En internationell brottsbekämpande operation, med kodnamnet "Operation Endgame", har beslagtagit över 100 servrar över hela världen som används av stora malware-operationer, inklusive IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader och SystemBC.
Operationen, som genomfördes mellan den 27 och 29 maj 2024, omfattade 16 platsundersökningar i Europa och resulterade i fyra gripanden - ett i Armenien och tre i Ukraina. Åtta rymlingar har identifierats och kommer att läggas till på Europols "Most Wanted"-lista. Den beslagtagna infrastrukturen, som var spridd över Europa och Nordamerika, innehöll över 2 000 domäner, som nu befinner sig under myndigheternas kontroll.
Operation Endgame stöddes av polisstyrkor från Tyskland, USA, Storbritannien, Frankrike, Danmark och Nederländerna, med underrättelser från Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus och DIVD.
Malware Droppers etablerar initial åtkomst till enheten, ofta via skadliga e-postmeddelanden eller trojaniserade installationsprogram. De utvecklas från banktrojaner, fokuserar på initial åtkomst och använder undvikande taktiker. När de väl har etablerat sig distribuerar de skadligare nyttolaster, till exempel informationstjuvar och utpressningstrojaner. Europol avslöjade att en misstänkt tjänade över 69 miljoner euro genom att hyra ut infrastruktur för distribution av utpressningstrojaner.
Hotaktörer har utnyttjat en mycket allvarlig Check Point Remote Access VPN zero-day-sårbarhet sedan åtminstone 30 april och stulit Active Directory-data för att röra sig lateralt genom offrens nätverk.
Check Point varnade kunder för att angripare riktar in sig på deras säkerhetsgateways genom att använda gamla lokala VPN-konton med osäker autentisering med endast lösenord. Sårbarheten, som spåras som CVE-2024-24919, gör det möjligt för angripare att läsa information på internetanslutna gateways med fjärråtkomst VPN eller mobil åtkomst aktiverad. Check Point släppte hotfixar för sårbara CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways och Quantum Spark för att blockera dessa attacker.
Trots Check Points meddelande om att zero-day exploateringen skulle ha börjat runt den 24 maj, observerade cybersäkerhetsföretaget mnemonic exploateringsförsök så tidigt som den 30 april. Felet är särskilt kritiskt på grund av att det är lätt att utnyttja på distans utan användarinteraktion. Angripare har extraherat lösenordshashar, inklusive sådana som används för att ansluta till Active Directory, vilket möjliggör lateral rörelse inom nätverk.
Check Point rekommenderar sina kunder att uppdatera systemen, ta bort sårbara lokala användare, byta lösenord för LDAP-anslutningar, söka i loggar efter tecken på intrång och uppdatera Check Point IPS-signaturen.
Okta varnar för att en funktion för cross-origin autentisering i Customer Identity Cloud (CIC) är mottaglig för "credential stuffing"-attacker från hotaktörer.
Misstänkt aktivitet började den 15 april 2024, och företaget informerade "proaktivt" kunder med funktionen aktiverad. Antalet påverkade kunder avslöjades inte.
Credential stuffing innebär att angripare använder listor med användarnamn och lösenord som erhållits från tidigare dataintrång eller kampanjer med nätfiske och skadlig kod för att logga in på onlinetjänster.
Okta råder användare att granska hyresgästloggar för oväntade inloggningshändelser - misslyckad cross-origin-autentisering (fcoa), lyckad cross-origin-autentisering (scoa) och lösenordsbrott (pwd_leak). Användare bör rotera autentiseringsuppgifter, begränsa eller inaktivera cross-origin autentisering, aktivera upptäckt av lösenordsbrott eller Credential Guard, förbjuda svaga lösenord och registrera sig för lösenordslös, phishing-resistent autentisering med hjälp av nya standarder som t.ex. passkeys.
Denna varning följer på en nyligen publicerad varning om ökade "credential stuffing"-attacker som underlättas av proxytjänster.
Över 90 skadliga Android-appar har upptäckts på Google Play, med över 5,5 miljoner installationer, som levererar skadlig kod och adware. Framför allt har banktrojanen Anatsa, även känd som "Teabot", ökat i aktivitet på senare tid. Anatsa riktar in sig på över 650 applikationer hos finansinstitut i Europa, USA, Storbritannien och Asien och försöker stjäla inloggningsuppgifter till e-banker för bedrägliga transaktioner.
Threat Fabric rapporterade i februari 2024 att Anatsa hade infekterat minst 150 000 enheter via Google Play sedan slutet av förra året, med hjälp av skenbara produktivitetsappar. Zscalers analys visade att två sådana appar redan hade nått 70 000 installationer, vilket belyser sårbarheten i Googles granskningsprocess.
Anatsas droppappar undgår upptäckt genom en flerstegs laddningsmekanism för nyttolast som omfattar fyra steg: hämtning av konfiguration och strängar från C2-servern, nedladdning och aktivering av en skadlig DEX-fil, hämtning av en konfigurationsfil med nyttolastens URL och installation av APK för skadlig kod.
Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kundansvarige eller kontakta oss för att ta reda på hur du kan skydda din organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Integrity360's flagship conference Security First comes to Stockholm in 2023!
Join leading cybersecurity experts from across the community as we explore the latest threats and industry trends, and learn practical strategies to safeguard your organisation.