Jeśli ktoś pasjonuje się cyberbezpieczeństwem, najpewniej słyszał o MITRE. CVE, czy program ATT&CK – za nimi właśnie stoi wspomniana korporacja. Co się wydarzyło? MITRE relacjonuje akcję niemal na jednym wydechu: ❌ Atakujący użyli dwóch podatności 0day w systemie VPN Ivanti (patrz też: zhackowana amerykańska agencja odpowiedzialna za cyberbezpieczeństwo (CISA). Zaatakowali…
Czytaj dalej »
Jak donosi Bleeping Computer, Narodowa Służba Wywiadowcza Korei Południowej ostrzega przed północnokoreańskimi cyberprzestępcami, którzy za cel obrali sobie producentów półprzewodników. Nic dziwnego, są to w końcu zasoby kluczowe w wyścigu o dominację w świecie AI czy przetwarzania danych. Liczba ataków z motywem szpiegowskim w tle wzrosła w drugiej połowie 2023…
Czytaj dalej »
Wybuch konfliktu na Ukrainie to nie tylko działania kinetyczne. W cyberprzestrzeni obserwować możemy wzmożoną działalność grup, zwłaszcza tych rosyjskich. Oprócz oczywistych celów, jakimi są infrastruktury wojskowe i krytyczne, operacje grup powiązanych z rosyjskim rządem skierowane są przeciwko organizacjom wspierającym Ukrainę. Cisco Talos opisuje ślady grupy Turla (znanej też jako ATK13,…
Czytaj dalej »
Jeśli ktoś chce od razu przejść do raportu – oto link. Rozpoczyna się on dość niepokojąco: sponsorowani przez państwo hackerzy z Chińskiej Republiki Ludowej implantują się w sieciach IT, przygotowując się na zakłócające/niszczycielskie cyberataki na infrastrukturę krytyczną USA – w przypadku poważnego kryzysu lub konfliktu ze Stanami Zjednoczonymi. People’s Republic…
Czytaj dalej »
Aktywność grup APT ostatnimi czasy jest bardzo zauważalna. Wspomnieć wystarczy chociażby ataki na Microsoft, w których atakujący celowali w skrzynki mailowe pracowników. Poczta elektroniczna nie bez powodu staje się częstym celem działań wywiadowczych. Informacje zawarte w skrzynkach pocztowych mogą mieć kluczowe znaczenie dla operacji firmy czy nawet działania państwa. Konta…
Czytaj dalej »
Niedawno informowaliśmy o podobnej historii z Microsoftem – czytaj: rosyjska grupa APT uzyskała dostęp do treści emaili części pracowników Microsoftu. W tym szefów działów cybersecurity. W tym miejscu z kolei czytamy, że HPE zgłosił w grudniu 2023 incydent bezpieczeństwa. Mowa jest o rosyjskiej grupie APT oraz nieautoryzowanym dostępie do cloudowego…
Czytaj dalej »
Zacznijmy… od początku. Kyivstar to największy operator GSM na Ukrainie posiadający około 24 milionów klientów. W połowie grudnia 2023 użytkownicy nagle stracili możliwość wykonywania rozmów telefonicznych, pojawiły się również gigantyczne problemy z dostępem do mobilnego Internetu. Powód? Cyberatak: Tak wyglądała dostępność internetu oferowanego przez Kyivstar: Co się dzieje w takiej…
Czytaj dalej »
ESET donosi o zaawansowanej kampanii hackerskiej przeprowadzonej prawdopodobnie przez grupę Lazarus (Korea Północna), a wycelowanej w kompanię z branży lotniczej w Hiszpanii (aerospace company in Spain). Zaczęło się od celowanego phishingu, w którym atakujący podszyli się pod rekrutera z firmy META (dla przypomnienia – to ta ekipa stojąca m.in. za…
Czytaj dalej »
Jeśli ktoś chce poznać rozmaite detale techniczne dotyczące tytułowej kampanii, polecam lekturę tego opracowania (Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) Exploited Globally by Aggressive and Skilled Actor, Suspected Links to China). Od strony technicznej mamy tutaj podatność w urządzeniu – bramce pocztowej – Barracuda Email Security Gateway (ESG). Jak doświadczeni hackerzy…
Czytaj dalej »
Całość wygląda na dość szerokie działanie. Zobaczcie tylko z jakich sektorów pochodzą „trafione” organizacje: the affected organizations span the communications, manufacturing, utility, transportation, construction, maritime, government, information technology, and education sectors. Observed behavior suggests that the threat actor intends to perform espionage and maintain access without being detected for as…
Czytaj dalej »
Zbackdoorowany TP-link wygląda prawie tak samo jak niezbackdorowany TP-link ;) Mniej enigmatycznie – badacze z Checkpointa przeanalizowali podstawione firmware-y, które różniły się od tych prawdziwych niewielkimi detalami. Tzn. od strony bezpieczeństwa detale te są dość znaczące – możliwość zdalnego dostępu przez atakujących na urządzenie (dostęp root) czy możliwość przepuszczania komunikacji…
Czytaj dalej »
Eset donosi o kampanii cyberataków organizowanych przez północnokoreańską grupę APT. Ta sama grupa została wskazana jako ekipa która wbiła się niedawno do infrastruktury firmy 3CX oraz zainfekowała ich klientów. Tym razem skupmy się chwilę na kampanii fałszywych rekrutacji na LinkedIN. Po krótkiej zaczepce atakujący może wysłać takie wymagania w PDF:…
Czytaj dalej »
Raport omawiający całą kampanię możecie zobaczyć tutaj (nie zapomnijcie też o technicznych załącznikach na samym końcu). Akcja zaczyna się od… (niespodzianka) phishingu kierowanego na konkretne organizacje (tzw. spear phishing) – np.: Akurat ten mail prowadzi do złośliwego załącznika, który osadzony jest na zewnętrznym serwisie. Sam serwis należy do firmy X…
Czytaj dalej »
Nowy research od Mandianta nosi nieco enigmatyczny tytuł: Turla: A Galaxy of Opportunity. W opisie mamy całkiem sporo technicznych zawiłości, ale warto zwrócić uwagę na trzy elementy: Rosyjska grupa wykonuje dość precyzyjny dobór celów. In this case, the extensive profiling achieved since January possibly allowed the group to select specific…
Czytaj dalej »
Pomimo, że w badacze z CTU publicznie ujawnili taktyki, techniki i wewnętrzne procedury grupy jeszcze w maju 2022 r. to do dzisiaj wykazują oni wiele powtarzalnych zachowań. Rys. 1. Ujawniona aktywność grupy COBALT MIRAGE, źródło. Przestępcy jednak próbowali usunąć ślady swoich działań poprzez likwidację webshelli, logów oraz narzędzi. Jednak kilka…
Czytaj dalej »
