Den senaste rapporteringen inom cybersäkerhet lyfter fram en snabbt utvecklande hotbild där både statsstödda aktörer och cyberkriminella använder sofistikerade tekniker för att genomföra attacker som spänner över datastöld, ransomware, phishing och exploatering av sårbarheter. Angripare utnyttjar allt från kritiska systembrister och legitima verktyg till innovativa metoder som bypass av flerfaktorsautentisering och Wi-Fi-baserade intrång. Måltavlorna omfattar kritiska infrastrukturer, offentlig sektor och globala industrier, med en tydlig koppling till geopolitiska och ekonomiska intressen.
BianLian skiftar till datastöld
BianLian-gruppen har ändrat strategi från att kryptera filer till att fokusera på datastöld och utpressning. De använder metoder som ProxyShell-sårbarheter, komprometterade RDP-uppgifter och SOCKS5-tunnlar för att få åtkomst till system. Istället för att låsa data hotar de att läcka stulna filer om lösen inte betalas. Sektorer som sjukvård och flygindustrin är vanliga mål.
För att undvika upptäckt använder de PowerShell-skript för att samla och exfiltrera data samt omdöpta processer och filer för att likna legitima tjänster. De utnyttjar även verktyg som Rclone och installerar webshells för att behålla åtkomst.
För att skydda sig rekommenderas företag att begränsa RDP-användning, övervaka nätverk efter ovanlig aktivitet och stärka säkerheten kring PowerShell och andra kommandobaserade verktyg.
BYOVD-kampanj utnyttjar Avast-drivrutin
Trellix har upptäckt att angripare använder en sårbar Avast-drivrutin (aswArPot.sys) i en teknik kallad BYOVD (Bring-Your-Own-Vulnerable-Driver). Detta gör det möjligt att skaffa kernel-privilegier och stänga av antivirus- och EDR-skydd. Attacken riktar sig mot säkerhetsprocesser från stora leverantörer som Microsoft Defender och McAfee. Trots att Avast tidigare åtgärdat sårbarheten används drivrutinen fortfarande av ransomware-grupper som AvosLocker och Cuba. Organisationer uppmanas att implementera blockeringsregler och hålla sina säkerhetsverktyg uppdaterade för att skydda sig mot denna typ av hot.
Exploatering av CVE-2023-28461
CVE-2023-28461 är en kritisk sårbarhet i Array Networks SSL VPN-gateways som tillåter obehörig fjärråtkomst och potentiell kodexekvering. Sårbarheten beror på bristande autentisering och påverkar versioner av ArrayOS AG upp till 9.4.0.481. En patch finns i senare versioner, exempelvis 9.4.0.484.
CISA rapporterar att sårbarheten aktivt exploateras, vilket kan leda till dataintrång eller systemkompromettering. Federala och kritiska organisationer måste åtgärda problemet senast den 16 december 2024. För tillfälliga lösningar kan vissa funktioner inaktiveras, men det kan påverka prestandan negativt.
Elpaco ransomware och CyberVolk-operationer
Elpaco är en variant av det välkända Mimic-ransomware och använder den kritiska Zerologon-sårbarheten (CVE-2020-1472) för att eskalera privilegier. Denna sårbarhet gör det möjligt för angripare att ta över domänkontrollanten och få omfattande kontroll över systemet. Genom avancerade krypteringstekniker låser Elpaco ransomware filer och kräver lösen för att återställa åtkomst, vilket påverkar industriföretag globalt.
Samtidigt är CyberVolk en pro-rysk hacktivistgrupp som kombinerar ransomware och andra cyberattacker med tydliga geopolitiska mål. De riktar sig ofta mot offentliga sektorer och regeringsorgan för att främja ryska intressen, ibland genom att tillhandahålla ransomware som en tjänst till andra aktörer. Angrepp från både Elpaco och CyberVolk utgör allvarliga hot mot kritiska infrastrukturer och organisationers IT-system.
Rockstar 2FA och SVG-phishing
Rockstar 2FA phishing-kit använder avancerade metoder för att kringgå multifaktorautentisering (MFA), med fokus på Microsoft 365-användare. Genom Adversary-in-the-Middle (AiTM)-taktik fångar det användaruppgifter och sessionskakor i realtid, vilket gör MFA verkningslöst. Kitets funktioner inkluderar JavaScript-obfuskering och användning av SVG-filer i phishingmejl, vilket hjälper till att undgå upptäckt av säkerhetssystem.
Attackernas mål är att stjäla data och utnyttja komprometterade konton för att sprida fler attacker. Phishing-kitet säljs som en tjänst via Telegram, med priser från cirka 200 USD för två veckors användning. Detta gör det lättillgängligt även för mindre erfarna aktörer, vilket bidrar till ökad spridning av avancerade phishingangrepp.
Nordkoreanska IT-frontföretag
Nordkorea använder falska teknikföretag som täckmantel för att vinna globala kontrakt och finansiera sina vapenprogram, inklusive utvecklingen av massförstörelsevapen. Genom att utnyttja IT-arbetare och skuggfinanssystem, såsom kryptovalutor, har de lyckats kringgå internationella sanktioner och skaffa betydande medel. Dessa företag, som ofta är baserade i Kina, Ryssland och Sydostasien, gör det också möjligt för Nordkorea att genomföra cyberattacker mot kryptovalutaföretag för att stjäla digitala tillgångar.
