A támadók a Roundcube Webmail sebezhetőségét kihasználva céloztak meg kormányzati szerveket a Független Államok Közössége (FÁK) régióiban.

A Roundcube Webmail egy nyílt forráskódú, PHP alapú levelezőrendszer, amely támogatja a beépülő modulokat annak érdekében, hogy több funkcióval rendelkezzen. Mivel népszerű a kereskedelmi és kormányzati szervek körében, ezért gyakran válik a hackerek célpontjaivá.

A GitHub-on terjesztik a Lumma Stealer információlopó malwaret azáltal, hogy a megjegyzésekben a felhasználók kérdéseire hamis választ adnak.

Azt javasolják a kommentekben a felhasználóknak, hogy töltsenek le egy jelszóval védett archívumot a mediafire.com webhelyről vagy egy bit.ly címről, majd pedig futtassák le a benne lévő fájlt.

A rosszindulatú hirdetési kampányok évek óta célozzák a Google Search platformját. A támadók olyan legitim domaineknek tűnő hirdetéseket hoznak létre, amelyek bizalmat keltenek a felhasználókban. A Malwarebytes  fedezte fel azt az új rosszindulatú kampányt, mely a Google Authenticator hirdetését jeleníti meg, amikor a felhasználók a szoftverre keresnek rá a Google keresőben.

A CVE-2024-21410 néven nyomon követett, kritikus súlyosságú jogosultságnövelési hiba, amelyet a hackerek aktívan kihasználnak, lehetővé teszi, hogy hitelesítés nélküli támadók NTLM relay támadásokat hajtsanak végre a sebezhető Microsoft Exchange szervereken, és növeljék jogosultságaikat a rendszerben.

A Canonical Snap Store-t rosszindulatú alkalmazások feltöltésével támadták meg. 2023. szeptember 28-án a Snap Store csapatát egy lehetséges biztonsági incidensről értesítették. Számos Snap-felhasználó több, nemrégiben közzétett, potenciálisan rosszindulatú snappet jelentett. E bejelentések következtében a Snap Store csapata azonnal eltávolította ezeket a snaps, és többé nem lehet fellelni, sem telepíteni őket. Emellett szünetel az automatikus snap-regisztráció is a biztonsági incidenst követően.

Az Eclypsium firmware- és hardverbiztonsági cég kutatói felfedezték, hogy a tajvani Gigabyte által gyártott több száz alaplapmodell olyan backdoorokat tartalmaz, amelyek jelentős kockázatot jelenthetnek a szervezetekre nézve.

A kutatók megállapították, hogy az operációs rendszerek indításakor számos Gigabyte rendszer firmware-je egy Windows bináris programot hajt végre, amely később HTTP-n vagy nem megfelelően konfigurált HTTPS kapcsolaton keresztül letölt és futtat egy újabb payloadot.

Az Eclypsium szerint nehéz egyértelműen kizárni, hogy a Gigabyte-on belülről telepítették volna azt, de arra figyelmeztettek, hogy a fenyegetési szereplők visszaélhetnek a hibával.

Az UEFI rootkiteket a támadók sok esetben arra használják, hogy a Windows malware-ek fennmaradhassanak egy kompromittált rendszeren. Ez a backdoor alkalmas erre a célra, ráadásul nehéz lehet azt véglegesen eltávolítani.

A kiberbiztonsági cég arra is figyelmeztetett, hogy a hackerek további támadásokra is használhatják a rendszer és a Gigabyte szerverei közötti nem biztonságos kapcsolatot. Több mint 270 érintett alaplapmodell listáját tették közzé, amely azt jelenti, hogy a backdoor valószínűleg több millió eszközön megtalálható.

Június 5-én a Gigabyte bejelentette a BIOS frissítések kiadását, amelyek orvosolják a sebezhetőséget.

A CISA hat új hibát vett fel a KEV (Known Exploited Vulnerabilities) katalógusába:

• az Apple által már javított 3 hibát (CVE-2023-32434, CVE-2023-32435 és CVE-2023-32439),
• két VMware hibát (CVE-2023-20867 és CVE-2023-20887),
• egy Zyxel hibát (CVE-2023-27992).