSS 10.0 – Vários CVEs: O firmware do portal web para os sistemas MODULYS GP UPS da Socomec contém uma verdadeira cesta de vulnerabilidades que podem permitir que um invasor faça todo tipo de coisas maliciosas.
- CVSS 10.0 – CVE-2023-20238: Uma vulnerabilidade na implementação de logon único (SSO) da Cisco BroadWorks Application Delivery Platform e da Cisco BroadWorks Xtended Services Platform pode permitir que um invasor remoto não autenticado forje as credenciais necessárias para acessar um sistema afetado.
- CVSS 9.8 – Vários CVEs: O software de servidor de imagens de saúde MedDream PACS contém um par de vulnerabilidades que, se encadeadas, podem permitir que um invasor vaze credenciais ou execute código arbitrário.
- CVSS 9.6 – Vários CVEs: Os roteadores de telecomunicações e o software cliente em nuvem da Phoenix Contact contêm uma série de vulnerabilidades que podem ser exploradas para causar negação de serviço ou execução de código nos navegadores dos usuários.
- CVSS 9.1 – Vários CVEs: O console web dos dispositivos de gerenciamento de tanques MAGLINK LX da Dover Fueling Solutions contém uma cadeia de vulnerabilidades que pode dar a um invasor acesso total a sistemas vulneráveis.
DoJ agradece à Verizon por sua negligência com multa reduzida
A Verizon pode ter enfrentado o fato de não proteger adequadamente os dispositivos da Administração de Serviços Gerais (GSA) conectados a redes públicas e de não cumprir os termos de um contrato de cinco anos, mas aceitou.
Em troca, o Departamento de Justiça decidiu manter a multa em apenas US$ 4 milhões e troco, muito obrigado. “Os Estados Unidos reconheceram que a Verizon tomou uma série de medidas significativas que lhe conferem crédito pela cooperação com o governo”, disse o DoJ. disse.
O Managed Trusted Internet Protocol Service da Verizon, ou MTIPS, foi usado pela GSA de 2017 a 2021, período durante o qual os federais alegam que a empresa de telecomunicações “não satisfez completamente três controles de segurança cibernética exigidos para conexões confiáveis de Internet”.
A Verizon denunciou-se quando percebeu que havia deixado a bola cair, “cooperou com a investigação do governo sobre as questões e tomou medidas corretivas imediatas e substanciais”, declarou o DoJ.
Em troca da sua cooperação (e da não admissão de responsabilidade, naturalmente), a Verizon consegue desembolsar apenas 0,08% do seu lucro líquido em 2º trimestre de 2023 – e esse foi um trimestre negativo.
Malvertising no Mac
Os pesquisadores do Malwarebytes descoberto uma campanha publicitária carregada de malware nos resultados de pesquisa do Google que está lançando uma ampla rede ao atingir dispositivos Windows e Mac.
O malware da Apple – que é o recurso interessante desta campanha – é uma variante do malware Atomic Stealer que surgiu no início deste ano. Nesse caso, é um malware executado e executado que rouba senhas, dados de chaves, registros de preenchimento automático, cookies, arquivos e informações de carteiras criptografadas.
Curiosamente, esta “variante” específica ainda vem com instruções sobre como abri-la de uma maneira que contorne o macOS Gatekeeper, que realiza verificações de tempo de execução para eliminar possíveis executáveis maliciosos.
Resumindo, como todos os bons malwares para sistemas operacionais comercialmente disponíveis e bloqueados, como macOS, iOS ou Android, este exige que as vítimas sejam vítimas de uma tentativa de phishing por meio de publicidade maliciosa e de avisos questionáveis. ®
.
