Phishing útoky na Netflix predplatiteľov, vážna zraniteľnosť v sudo, Emotet na kolenách

92

Phishing, Netflix, sudo, Emotet – Podcast č. 92 je tu a plný zaujímavých správ!

Podcast č. 92. publikujeme o nejaký deň neskôr, ale tak ako vy aj my bojujeme so zdravotnými a technickými problémami, takže nám drobné zdržanie hádam odpustíte. Obsah však stojí zato, aby ste si ho vypočuli celý a zistili podrobnosti: phishing na Netflix predplatiteľov, sudo problém, či Emotet bot na kolenách …

  1. Vzdelávacie okienko:

Tak ako iné technológie aj svet kybernetickej bezpečnosti je bohatý na množstvo skratiek. Niektoré sú už bytostne známe, pretože sa objavili už pred takmer dvoma desiatkami rokov, niektoré sú tu desať rokov a niektoré sa objavujú posledný rok dva. Schválne, ktorá skratka vám niečo hovorí? IPS, IDS, DLP, SIEM, UEBA, TIP, SOAR ?

Možno skratka SOAR bude o rok/dva rovnako známa ako IPS, či SIEM.
Tak si vypočujte nášho sprievodcu skratkami niektorých technológií.

  1. Rozhovor na tému automatizácie reakcie na udalosti

Rozprávame sa s odborníkom v danej oblasti. Pri mikrofóne je Roman Čupka.
Senior Principal Consultant spoločnosti Flowmon Networks
a CEO spoločnosti Synapsa Networks
 

  1. V útoku na SolarGate spoločnosť Symantec objavila 4. kmeň malvéru

https://www.zdnet.com/article/fourth-malware-strain-discovered-in-solarwinds-incident/

O ukážkovom útoku formou supply chain attack sme podrobne hovorili v predchádzajúcej – 91.časti podcastu.

Ku trom kmeňom malvéru: Sunspot, Sunburst (Solarigate) a Teardrop pridala spoločnosť Symantec štvrtý kmeň: Raindrop

  1. Útok na SolarWinds má aj terciálny efekt

www.zdnet.com/article/fsb-warns-of-us-cyberattacks-after-biden-administration-comments/

Na prvom brífingu Bieleho domu po zvolení Joa Bidena za prezidenta pri komentovaní útoku na SolarWinds zaznelo: „Spojené štáty si vyhradzujú právo na to, kedy a ako odpovedia na akýkoľvek kybernetický útok“.

Národné koordinačné centrum pre počítačové incidenty, čo je bezpečnostná agentúra založená ruskou Federálnou Bezpečnostnou službou – FSB – pár hodín po brífingu vydalo bezpečnostný buletin, v ktorom jednak vyjadrenie Bieleho domu interpretuje ako priamu hrozbu Bieleho domu kybernetickým útokom na Kremeľ a Rusko, a tiež uvádza 15 rád, ako útoku z Bieleho domu odolať, resp. nepodľahnúť.

Rady sú tu nižšie, zdroj: ZDnet.com ale „Biely dom“ mohol byť diplomatickejší.

  1. BITCOIN

https://twitter.com/BitMEXResearch/status/1351855414103715842

https://cybernews.com/news/bitcoin-heads-for-worst-weekly-loss-in-months/

Prudký pokles 21.januára bol spôsobený krátkou správou spoločnosti BitMEX, ktorá sa považuje za jedného z najväčších obchodníkov v oblasti kryptomien.

Vo svojom twíte uviedla správičku, že zrejme prvý krát došlo k tzv Double-spend.

Znamená to, že technológia blockchain má bezpečnostnú dieru?

Všetko je ináč, vypočujte si.

  1. Útočníci zo Severnej Kórei sa zameriavajú na bezpečnostných výskumníkov

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

Skupina venujúca sa analýze hrozieb v spoločnosti Google identifikovala kampaň, ktorá prebieha už niekoľko mesiacov a je zameraná na bezpečnostných výskumníkov pracujúcich v rôznych bezpečnostných firmách

Aktéri útoku založili množstvo falošných výskumných blogov a profilov na Twitteri.

Ako postupujú a čo zneužívajú?
Na blogu googlu je  široký zoznam Indicators of Compromise!

  1. V nástroji SUDO existovala 10 rokov vážna zraniteľnosť

https://www.bleepingcomputer.com/news/security/new-linux-sudo-flaw-lets-local-users-gain-root-privileges/

https://www.sudo.ws/stable.html#1.9.5p2

https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

Chyba, sa objavila od verzie 1.8.2 , ktorá bola predstavená v júly 2011 a vyskytuje sa vo verziách od 1.8.2 po 1.8.31p2 a tiež vo verziách stable od 1.9.0 po 1.9.5p1

Výskumný tím spoločnosti Qualys, ktorý na to prišiel začiatkom tohto roka, úspešne vytvorili exploity, ktoré túto zraniteľnosť dokázali využiť a získať neoprávnený root prístup do systému.

Bleepingcomputer uvádza aj rýchly testík zraniteľnosti. Ak chcete otestovať, či máte na svojom systéme zraniteľný sudo nástroj, tak ako bežný používateľ  zadajte príkaz
„sudoedit -s /“ .

Ak máte zraniteľný nástroj, tak vám systém vypíše chybovú hlášku začínajúcu ako „sudoedit:“

Ak nemáte zraniteľný, tak vypíše chybovú hlášku začínajúcu slovom „Usage:“

Administrátori, ktorí sudo používajú, by teda mali okamžite siahnuť po upgrade na verziu 1.9.5p2 ktorú nájdu na portály www.sudo.ws

  1. Netfilx je opäť v centre pozornosti phishingových kampaní.

https://www.computerweekly.com/news/252480442/Thousands-of-Netflix-Disney-streaming-accounts-being-stolen

https://www.generation-nt.com/phishing-gare-faux-email-netflix-actualite-1984488.html

https://www.birminghammail.co.uk/news/midlands-news/netflix-uk-users-hit-urgent-19644914

https://myhackingworld.com/hack-netflix-free-premium-account/

Informáciu o nových phishingových útokoch priniesol 22.1.2021 Sk-CERT vo svojom informačnom zhrnutí TL;DR na 3. týždeň, …. nájdete to tam.
Samotný Netflix na stránke help.netfilx.com upozorňuje, doslova, že:
„My nikdy nevyžadujeme vaše osobné údaje cez SMS alebo e-mail, vrátane kreditných a debetných kariet, detailov o bankovom účte alebo netflix heslá“

Netflix zároveň odporúča, ak taký mail dostanete určite neklikať na žiadne linky ale ho rovno preposlať na mailovú adresu phishing@netflix.com

Aké sú naše odporúčania?

  1. Príklad úspešnej operácie bezpečnostných autorít 8 krajín sveta.

https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action

Spoločná snaha bezpečnostných organizácií Holandska, Nemecka, USA, Veľkej Británie, Francúzska, Litvy, Kanady a Ukrajiny viedla k narušeniu jednej z najvýznamnejších botnetových sietí a to siete botnetu Emotet a k prevzatiu kontroly nad jej infraštruktúrou.

O Emotete dosť rozprávali v 84. časti podcastu Incident v októbri 2020.

Poskytoval svoje služba aj spôsobom Malvare-as-a-Service (teda dal sa prenajať) a otváral dvere iným škodlivým útokom typu TrickBot, alebo ransomware Ryuk

Infraštruktúra botnetovej siete EMOTET zahŕňala niekoľko stovák serverov umiestnených po celom svete, pričom tieto servery plnili rôznu skupinu úloh.

V rámci akcie bola okrem iného nájdená kompletná databáza obsahujúca e.mailové adresy, používateľské mená a heslá, ktoré sa pomocou Emotetu podarilo ukradnúť.

Či k nim náhodou nepatríte si môžete skontrolovať na stránke holandskej polície: www.politie.nl/emocheck

Treba veriť, že diplomacia a spolupráca na medzinárodnej úrovni bude pokračovať. Ostatne, spomína sa aj v novej Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025 z dielne NBÚ, o ktorej sme hovorili v podcaste č. 91.

Úsmev na záver:

Šéf: Ako ste len mohol byť taký hlúpy a kliknúť na ten link v maily od Nigerijskej národnej banky!

Zamestnanec: No…, je pravda, že prvé, čo mi napadlo bolo, že ja som si nikdy žiaden účet v Nigerijskej národnej banke nezriaďoval.
Ale potom som sa zamyslel a povedal som si, že to ešte neznamená, že ho tam nemám ….tak som klikol

Príjemné počúvanie! 🙂

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ