Trojanized WordPress Credentials Checker stjæler 390,000 legitimationsoplysninger, kritisk sårbarhed afdækket i Microsoft Azure MFA: Your Cybersecurity Roundup
Trojanized WordPress Credentials Checker stjæler 390,000 legitimationsoplysninger i MUT-1244-kampagne
En sofistikeret trusselsaktør, sporet som MUT-1244, har gennemført en storstilet kampagne i løbet af det seneste år, hvor han med succes stjæler over 390,000 WordPress-legitimationsoplysninger. Denne operation, som primært var rettet mod andre trusselsaktører såvel som sikkerhedsforskere, red teamers og penetrationstestere, var afhængig af en trojaniseret WordPress-legitimationskontrol og ondsindede GitHub-depoter for at kompromittere sine ofre.
Angriberne brugte et ondsindet værktøj, "yawpp", annonceret som en WordPress legitimationskontrol. Mange af ofrene, herunder trusselsaktører, brugte værktøjet til at validere stjålne legitimationsoplysninger, og utilsigtet afslørede deres egne systemer og data. Sideløbende med dette opsatte MUT-1244 flere GitHub-depoter, der indeholder bagdørs proof-of-concept-udnyttelser til kendte sårbarheder. Disse depoter blev designet til at virke legitime og dukkede ofte op i betroede trusselsintelligens-feeds såsom Feedly og Vulnmon. Denne tilsyneladende af ægthed narre både fagfolk og ondsindede aktører til at udføre malwaren, som blev leveret gennem en række forskellige metoder, herunder bagdørskonfigurationsfiler, Python-droppere, ondsindede npm-pakker og riggede PDF-dokumenter.
Kampagnen omfattede også en Phishing element. Ofre blev narret til at køre kommandoer for at installere, hvad de troede var en CPU-mikrokodeopdatering, men faktisk var malware. Når malwaren var installeret, implementerede både en cryptocurrency-miner og en bagdør, hvilket gjorde det muligt for angriberne at stjæle følsomme data såsom SSH private nøgler, AWS-adgangsnøgler og miljøvariabler. Den stjålne oplysninger blev derefter eksfiltreret til platforme som Dropbox og file.io ved hjælp af hårdkodede legitimationsoplysninger indlejret i malwaren.
Forskere afslører kritisk sårbarhed i Microsoft Azure MFA, der tillader kontoovertagelse
Sikkerhedsforskere hos Oasis Security identificerede en kritisk sårbarhed i Microsoft Azures multifaktorautentificeringssystem (MFA), som gjorde det muligt for dem at omgå MFA-beskyttelse og få uautoriseret adgang til brugerkonti på omkring en time. Fejlen, forårsaget af fraværet af en hastighedsgrænse for mislykkede MFA-forsøg, efterlod over 400 millioner Microsoft 365-konti sårbare over for potentielt kompromittering, og afslørede følsomme data såsom Outlook-e-mails, OneDrive-filer, Teams-chat og Azure Cloud-tjenester.
Ved at udnytte sårbarheden, kaldet "AuthQuake", kunne angribere udføre samtidige, hurtige forsøg på at gætte den sekscifrede MFA-kode, som har 1 million mulige kombinationer. Mangel på brugeradvarsler under mislykkede loginforsøg gjorde angrebet snigende og svært at opdage. Derudover fandt forskere ud af, at Microsofts system tillod MFA-koder at forblive gyldige i cirka tre minutter - 2.5 minutter længere end de 30 sekunders udløb anbefalet af RFC-6238 - hvilket øgede sandsynligheden for et vellykket gæt betydeligt.
Gennem deres test viste forskere, at angribere inden for 24 sessioner (cirka 70 minutter) ville have over 50 % chance for at gætte den korrekte kode.
Rusland blokerer Viber over påståede overtrædelser af national lovgivning
Ruslands telekommunikationsregulator, Roskomnadzor, har blokeret Vibers krypterede beskedapp, med henvisning til overtrædelser af national lovgivning. Appen, som er meget udbredt over hele kloden, blev anklaget for ikke at overholde krav, der sigter mod at forhindre dens misbrug til aktiviteter som terrorisme, ekstremisme, narkotikahandel og spredning af ulovlig information. Roskomnadzor begrundede begrænsningen som nødvendig for at mindske disse risici og opretholde overholdelse af russiske love.
Viber, der er tilgængelig på både desktop- og mobilplatforme, er enormt populær med over 1 milliard downloads i Google Play Butik og betydeligt brugerengagement på iOS. Dette skridt følger dog en række handlinger fra russiske myndigheders side rettet mod udenlandske kommunikationsplatforme. I juni 2023 idømte en domstol i Moskva Viber en bøde på 1 million rubler for dets manglende fjernelse af det, der blev stemplet som ulovligt indhold, herunder materiale relateret til Ruslands igangværende konflikt i Ukraine. Indgrebet mod Viber stemmer overens med bredere restriktioner, Rusland har pålagt meddelelsestjenester.
