Content 

01. News Bites

  • Hotaktörer utnyttjar CrowdStrike-incident för nätfiske, bedrägerier och att leverera malware
  • Nordkoreansk statlig aktör infiltrerar amerikanskt cybersäkerhetsföretag och försökte installera malware
  • Microsoft varnar för problem med BitLockers återställningsläge efter Windows Security Update 2024 juli
  • Kritisk sårbarhet i Docker Engine CVE-2024-41110 upptäckt: Brådskande korrigeringar har släppts

02. Conclusion

Quick News Bites

Hotaktörer utnyttjar CrowdStrike-incident för nätfiske, bedrägerier och att leverera malware

Privatpersoner och organisationer har varnats för hotaktörer som utnyttjar CrowdStrike-incidenten för nätfiske, bedrägerier och att leverera malware. Problemet började med att en rutinmässig uppdatering av CrowdStrike-sensorn utlöste en Blue Screen of Death (BSOD) på Windows-system, vilket orsakade omfattande störningar. CrowdStrike och Microsoft har tillhandahållit verktyg för att hjälpa drabbade organisationer.

Hotaktörer, särskilt ekonomiskt motiverade grupper, har utnyttjat händelsen och skapat phishing- och bedrägerikampanjer. ThreatMon upptäckte arkivfiler med namnet "crowdstrike-hotfix" som levererade HijackLoader-nyttolaster i Latinamerika. Malware-analystjänsten Any.Run fann att HijackLoader levererar Remcos, en trojan för fjärråtkomst (RAT). FalconFeeds rapporterade att palestinska hacktivister försökte lura israeliska organisationer att installera skadlig programvara.

Dussintals domäner som hänvisar till CrowdStrike har registrerats och kan vara värd för nätfiskesidor, skadlig kod eller bedrägerier. Säkerhetsforskare noterade olika bedrägerier, inklusive phishing-attacker och bedrägliga bankförfrågningar. Storbritanniens NCSC och USA:s CISA utfärdade varningar om ökad phishing-aktivitet och uppmanade till vaksamhet.

Incidenten påverkade flyg-, finans-, hälso- och utbildningssektorerna, och över 1.500 flygningar ställdes in. Microsoft rapporterade 8,5 miljoner påverkade enheter, vilket dock motsvarar mindre än en procent av Windows-systemen globalt. Incidenten hade minimal påverkan i länder som Kina och Ryssland, där amerikanska produkter är mindre vanligt förekommande.

Nordkoreansk statlig aktör infiltrerar amerikanskt cybersäkerhetsföretag och försökte installera malware

Det amerikanska cybersäkerhetsföretaget KnowBe4 upptäckte nyligen att en nyanställd Principal Software Engineer i själva verket var en nordkoreansk statsaktör som försökte installera skadlig kod för att stjäla information på företagets enheter. Företaget upptäckte och förhindrade den skadliga aktiviteten och förhindrade därmed ett dataintrång. Denna incident understryker det pågående hotet från nordkoreanska IT-arbetare som döljer sina identiteter för att säkra jobb på amerikanska företag, en fara som FBI har varnat för sedan 2023.

Nordkorea har en välorganiserad armé av IT-proffs som döljer sina identiteter för att infiltrera utländska företag. Intäkterna från dessa jobb finansierar landets vapenprogram och cyberoperationer. Innan hotaktören anställdes genomförde KnowBe4 noggranna bakgrundskontroller, referensverifieringar och videointervjuer. Personen använde dock en stulen amerikansk identitet och AI-genererade bilder för att kringgå dessa kontroller.

Misstankarna väcktes den 15 juli 2024 när KnowBe4:s EDR-produkt rapporterade skadlig aktivitet från den nyanställdes Mac-arbetsstation. Den falska medarbetaren försökte få ut inloggningsuppgifter och information från tidigare sessioner. Konfronterad av IT-personal upphörde den statliga aktören med kommunikationen. KnowBe4 råder företag att använda sandlåde-miljöer för nyanställda och att behandla avvikelser i adresseringen som varningssignaler.

Microsoft varnar för problem med BitLockers återställningsläge efter Windows Security Update 2024 juli

Microsoft har utfärdat en varning om att vissa Windows-enheter kan starta i BitLocker-återställningsläge efter installation av Windows säkerhetsuppdateringar för juli 2024. BitLocker är en säkerhetsfunktion som krypterar lagringsenheter för att förhindra datastöld från förlorade, stulna eller felaktigt avvecklade enheter.

Efter installationen av uppdateringen 9 juli 2024 (KB5040442) kan användare se en BitLocker-återställningsskärm vid uppstart. Det här problemet är mer sannolikt om alternativet Enhetskryptering är aktiverat. Berörda användare måste ange sin BitLocker-återställningsnyckel för att låsa upp enheten och starta normalt.

Berörda plattformar inkluderar Windows 11 versionerna 23H2, 22H2 och 21H2, Windows 10 versionerna 22H2 och 21H2 samt flera Windows Server-versioner. BitLocker-återställningsnyckeln kan hämtas via BitLocker-återställningsskärmens portal med hjälp av ett Microsoft-konto.

Microsoft undersöker och kommer att tillhandahålla uppdateringar. Liknande problem har inträffat tidigare, till exempel i augusti 2022 och april 2024.

Kritisk sårbarhet i Docker Engine CVE-2024-41110 upptäckt: Brådskande korrigeringar har släppts

 En kritisk säkerhetssårbarhet i Docker Engine, identifierad som CVE-2024-41110, har upptäckts, vilket potentiellt gör det möjligt för angripare att kringgå autentisering och få obehörig åtkomst till system. Denna sårbarhet, med en CVSS-poäng på 10, påverkar flera Docker Engine-versioner på grund av en regression i Dockers auktoriseringsplugin (AuthZ) -system.

Angripare kan utnyttja detta genom att skicka en speciellt utformad API-begäran med en Content-Length inställd på 0, vilket får Docker-daemon att felaktigt behandla begäran och AuthZ-pluginet att felaktigt godkänna den. Detta kan leda till obehöriga åtgärder och eskalering av privilegier.

Berörda versioner inkluderar Docker Engine-versioner upp till v27.1.0 och Docker Desktop upp till v4.32.0. Sannolikheten för utnyttjande är låg, men den potentiella påverkan är betydande, särskilt i produktionsmiljöer.

Docker har släppt patchar och användare rekommenderas starkt att uppdatera till de senaste versionerna. Tillfälliga åtgärder inkluderar inaktivering av AuthZ-plugins och begränsning av åtkomst till Docker API. Vi rekommenderar också att man tillämpar principen om minsta möjliga privilegium och regelbundet uppdaterar säkerhetsinställningarna. Docker Business-abonnenter kan använda Settings Management för att genomdriva säkra konfigurationer. Den här incidenten belyser behovet av regelbundna säkerhetsuppdateringar och vaksamhet i containermiljöer.

Closing Summary

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.