Operation Endgame: Global operation beslagtar 100 servrar och arresterar 4 i stort malware-tillslag
En internationell brottsbekämpande operation, med kodnamnet "Operation Endgame", har beslagtagit över 100 servrar över hela världen som används av stora malware-operationer, inklusive IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader och SystemBC.
Operationen, som genomfördes mellan den 27 och 29 maj 2024, omfattade 16 platsundersökningar i Europa och resulterade i fyra gripanden - ett i Armenien och tre i Ukraina. Åtta rymlingar har identifierats och kommer att läggas till på Europols "Most Wanted"-lista. Den beslagtagna infrastrukturen, som var spridd över Europa och Nordamerika, innehöll över 2 000 domäner, som nu befinner sig under myndigheternas kontroll.
Operation Endgame stöddes av polisstyrkor från Tyskland, USA, Storbritannien, Frankrike, Danmark och Nederländerna, med underrättelser från Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus och DIVD.
Malware Droppers etablerar initial åtkomst till enheten, ofta via skadliga e-postmeddelanden eller trojaniserade installationsprogram. De utvecklas från banktrojaner, fokuserar på initial åtkomst och använder undvikande taktiker. När de väl har etablerat sig distribuerar de skadligare nyttolaster, till exempel informationstjuvar och utpressningstrojaner. Europol avslöjade att en misstänkt tjänade över 69 miljoner euro genom att hyra ut infrastruktur för distribution av utpressningstrojaner.
Check Point VPN Zero-Day utnyttjat sedan april: Active Directory-data stulna, brådskande uppdateringar krävs
Hotaktörer har utnyttjat en mycket allvarlig Check Point Remote Access VPN zero-day-sårbarhet sedan åtminstone 30 april och stulit Active Directory-data för att röra sig lateralt genom offrens nätverk.
Check Point varnade kunder för att angripare riktar in sig på deras säkerhetsgateways genom att använda gamla lokala VPN-konton med osäker autentisering med endast lösenord. Sårbarheten, som spåras som CVE-2024-24919, gör det möjligt för angripare att läsa information på internetanslutna gateways med fjärråtkomst VPN eller mobil åtkomst aktiverad. Check Point släppte hotfixar för sårbara CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways och Quantum Spark för att blockera dessa attacker.
Trots Check Points meddelande om att zero-day exploateringen skulle ha börjat runt den 24 maj, observerade cybersäkerhetsföretaget mnemonic exploateringsförsök så tidigt som den 30 april. Felet är särskilt kritiskt på grund av att det är lätt att utnyttja på distans utan användarinteraktion. Angripare har extraherat lösenordshashar, inklusive sådana som används för att ansluta till Active Directory, vilket möjliggör lateral rörelse inom nätverk.
Check Point rekommenderar sina kunder att uppdatera systemen, ta bort sårbara lokala användare, byta lösenord för LDAP-anslutningar, söka i loggar efter tecken på intrång och uppdatera Check Point IPS-signaturen.
Okta varnar för "credential stuffing"-attacker mot funktionen för Cross-Origin-autentisering i kundens identitetsmoln
Okta varnar för att en funktion för cross-origin autentisering i Customer Identity Cloud (CIC) är mottaglig för "credential stuffing"-attacker från hotaktörer.
Misstänkt aktivitet började den 15 april 2024, och företaget informerade "proaktivt" kunder med funktionen aktiverad. Antalet påverkade kunder avslöjades inte.
Credential stuffing innebär att angripare använder listor med användarnamn och lösenord som erhållits från tidigare dataintrång eller kampanjer med nätfiske och skadlig kod för att logga in på onlinetjänster.
Okta råder användare att granska hyresgästloggar för oväntade inloggningshändelser - misslyckad cross-origin-autentisering (fcoa), lyckad cross-origin-autentisering (scoa) och lösenordsbrott (pwd_leak). Användare bör rotera autentiseringsuppgifter, begränsa eller inaktivera cross-origin autentisering, aktivera upptäckt av lösenordsbrott eller Credential Guard, förbjuda svaga lösenord och registrera sig för lösenordslös, phishing-resistent autentisering med hjälp av nya standarder som t.ex. passkeys.
Denna varning följer på en nyligen publicerad varning om ökade "credential stuffing"-attacker som underlättas av proxytjänster.
Över 90 skadliga Android-appar hittade på Google Play, installerade 5,5 miljoner gånger och sprider banktrojanen Anatsa
Över 90 skadliga Android-appar har upptäckts på Google Play, med över 5,5 miljoner installationer, som levererar skadlig kod och adware. Framför allt har banktrojanen Anatsa, även känd som "Teabot", ökat i aktivitet på senare tid. Anatsa riktar in sig på över 650 applikationer hos finansinstitut i Europa, USA, Storbritannien och Asien och försöker stjäla inloggningsuppgifter till e-banker för bedrägliga transaktioner.
Threat Fabric rapporterade i februari 2024 att Anatsa hade infekterat minst 150 000 enheter via Google Play sedan slutet av förra året, med hjälp av skenbara produktivitetsappar. Zscalers analys visade att två sådana appar redan hade nått 70 000 installationer, vilket belyser sårbarheten i Googles granskningsprocess.
Anatsas droppappar undgår upptäckt genom en flerstegs laddningsmekanism för nyttolast som omfattar fyra steg: hämtning av konfiguration och strängar från C2-servern, nedladdning och aktivering av en skadlig DEX-fil, hämtning av en konfigurationsfil med nyttolastens URL och installation av APK för skadlig kod.
