Na první pohled.
Nerbian RAT je venku.
Proofpoint popisuje, ve zprávě vydané dnes ráno, popisuje nový, OS-agnostický RAT napsaný ve stále populárnějším jazyce Go. Výzkumníci to nazývají „Nerbian“ a říkají, že „využívá více antianalytických komponent rozmístěných v několika fázích, včetně více otevřených knihoven“.
Závislosti NPM využívány, ale k čemu?
Společnost Reversing Labs včera blogovala o zmatku v závislosti na NPM, který byl nedávno zneužit při útocích proti velkým německým firmám. "Zdá se, že nové balíčky npm objevené minulý týden ReversingLabs cílí na velký německý mediální konglomerát a také na významného železničního a logistického operátora. Balíčky jsou podobné těm, které objevili výzkumníci z firmy Snyk a zveřejnili koncem dubna." Není jasné, kdo stál za útoky, jaké byly jejich cíle nebo dokonce jak byly úspěšné, ale zdá se jasné, že útoky NPM jsou rozšířenější, než se dosud věřilo. jFrog, který incidenty také sleduje, vidí podobnou nejednoznačnost a myslí si, že útoky by mohly být dílem buď sofistikovaného aktéra hrozeb, nebo neobvykle agresivního penetračního testera.
Poradenství od CISA a jejích partnerů.
Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) včera vydala šest bezpečnostních doporučení pro průmyslový řídicí systém (ICS). Poradenství zahrnují Adminer in Industrial Products, Eaton Intelligent Power Protector, Eaton Intelligent Power Manager Infrastructure, Eaton Intelligent Power Manager, AVEVA InTouch Access Anywhere a Plant SCADA Access Anywhere a Mitsubishi Electric MELSOFT GT OPC UA.
CISA také přidala dvě zranitelnosti do svého katalogu známých zneužitých zranitelností: Microsoft Windows LSA Spoofing Vulnerability (která „obsahuje zranitelnost spoofingu, kdy útočník může přinutit řadič domény, aby se ověřil útočníkovi pomocí NTLM“) a F5's BIG-IP Missing Authentication. Chyba zabezpečení (která „obsahuje chybějící ověření ve zranitelnosti kritické funkce, která může umožnit vzdálené spuštění kódu, vytváření nebo mazání souborů nebo deaktivaci služeb“). Americké federální civilní agentury mají čas do 1. června řešit první, do 31. května řešit druhé. Institut SANS zveřejnil podrobnější studii problému BIG-IP, kterému se F5 věnovala v aktualizaci minulý týden.
A, znepokojeno rostoucí hrozbou pro poskytovatele spravovaných služeb (MSP), vydalo Five Eyes společné upozornění s radami pro MSP a jejich zákazníky, jak předcházet kybernetickým útokům vedeným proti MSP a jejich prostřednictvím a reagovat na ně.
The following section pertains directly to the cyber phases of Russia's hybrid war against Ukraine. CyberWire's continuing coverage of the unfolding crisis in Ukraine may be found here.
Více připisování kybernetického útoku Viasat Rusku.
Včera jsme viděli, že Evropská unie formálně připsala kybernetický útok proti síti KA-SAT společnosti Viasat, ke kterému došlo hodinu před zahájením bojových operací proti Ukrajině, Rusku. Ostatní spojenecké vlády toto přisouzení rychle podpořily.
Americké ministerstvo zahraničí poté, co upozornilo na ruské používání malwaru stěračů ve své kybernetické přípravě, uvedlo: „Dnes na podporu Evropské unie a dalších partnerů Spojené státy veřejně sdílejí své hodnocení, že Rusko koncem února zahájilo kybernetické útoky. proti komerčním družicovým komunikačním sítím s cílem narušit ukrajinské velení a řízení během invaze a tyto akce měly dopad na další evropské země. Tato činnost znemožnila terminály s velmi malým otvorem na Ukrajině a v celé Evropě. To zahrnuje desítky tisíc terminálů mimo Ukrajinu, které , mimo jiné podporovat větrné turbíny a poskytovat internetové služby soukromým občanům.“
Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) aktualizovala své varování ze 17. března (AA22-076A) „Posílení kybernetické bezpečnosti poskytovatelů a zákazníků sítí SATCOM“, aby vysvětlila, že hrozba pro sítě SATCOM, před kterou varovali, byla skutečně ruskou hrozbou.
Atribuce, kterou nabízí britská NCSC, je konkrétnější: volá „Ruská vojenská rozvědka, GRU, jako organizace odpovědná za kybernetické útoky. Estonsko je stejně konkrétní: „[Můžu] s vysokou jistotou konstatovat, že GRU byla za Tyto útoky." Britská vláda také vidí, jak vysvětluje Telegraph, kybernetické útoky proti německému sektoru větrných turbín jako vedlejší výhodu přípravné palby namířené proti ukrajinskému internetu. Britský ministr zahraničí i ministr zahraničí USA to zdůraznili bez rozdílu aspekt ruského kybernetického útoku.
Kanada ve společném prohlášení ministrů zahraničních věcí, národní obrany a veřejné bezpečnosti ruský útok odsoudila. „Kanada soudí, že za tímto incidentem stála ruská armáda. Ruská nelegální invaze na Ukrajinu, její zákeřná kybernetická aktivita a jeho hrozivé dezinformační kampaně jsou nepřijatelné a musí se zastavit.“ Ministři přidali krátkou lekci z historie, aby dali útok do kontextu toho, co americké ministerstvo zahraničí nazvalo „ruskou příručkou“: "Tento nejnovější incident podtrhuje vzorec rušivých kybernetických aktivit, které demonstrují opakované ignorování mezinárodního řádu založeného na pravidlech. Tato aktivita také demonstruje ochotu Ruska používat své kybernetické schopnosti nezodpovědně."
Australští ministři zahraničních věcí, obrany a vnitra se soustředili na to, jak Rusko využívá kybernetické útoky jako přípravu na bojový prostor: „Dnes se připojujeme k USA a EU a připisujeme ruské vládě následující aktivitu... Tyto nepřijatelné aktivity jsou dalšími příklady Nevybíravý přístup Moskvy ke kybernetickým operacím a nehorázné přehlížení dopadů takových operací na veřejnost, a to i prostřednictvím komerčního sektoru.“ A prohlášení dodává Moskvě ostrou připomínku: "Austrálie je odhodlána uvalovat náklady na státem založené nebo státem sponzorované zlomyslné aktéry, kteří se snaží podkopat otevřený, svobodný, bezpečný a zabezpečený kyberprostor."
To, že další útoky musí být považovány za přinejmenším možné, možná pravděpodobné, je závěr, který lze vyvodit z pokrytí kybernetického útoku na terminály Viasat ze strany MIT Technology Review. Rusové proti systémům použili stěrač AcidRain a AcidRain je pozoruhodný svou přizpůsobivostí pro všeobecné použití. Technology Review cituje výzkumníka SentinelOne Andrese Guerrero-Saadeho, který říká: „Co je na AcidRaid velmi znepokojivé, je to, že zrušili všechny bezpečnostní kontroly. U předchozích stěračů si Rusové dávali pozor, aby se spouštěli pouze na konkrétních zařízeních. Teď jsou ty bezpečnostní kontroly pryč a jsou násilné. Mají schopnost, kterou mohou znovu použít. Otázkou je, jaký útok dodavatelského řetězce uvidíme příště?