Weekly Cyber News Roundup

12 -16 juni 2023

Sårbarheter

Fortinet släpper Critical RCE Vulnerability fix i FortiGate, SSL-VPN enheter, uppmanar till omedelbar patchning.

Fortinet har släppt en brådskande firmwareuppdatering för sin FortiGate- produktlinje. Denna uppdatering syftar till att åtgärda en tidigare okänd, kritisk allvarlig förautentiseringssårbarhet för fjärrstyrning som hittats i alla SSL VPN enheter. Identifierad som CVE-2023-27997 tar denna sårbarhet formen som ett heap-baserat buffertspillproblem inom FortiOS och FortiProxy SSL-VPN. Oroväckande nog kan det tillåta icke-autentiserad angripare att utföra fjärrkodexekvering (RCE).

En illvillig aktör som utnyttjar denna sårbarhet skulle kunna manipulera via VPN, även med flerfaktorsautentisering (MFA) aktiverat, vilket illustrerar den potentiella risken. Upptäckten av denna allvarliga sårbarhet skedde under en omfattande kodgranskning av SSL-VPN modulen. Granskningen genomfördes efter en serie av nyligen genomförda angrepp mot statliga enheter, där CVE-2022-42475 FortiOS SSL-VPN zero-day utnyttjades.

Fortinet agerade snabbt på hotet och rullade ut säkerhetsfixar under fredagen den 9e juni i mjukvaruversionerna 6.0.17, 6.2.15, 6.4.13, 7.0.12 och 7.2.5 av FortiOS.

Den 12 juni hittades ungefär 210 700 stycken FortiGate-enheter med SSL-VPN komponenten som exponerad mot det publika internet, främst i USA. Detta understryker hur brådskande situationen är och vikten av denna firmwareuppdatering.

Quick News Bites

Fler MoveIT offer avslöjade, inklusive Ofcom, Transport for London och Health Services Ireland

Flera offer av MoveIT supply chain attacken har avslöjats med den brittiska medieregulatorn Ofcom, Transport for London och Health Services Ireland som de mest uppmärksammade denna vecka.

Den rysslandsbaserade gruppen Clop Ransomware, som är okända för sina cyberattacker sedan de först dök upp på scenen i februari 2019, har hotat de drabbade företagen att om de inte godtar deras krav innan den 14e juni kommer den stulna informationen att släppas.

Clop hävdade i meddelandet till offren att enskilda personer som är associerad med lokala eller nationella myndigheter eller brottsbekämpande myndigheter inte var målet för hotet. Till dessa människor har de cyberkriminella försäkrat att de inte behöver vara oroliga. De förklarade vidare: ”Vi har raderat dina uppgifter; det finns inget behov av interaktion från din sida. Vi har ingen avsikt att avslöja sådana detaljer”. Trovärdigheten av denna proklamation är dock en debatterad fråga.

Offren uppmanas att inte betala några lösenkrav då det inte finns några garantier för att hackarna inte använder den stulna datan för ytterligare attacker och att betalning bara uppmuntrar till fler attacker i framtiden.

Schweiziska regeringen drabbade av en rad cyberattacker

På måndagen resulterade en betydande cyberattack i att ett antal schweiziska federala myndigheter och statligt ansluta företags webbplatser blev inaktiverade. Det schweiziska finansdepartementet bekräftade att en cyberattack hade ägt rum.

De schweiziska myndigheterna avslöjade att interna säkerhetsspecialister snabbt hade upptäckt cyberintrånget. Inte enbart identifierade de hotet snabbt utan de genomförde också snabbt ”korrigeringar för att återställa åtkomsten till webbplatserna och programvaruapplikationerna så snart som möjligt”.

Attacken identifierades som en distribuerad överbelastningsattack (DDoS) och togs på sig av gruppen känd som NoName. Denna hotgrupp, känd för sin pro-ryska hållning, är specialiserade på att genomföra denna typ av cyberattacker. Deras huvudsakliga mål inkluderar traditionellt organisationer baserade i Ukraina och i hela Europa.

Intressant nog var detta inte första gången som NoName tog på sig ansvaret för en liknande attack i Schweiz. Några dagar tidigare, den 7-8 juni, hävdade gruppen att de hade genomfört liknande attack mot det schweiziska parlamentet, vilket tyder på att alpnationen är i deras sikte.

Ny nätfiskekampanj upptäckt inriktad på Twitter och Discord

Cybersäkerhetsexperter har identifierat en ny nätfiskekampanj som syftar till att äventyra Twitter-och Discordkonton för att stjäla kryptovalutor.

Cybersäkerhetsforskare upptäckte aktiviteterna från ett hackerkollektiv känt som Pink Drainer. Gruppen har enligt uppgift stulit över 3 miljoner dollar från över 2000 offer, däribland anmärkningsvärda figurer som OpenAI:s CTO Mira Murati.

Bedragarna använder manipulationstekniker där de utger sig för att vara journalister från välrenommerade plattformar såsom Decrypto och Cointelegraph för att försöka vinna förtroende hos sina mål.

Enligt forskarna tar bedrägeriet mellan en och tre dagar och kulminerar i en KYC-autentisering som inkluderar nätfiske relaterat till Discord i det sista steget. Till exempel manipulerar de Discordadministratörer till att öppna en skadlig Carl-verifieringsbot och vägleder dem till att lägga till bokmärken som innehåller skadlig kod.

Denna kod är konstruerad för att stjäla offrets Discordtoken, vilket ger hackarna åtkomst till användarens konto. De fortsätter sedan med att ta bort andra administratörer, göra sig själva till den nya administratören och begå ”överträdelser” som resulterar i att Discord blockerar kontot.

Hittills har kollektivet Pink Drainer lyckats lura 2307 offer och stulit nästan 3,3 miljoner dollar, inklusive 300 000 dollar från en enskild person.

Trenden att rikta in sig på Discordkonton ökar bland hackare. Förra året upptäckte cybersäkerhetsforskare skadliga npm-paket som skapats för att stjäla Discordtoken och kortinformation.

Ryska hackare bakom cyberattack mot Gloucester Council

Den ryskanknutna Conti-ransomwaregruppen har bekräftats som organisatörerna av attacken som störde Gloucester City Council:s IT- tjänster 2021.

Efter utredningen uppgav rådet att även invånarinformation kan ha äventyrats, finns det inga bevis på att den har publicerats online.

Även om tidigare rapporter kopplade attacken till ryska hackare är detta den första officiella bekräftelsen. Rådet samarbetade med National Crime Agency, National Cyber Security Centre och informerade Information Commissioner’s Office för att minska ytterligare risker.

Kommuner är ofta måltavlor för hackare på grund av den betydande mängden känslig information de har såsom personlig, ekonomisk och egendomsinformation såsom fastighetsinformation, kombinerat med typiskt lägre cybersäkerhetsåtgärder jämfört med större organisationer.

 

 

Avslutande sammanfattning

Om du är orolig för något av hoten som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten som din organisation står inför, kontakta din kontoansvarige alternativt ta kontakt för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

LONDON | 28 April 2022
DUBLIN | 11 May 2022

Join us in Dublin or London for the Security First 2022 conference.  We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.