close
close

Volt Typhoon maakt gebruik van Versa zero-day om ISP’s in de Verenigde Staten te targeten. Telegram CEO Pavel Durov aangeklaagd in Frankrijk.

Posted on by Vaseline
Volt Typhoon maakt gebruik van Versa zero-day om ISP’s in de Verenigde Staten te targeten. Telegram CEO Pavel Durov aangeklaagd in Frankrijk.

In één oogopslag.

  • Volt Typhoon misbruikt Versa zero-day om internetproviders in de Verenigde Staten aan te vallen.
  • Telegram-CEO Pavel Durov aangeklaagd in Frankrijk.
  • APT29 maakt gebruik van exploits die kennelijk door spywareleveranciers zijn ontwikkeld.
  • Iraanse cyberespionier voert daarnaast ook ransomware-aanvallen uit.
  • Sinds februari 2024 hebben RansomHub-partners meer dan 200 slachtoffers gemaakt.
  • Kwaadaardige Pidgin-plug-in verspreidt malware.
  • Linux-malware misbruikt udev-regels om detectie te omzeilen.
  • De tools van Greasy Opal maken cyberaanvallen mogelijk.
  • Californië komt met wetgeving om AI-modellen te reguleren.

Volt Typhoon misbruikt Versa zero-day om internetproviders in de Verenigde Staten aan te vallen.

Onderzoekers van Lumen Technologies’ Black Lotus Labs ontdekten een actief uitgebuite zero-day-fout (CVE-2024-39717) die het SD-WAN-beheerplatform Versa Director treft. Versa heeft een patch voor de kwetsbaarheid uitgebracht en gebruikers worden dringend verzocht te upgraden naar versie 22.1.4 of later. De fout stelt kwaadwillenden in staat code uit te voeren door Java-bestanden te uploaden die vermomd zijn als PNG-afbeeldingen.

De onderzoekers vonden een op maat gemaakte web shell die is ontworpen om de kwetsbaarheid te exploiteren, die ze toeschrijven aan de Chinese dreigingsactor Volt Typhoon. Lumen stelt: “Analyse van onze wereldwijde telemetrie identificeerde actor-gestuurde small-office/home-office (SOHO) apparaten die deze zero-day kwetsbaarheid exploiteerden bij vier Amerikaanse slachtoffers en één niet-Amerikaans slachtoffer in de sectoren Internet service provider (ISP), managed service provider (MSP) en informatietechnologie (IT) al op 12 juni 2024. De dreigingsactors krijgen initiële administratieve toegang via een blootgestelde Versa management poort die bedoeld is voor high-availability (HA) pairing van Director nodes, wat leidt tot exploitatie en de implementatie van de VersaMem web shell.”

De Amerikaanse overheid heeft Volt Typhoon ervan beschuldigd dat ze battlespace-voorbereidingen uitvoert binnen de kritieke infrastructuur van de VS, en zichzelf van tevoren positioneert om verstorende of destructieve cyberaanvallen uit te voeren. KrebsOnSecurity merkt op dat het targeten van ISP’s “de basis zou kunnen leggen voor het vermogen om communicatie tussen de Verenigde Staten en Azië te verstoren tijdens een toekomstig gewapend conflict met China.”

Telegram-CEO Pavel Durov aangeklaagd in Frankrijk.

Telegram CEO Pavel Durov is in Frankrijk aangeklaagd voor verschillende aanklachten met betrekking tot criminele activiteiten op Telegram en de vermeende onwil van het bedrijf om samen te werken met de wetshandhaving, meldt Associated Press. Volgens de BBC omvatten de aanklachten “medeplichtigheid aan het beheer van een online platform om illegale transacties door een georganiseerde bende mogelijk te maken” en “medeplichtigheid aan georganiseerde criminele verspreiding van seksuele afbeeldingen van kinderen.” Durov is vrijgelaten tegen een borgtocht van € 5 miljoen, maar mag Frankrijk niet verlaten.

Slate merkt op dat de arrestatie van Durov is bekritiseerd door voorstanders van de vrijheid van meningsuiting en privacy, met name wat betreft de twee aanklachten met betrekking tot “cryptologiediensten”. Dit zou kunnen betekenen dat Frankrijk “het gebruik van internationaal gebaseerde, ongereguleerde ‘encryptiediensten’ als een misdaad op zich beschouwt.”

APT29 maakt gebruik van exploits die kennelijk door spywareleveranciers zijn ontwikkeld.

Volgens de Threat Analysis Group (TAG) van Google heeft de Russische staatsgesponsorde dreigingsactor APT29 (ook bekend als “Cozy Bear”) exploits gebruikt die “identiek of opvallend vergelijkbaar zijn met exploits die eerder werden gebruikt door commerciële bewakingsleveranciers (CSV’s) Intellexa en NSO Group.” De exploits werden gevonden ingebed in Mongoolse overheidswebsites voor gebruik in watering-hole-aanvallen. De campagne leverde “een iOS WebKit-exploit op die iOS-versies ouder dan 16.6.1 trof en later een Chrome-exploitketen tegen Android-gebruikers die versies van m121 tot m123 draaiden.”

TAG concludeert: “We weten niet hoe de aanvallers deze exploits hebben verkregen. Wat wel duidelijk is, is dat APT-actoren n-day exploits gebruiken die oorspronkelijk door CSV’s als 0-days werden gebruikt. Er moet worden opgemerkt dat de recente watering hole-campagnes, afgezien van het gebruikelijke exploitgebruik, anders waren in hun benaderingen van levering en doelstellingen in de tweede fase.”

Iraanse cyberespionier voert daarnaast ook ransomware-aanvallen uit.

Een door de Iraanse staat gesponsorde dreigingsactor die wordt gevolgd als “Pioneer Kitten” werkt samen met criminele ransomware-groepen voor financieel gewin, volgens een gezamenlijk advies van de Amerikaanse Federal Bureau of Investigation (FBI), de Cybersecurity and Infrastructure Security Agency (CISA) en het Department of Defense Cyber ​​Crime Center (DC3). De dreigingsactor opereert onder de dekmantel van een IT-bedrijf genaamd “Danesh Novin Sahand.” De FBI zegt dat “een aanzienlijk percentage van de operaties van deze dreigingsactors tegen Amerikaanse organisaties bedoeld zijn om netwerktoegang te verkrijgen en te ontwikkelen om vervolgens samen te werken met ransomware-partners om ransomware te implementeren.” De dreigingsactor heeft nauw samengewerkt met de ransomware-bendes NoEscape, Ransomhouse en ALPHV/BlackCat.

De groep lijkt ook te werken als contractant voor de Iraanse overheid, en voert cyberespionageoperaties uit “gericht op landen en organisaties die in lijn zijn met de Iraanse staatsbelangen, en die doorgaans niet interessant zijn voor de ransomware-contacten van de groep, zoals Amerikaanse defensienetwerken en die in Israël, Azerbeidzjan en de Verenigde Arabische Emiraten.” De FBI merkt op dat “de ransomware-activiteiten van de groep waarschijnlijk niet worden gesanctioneerd door de (regering van Iran), aangezien de actoren hun bezorgdheid hebben geuit over overheidsmonitoring van cryptocurrency-bewegingen die verband houden met hun kwaadaardige activiteiten.”

Sinds februari 2024 hebben RansomHub-partners meer dan 200 slachtoffers gemaakt.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), de FBI, MS-ISAC en het Department of Health and Human Services hebben een gezamenlijk advies uitgebracht over de RansomHub ransomware-as-a-service-operatie. RansomHub-filialen hebben sinds de operatie in februari 2024 aan het licht kwam minstens 210 slachtoffers gemaakt, gericht op entiteiten in “de sectoren water en afvalwater, informatietechnologie, overheidsdiensten en -faciliteiten, gezondheidszorg en volksgezondheid, hulpdiensten, voedsel en landbouw, financiële diensten, commerciële faciliteiten, kritieke productie, transport en communicatie kritieke infrastructuur.” RansomHub heeft filialen aangetrokken van andere spraakmakende ransomware-varianten, waaronder LockBit en ALPHV.

BleepingComputer meldt dat RansomHub verantwoordelijk was voor de recente aanval op de Amerikaanse oliegigant Halliburton.

Kwaadaardige Pidgin-plug-in verspreidt malware.

Bedreigingsactoren gebruikten een kwaadaardige plug-in voor de Pidgin-berichtenapp om malware te verspreiden, meldt SecurityWeek. De malware werd op 6 juli toegevoegd aan Pidgins lijst met plug-ins van derden en bevatte keylogging- en screenshotmogelijkheden. Pidgin verklaarde: “Het werd op dat moment niet opgemerkt dat de plug-in geen broncode leverde en alleen binaire bestanden voor download aanbood. Vanaf nu eisen we dat alle plug-ins waarnaar we linken een OSI Approved Open Source License hebben en dat er een bepaald niveau van due diligence is uitgevoerd om te verifiëren dat de plug-in veilig is voor gebruikers.”

Onderzoekers van ESET ontdekten dezelfde backdoor in Cradle, een onofficiële fork van de Signal-berichtenapp. De kwaadaardige Cradle-app is ontworpen om de DarkGate-malware te installeren.

Linux-malware misbruikt udev-regels om detectie te omzeilen.

Onderzoekers bij Stroz Friedberg, een risicomanagementbedrijf van Aon Insurance, ontdekten een heimelijke variant van Linux-malware genaamd “sedexp” die udev-regels gebruikt om persistentie te behouden. Udev is een apparaatbeheerder voor de Linux-kernel die apparaatknooppunten in de /dev-directory beheert. De sedexp-malware misbruikt udev-regels “om elke keer dat een specifieke apparaatgebeurtenis plaatsvindt, uit te voeren, waardoor het heimelijk en moeilijk te detecteren is.” De onderzoekers merken op dat deze persistentietechniek ongebruikelijk is en stellen: “De malware wijzigt het geheugen om elk bestand met de tekenreeks “sedexp” te verbergen voor opdrachten zoals ls of find. In het onderzoek van Stroz Friedberg werd deze mogelijkheid gebruikt om webshells, aangepaste Apache-configuratiebestanden en de udev-regel zelf te verbergen.”

De sedexp-malware is al sinds ten minste 2022 actief, maar is grotendeels onopgemerkt gebleven. Het werd ingezet door een financieel gemotiveerde dreigingsactor om creditcardgegevens te scrapen.

De tools van Greasy Opal maken cyberaanvallen mogelijk.

Arkose Labs beschrijft een cyberaanval-faciliteringsbedrijf genaamd “Greasy Opal” dat sinds 2009 vanuit Tsjechië opereert. Greasy Opal biedt “een goedkope, zeer efficiënte oplossing voor kwaadwillenden die de accountbeveiligingsmaatregelen van bedrijven en overheidsinstanties willen omzeilen door middel van bot-geleide CAPTCHA-oplossing op grote schaal.” De onderzoekers voegen toe: “Greasy Opal heeft een bloeiend conglomeraat van veelzijdige bedrijven opgebouwd, dat niet alleen CAPTCHA-oplossingsservices biedt, maar ook SEO-verbeterende software en automatiseringsservices voor sociale media die vaak worden gebruikt voor spam, wat een voorloper zou kunnen zijn van malware-levering. Deze groep dreigingsactoren weerspiegelt een groeiende trend van bedrijven die in een grijze zone opereren, terwijl hun producten en services zijn gebruikt voor illegale activiteiten verderop in de keten.”

Arkose Labs meldt dat de in Vietnam gevestigde cybercrimineel Storm-1152 de tools van Greasy Opal gebruikte om 750 miljoen nep-Microsoft-accounts aan te maken.

Patch nieuws.

Censys heeft een advies gepubliceerd over een kwetsbaarheid voor het op afstand uitvoeren van code die de netwerkbewakings- en beheeroplossing WhatsUp Gold van Progress Software treft, zo meldt SecurityWeek. De onderzoekers leggen uit: “De kwetsbaarheid bevindt zich in de GetFileWithoutZip-functionaliteit van WhatsUp Gold. Een aanvaller kan een gefabriceerd verzoek met directory traversal payloads verzenden om bestanden naar willekeurige locaties op de server te uploaden. Door schadelijke bestanden te uploaden, kan de aanvaller op afstand code uitvoeren.” Er zijn verschillende proof-of-concept-exploits gepubliceerd op GitHub en gebruikers worden dringend verzocht zo snel mogelijk te updaten naar versie 2023.1.3.

Misdaad en straf.

Het Amerikaanse ministerie van Buitenlandse Zaken looft een beloning van 2,5 miljoen dollar uit voor informatie die kan leiden tot de arrestatie van Volodymyr Kadariya, een Wit-Russische en Oekraïense staatsburger die ervan wordt beschuldigd de Angler Exploit Kit en andere malware via malvertisingcampagnes te hebben verspreid.

De Amerikaanse geheime dienst verklaarde: “Kadariya en zijn medewerkers gebruikten meerdere strategieën om te profiteren van hun wijdverbreide hacking- en telefraudeplan, waaronder het gebruiken van accounts op voornamelijk Russische cybercrimeforums om cybercriminelen toegang te verkopen tot de gecompromitteerde apparaten van slachtoffers van internetgebruik (zogenaamde ‘loads’ of ‘bots’), evenals informatie die van slachtoffers was gestolen en werd vastgelegd in ‘logs’, zoals bankgegevens en inloggegevens, om verdere pogingen mogelijk te maken om slachtoffers van internetgebruik op te lichten of extra malware op hun apparaten te plaatsen.”

Beleid, aanbestedingen en aandelen van agentschappen.

De wetgevende macht van de staat Californië heeft SB 1047 aangenomen, een wetsvoorstel dat veiligheidseisen zou opleggen aan ontwikkelaars van grootschalige AI-modellen, meldt de Verge. Het wetsvoorstel gaat nu naar gouverneur Gavin Newsom, die kan beslissen om het te ondertekenen, te vetoën of het zonder zijn handtekening te laten passeren. Senator Scott Wiener van de staat Californië, de hoofdauteur van het wetsvoorstel, zegt dat de wetgeving “gezond verstand, de eerste in de natie waarborgen invoert om de samenleving te beschermen tegen AI die wordt gebruikt om cyberaanvallen uit te voeren op kritieke infrastructuur; chemische, nucleaire of biologische wapens te ontwikkelen; of geautomatiseerde misdaad te ontketenen.”

Tot de critici van het wetsvoorstel behoren onder meer OpenAI, Google en Meta, maar ook vooraanstaande Democratische politici uit Silicon Valley. Zij beweren dat de regelgeving innovatie zal belemmeren en een zware last zal leggen op kleinere startups, zo meldt POLITICO.

Related Posts