A közelmúltban napvilágra került támadás, amely a Salesloft és a Drift integrációját érintette, több nagy technológiai céget is célba vett. A támadás során a célpontok között a Cloudflare is szerepelt, amely nyíltan elismerte érintettségét, és részletesen ismertette az események következményeit. A Cloudflare vizsgálata megerősítette, hogy a támadók illetéktelenül hozzáfértek ügyféltámogatási jegyekhez és több mint száz Cloudflare API-tokenhez.
Egy izraeli infrastruktúrát és vállalati szektort érő új, célzott kibertámadási kampányt tárt fel a Fortinet FortiGuard Labs. A támadás rendkívül kifinomult, kizárólag Windows rendszereken keresztül zajlik, és PowerShell szkripteken alapul. A kampány fő célja az adatszivárogtatás, a tartós megfigyelés és a hálózaton belüli laterális mozgás biztosítása a kompromittált rendszerekben.
Az AhnLab Security Intelligence Center (ASEC) legfrissebb jelentése szerint dél-koreai felhasználók körében újra aktivizálódtak azok a kampányok, amelyek célja a proxyware típusú kártevők terjesztése megtévesztő hirdetéseken keresztül. Ezek az eszközök nem a hagyományos értelemben vett vírusok, hanem erőforrás-kihasználó szoftverek, amelyek engedély nélküli sávszélesség-megosztásra épülnek, jelentős bevételt termelve a támadók számára.
Több mint egy évvel az XZ Utils backdoor incidens felfedezése után egy új kutatás rávilágított, hogy még mindig elérhetőek fertőzött Docker képfájlok a Docker Hubon. Ráadásul ezek közül több olyan is létezik, amelyeket más képfájlok alapjául használtak fel, így a fertőzés transzitív módon továbbterjedhetett a konténeres ökoszisztémában.
Egy közelmúltbeli biztonsági incidens vizsgálata során az NCC Group digitális kriminalisztikai és incidenskezelési (DFIR) csapata egy rendkívül gyors és kifinomult social engineering támadásra hívta fel a figyelmet, amely során a támadók kevesebb mint öt perc alatt vették át az irányítást egy vállalati hálózat felett. A támadás kiindulópontja az volt, hogy az elkövetők IT-támogatónak adták ki magukat, és célzottan körülbelül húsz alkalmazottat kerestek meg.
A Microsoft Threat Intelligence legfrissebb megfigyelései alapján egy orosz állami háttérrel működő kampány célozza a Moszkvában működő diplomáciai szervezeteket. A kampány során az AiTM technikát használták fel az ApolloShadow nevű egyedi rosszindulatú szoftver telepítéséhez.
Július 28-án súlyos kibertámadás bénította meg az orosz állami légitársaság, az Aeroflot IT-infrastruktúráját. A támadás következményeként több mint 7 ezer szerver és munkaállomás semmisült meg, és az informatikai hálózat gyakorlatilag teljesen összeomlott. A támadás mögött a „Silent Crow” és a „Cyber Partisans BY” nevű hackercsoportok állnak. Előbbiek korábban is hajtottak már végre oroszországi infrastruktúrák elleni támadásokat.
A támadók egyre gyakrabban használják ki az OpenAI Sora, egy fejlett videó generáló mesterséges intelligencia modell népszerűségét, hogy rosszindulatú szoftvereket terjesszenek. A támadás során egy “SoraAI.lnk” nevű, hitelesnek tűnő parancsikont használnak, amely a Sora márkajegyeit felhasználva próbálja megtéveszteni a felhasználókat, hogy elindítsanak egy több lépésből álló támadási láncot.
A Socket biztonsági kutatócsapata egy újabb, kifejezetten aggasztó fenyegetésre hívta fel a figyelmet: egy imad213 nevű rosszindulatú Python-csomag jelent meg, amely Instagram felhasználók biztonságát veszélyezteti, miközben hamisan követőnövelő eszközként tünteti fel magát.
A COVID-19 világjárvány hatására az olyan kollaboratív eszközök, mint a Microsoft Teams, a Zoom és a WebEx elengedhetetlenné váltak a távoli munkavégzéshez, lehetővé téve a zökkenőmentes kommunikációt a kollégákkal és ügyfelekkel. Azonban ezen eszközök széles körű elterjedése egyben vonzó célponttá is tette őket a kiberbűnözők számára mind a mai napig.
A Positive Technologies biztonsági szakértői által feltárt Phantom Enigma névre keresztelt kampány egy rendkívül összetett támadássorozat, mely elsősorban a brazil felhasználókat célozza meg, de világszerte is hatással van különböző szervezetekre. A támadás két szinten történik: rosszindulatú böngészőbővítmények és távoli hozzáférési eszközök (RAT) együttes alkalmazásával, mint a Mesh Agent és a PDQ Connect Agent.
A Checkmarx Zero kutatója, Ariel Harush, egy összetett és kifinomult rosszindulatú csomagkampányt tárt fel, amely a Python és az NPM felhasználókat célozza meg Windows és Linux platformokon egyaránt. A támadást a népszerű csomagok nevének elírásával (typo-squatting) hajtják végre, így becsapva a felhasználókat. A felfedezett supply chain támadás kereszt-platformos tulajdonságokkal rendelkezik és fejlett elkerülési technikákat alkalmaz, melyek a szakemberek szerint az open-source fenyegetések fejlődését jelenthetik.
Több mint 60 rosszindulatú npm csomagot fedeztek fel a csomagregiszterben, melyek olyan káros funkciókat tartalmaznak, amiknek célja a gazdagépek neveinek, IP-címeinek, DNS-szervereinek és felhasználói könyvtárainak begyűjtése, és ezek továbbítása egy Discord által vezérelt végpontra. A csomagokat három különböző fiók alatt tették közzé, és olyan szkripttel rendelkeznek, amely az npm install során aktiválódik – közölte Kirill Boychenko, a Socket biztonsági kutatója a múlt héten megjelent jelentésében.
Kiberbiztonsági kutatók kártékony csomagokat fedeztek fel a Python Package Index (PyPI) adattárban. Ezek egyfajta ellenőrző eszközként működtek, melyek azt vizsgálták, hogy az ellopott email címek érvényesek-e egy TikTok, vagy egy Instagram API ellen. Ezek a kártékony csomagok többé már nem elérhetők, de érdemes megnézni a letöltések számát:
Az IT-biztonság egy állandó küzdelem a támadók és a védelmezők között. A rosszindulatú szereplők minden eszközt bevetnek annak érdekében, hogy elrejtsék tevékenységüket a kutatók, vírusirtók és egyéb védelmi rendszerek elől. A támadók az elemzést megnehezítő technikák, például az obfuszkáció alkalmazásával próbálják akadályozni a visszafejtést, amely a védelmi oldalon dolgozó kutatók egyik fő eszköze a rosszindulatú kód működésének megértésére.