Veckans Cyber News uppdateringar

10:e Juli till 14:e Juli 2023

Sårbarheter

Microsoft släpper lösningar för 132 säkerhetsrisker, inkluderat utnyttjade zero-days

Microsoft släppte under tisdagen lösningar för 132 säkerhetsrisker, inkluderat 6 st zero-days som aktivt utnyttjats. Bland dessa är 9 st bedömda som kritiska, 122 är viktiga samt en mindre viktig. Detta följer patchningen av 8 st problem i dess Chrome-baserade Edge.browser i förra månaden.

Aktivt utnyttjade problem inkluderar:

  • CVE-2023-32046: Elevation of Privilege sårbarhet i Windows MSHTML plattform.
  • CVE-2023-32049: Security Feature Bypass sårbarhet I Windows SmartScreen.
  • CVE-2023-35311: Security Feature Bypass sårbarhet I Windows Outlook.
  • CVE-2023-36874: Elevation of Privilege sårbarhet i Windows Error Reporting Service.
  • CVE-2023-36884: Remote Code Execution sårbarhet i Office och Windows HTML, känd vid utgivningstillfället.
  • ADV230001: Skadlig användning av Microsoft-signerade drivrutiner för aktivitet efter exploatering.

Angriparna har siktat in sig på försvars- och regeringsenheter i Nord Amerika samt Europa, exploaterat CVE-2023-36884 med falska Microsoft Office dokument med en ukrainsk världskongress som tema. Förövarna misstänks vara den ryska cyberkriminalgruppen Storm-0978, också känd som RomCom, Tropical Scorpius, UN2596 och Void Rabisu, vilka är länkade till spridning av Underground ransomware och Industrial Spy ransomware.

De senaste kampanjerna har involverat phishing attacker, spridning av en fjärrstyrd trojan kallad RomCom RAT mot ukrainska samt ukrainskvänliga mål. Microsoft siktar på att skydda sina kunder, möjligtvis via en out-of-band uppdatering eller via dess månadsvis utförda uppdateringsprocess. Dem råder användare att använda en attackyta reducering (ASR) regel i avsaknad från en patch för CVE-2023-36884.

Teknikjätten har också återkallat certifikat som utnyttjas av angripare för att installera skadliga drivrutiner via ett kryphål i Windows-policyn. Detta visar på en ökning av användningen av oseriösa kärnlägesdrivrutiner från hotaktörer för att undvika upptäckt.

Om du behöver assistans med uppdatering eller din allmänna cybersäkerhet hör av dig oss gällande vår Threat & Vulnerability Management service.

Quick News Bites

Australien och Nya Zeelands kritiska infrastruktur påverkad av cyberattack

Tillhandahållare av kritisk infrastrukturs tjänster, Ventia, rapporterade att en cyberattack hade skett under helgen vilket lett till att vissa system tagits offline för att förhindra skada. Ventia erbjuder långtidsförvaltning och underhållstjänster för kritiska infrastruktursenheter inom försvar, elektricitet, gas, miljö och vattensektorer. Firman är verksam på över 400 platser i Australien och Nya Zeeland med en arbetskraft som överskrider 35 000 personer.

Ventia konfirmerade att dem isolerat vissa nyckelsystem som reaktion på cyberattacken. Företaget har tagit in externa experter samt samarbetar med polis för att utreda incidenten. Ventias primära mål under denna process har varit att säkerställa säkerheten för dess klienter, personal och intressenter.

Ventia konstaterade att dess tjänster har fortgått under noggrann nätverksövervakning för att upptäcka irreguljära aktiviteter, och företaget uppskattar att dem under de nästkommande dagarna kommer att kunna återgå till normal aktivitet. Då specifika detaljer kring incidenten inte avslöjats antas filkrypterade ransomware kunna vara involverat, då systemisolering är en vanlig responsstrategi. Ventia har ännu inte avslöjat om någon data äventyrats under cyberattacken.

Trinindad och Tobagos statliga myndighet störs av cyberattack

Trinidad och Tobagos rättsministerium (AGLA) hanterar utfallet av en nyligen utförd cyberattack som stör dess verksamhet. Med en befolkning på 1.4 miljoner, avslöjade önationen att ministeriet för digital transformation förra fredagen upptäckt en cyberattack mot AGLA.

Det specifika datumet för attacken är okänt, men AGLA har rapporterat avbrott och verksamhetsstörningar från den 30:e juni och framåt, med elektroniska dokument från det datumet framåt som har lämnats olästa. Ministeriet erkänner att intrånget signifikant stört dess samt tillhörande avdelningars verksamhet.

Efter initiala åtgärder för hotminimering har en pågående utredning i samarbete med cybersäkerhetsexperter inletts. Vissa tjänster har temporärt varit otillgängliga till följd av cyberattacken.

AGLA har inte gett något svar när dem skulle vara tillbaka i full kapacitet. Statliga jurister har rapporterat att dem inte kunnat tillgå kritiska dokument samt e-postmeddelanden inför kommande rättegångar. Trinidads och Tobagos cybersäkerhet incidentresponsteam (TT-CSIRT) utfärdade ett råd där de uppmanade organisationer att förbereda sig på ökade ransomware attacker.

De senaste månaderna har sett flertalet cyberattacker mot myndigheter och infrastruktur på önationer över hela världen, inkluderat Martinique, Guadeloupe, Vanuatu och Tonga. Trinidad föll även offer för en attack förra året på dess största livsmedelkedja.

University of West Scotland påverkad av cyberincident

University of West Scotland (UWS) hanterade en cyberincident som tog ned dess websida under flera dagar. Universitetet arbetar med National Cyber Security Centre, den skotska polisen och den skotska regeringen för att hantera situationen. Trots störningen har universitetet försäkrat att den kommande examen kommer att hållas som planerat och den skotska polisen har konfirmerat att en utredning inletts. National Cyber Security Centre har tillhandahållit support till UWS under incidenten. Universitetet som har campus i Paisley, Ayr, Dumfries, Blantyre och London gör stadiga framsteg för att avklara incidenten genom en kontrollerad process i samarbete med extern hjälp. Universitetet fortsätter ta alla nödvändiga försiktighetsåtgärder för att återställa dess digitala system.

Fanfiction arkivet AO3 återhämtar sig efter DDoS attack

Fanfiction plattformen Archive of Our Own (AO3) har återhämtat sig efter en serie distributed-denial-of-service (DDoS) attacker som hade släckt webbsidan i över ett dygn. Företaget konfirmerade på Twitter att DDoS attacken fått dess server att krascha.

AO3 tillkännagav att dem var tillbaka online på tisdagen, dem uppgav dock att vidare optimering var nödvändig för dess nyligen implementerade Cloudflare system. Trots mindre fördröjningar vid laddning så var hemsidan tillgänglig.

En grupp som påstår sig vara Anonymous Sudan tog äran för attacken och har begärt en lösensumma för att avbryta sin operation. AO3 försäkrar sina användare att denna typ av attack inte äventyrar personliga data, och att det därmed inte finns ett behov att byta lösenord.

AO3 ber sina användare att betrakta gruppens påståenden med skepticism, citerar cybersäkerhetsexperter som ifrågasätter gruppens tillhörigheter och motiv. Trots att gruppen hotar med fortsatta attacker och begär lösen motsvarande 30 000 dollar i Bitcoin så är det med svag sannolikhet att AO3, en volontärledd plattform som är beroende på användardonationer, skulle kunna betala detta lösen, även om hotet är legitimt.

Hackare stal 20 miljoner dollar från det finansiella teknikföretaget, Revolut

Cyberkriminella stal över 20 miljoner dollar från det finansiella teknikföretaget Revolut, de utnyttjade ett kryphål i mjukvaran inom dess betalningssystem i USA.

Enligt en rapport från Financial Times (FT) så gick cybersäkerhetsläckan oupptäckt under flertalet månader under 2022. Problemet har fortfarande inte publikt adresserats av Revolut.

Enligt FTs källor orsakade mjukvarufelet kommunikationsproblematik mellan Revoluts amerikanska och europeiska betalningssystem. Nekade transaktioner blev av misstag återbetalda av banken i stället för av kontoinnehavarens medel, ett kryphål som skamlöst utnyttjades av cyberkriminella till att stjäla ungefär 23 miljoner dollar.

Trots att återbetalningsfelet flaggades under 2021 kunde organiserade kriminella göra substantiella betalningar de viste skulle nekas i 2022, varpå de sedan tog ut de felaktigt återbetalda summorna via bankomater.

När Revoluts amerikanska partnerbank noterade de minskande tillgångarna fick företaget larm om mjukvarusårbarheten vilken åtgärdades under våren 2022. Trots att en del av pengarna kunde återvinnas fick företaget uthärda en total förlust på cirka 20 miljoner dollar. Denna incident påvisar hur cyberattacker ofta kan fortgå under lång tid oupptäckta.

Om du är orolig över något utan hoten som beskrivits ovan i denna rapport eller behöver hjälp att avgöra vilka steg du behöver ta för att skydda från dem flesta väsentliga hot som din organisation står inför, vänligen ta kontakt med din kontoansvarige eller alternativt ta kontakt med oss för att ta reda på hur du kan skydda din organisation.

 Avslutande sammanfattning

Om du är orolig för något av hoten som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten som din organisation står inför, kontakta din kontoansvarige alternativt ta kontakt för att ta reda på hur du kan skydda din organisation.

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.

Need advice?

If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.

More detailed threat intelligence news?

If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.

We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.

Security-first-stacked-logo4-No-Padding

Cyber Security Conference

LONDON | 28 April 2022
DUBLIN | 11 May 2022

Join us in Dublin or London for the Security First 2022 conference.  We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.