Cyberattaque en 2023

Contents

Menaces de cybersécurité affectant les entreprises en août 2023

Nous rendons la sécurité simple et sans tracas pour des milliers
des sites Web et des entreprises du monde entier.

Cyber ​​attaques récentes – 2023

Nivedita James

Nivedita est un écrivain technique d’Astra qui a un profond amour pour la connaissance et tout ce qui est curieux de nature. Un lecteur passionné dans l’âme, elle a trouvé son appel à écrire sur le référencement, la robotique et actuellement la cybersécurité.

Ce site utilise Akismet pour réduire le spam. Apprenez comment vos données de commentaires sont traitées.

0 commentaire
Rétroactions en ligne
Afficher tous les commentaires

Articles Liés

Gestion de la vulnérabilité basée sur les risques

scanne de vulnérabilité continue

Équipe rouge vs bleu

Psst! Salut. Nous sommes Astra.

Nous rendons la sécurité simple et sans tracas pour des milliers
des sites Web et des entreprises du monde entier.

Notre suite de produits de sécurité comprend un scanner de vulnérabilité, un pare-feu, un scanner de logiciels malveillants et des Pentestes pour protéger votre site des forces du mal sur Internet, même lorsque vous dormez.

  • Obtenez un Pentest
  • Protégez votre site Web

Terre araignées cartes insectesaraignées

Nous rendons la sécurité simple et sans tracas pour des milliers de sites Web et d’entreprises dans le monde entier.

Voir nos critiques élogieuses sur

Pente

  • Caractéristiques
  • Web Pentest
  • Mobile Pentest
  • Cloud
  • Blockchain Pentest
  • Réseau Pentest

Protection du site Web

  • Caractéristiques
  • Pour les agences
  • Protection WordPress
  • Protection magento
  • Protection de Prestashop
  • Protection OpenCart

Entreprise

Ressources

  • Blog de sécurité Astra
  • Vérificateur de liste noire
  • Scanner de sites Web
  • Vérificateur de spam de référence
  • Cours de sécurité

Fait avec ❤️

Copyright © 2022 Astra It, Inc. Tous droits réservés.

Menaces de cybersécurité affectant les entreprises en août 2023

Menaces de cybersécurité affectant les entreprises en août 2023

Cybersécurité et criminalistique numérique

Les menaces de cybersécurité augmentent rapidement. En conséquence, les chefs d’entreprise doivent être plus conscients des lacunes potentielles dans leur stratégie globale de cybersécurité. Les requêtes de chasse aux menaces, offertes dans le cadre des services SOC de Marcum Technology, sont essentielles pour identifier les menaces potentielles dans l’environnement d’une organisation.

Vous trouverez ci-dessous les quatre principales menaces qui ont émergé au cours du dernier mois.

BlackByte 2.0

Les attaques de ransomwares sont un problème croissant pour les organisations du monde entier, à la fois dans la portée et la gravité. L’équipe de réponse aux incidents de Microsoft a enquêté sur le récent Blackbyte 2.0 Attaques de ransomwares, révélant la vitesse alarmante et la nature destructrice de ces cyber-frappes. Les résultats indiquent que les pirates peuvent exécuter l’ensemble du processus d’attaque, de l’accès initial à causer des dommages importants, en seulement cinq jours. Ils infiltrent rapidement les systèmes, cryptent des données cruciales et exigent une rançon pour sa libération. Ce calendrier condensé pose un défi important pour les organisations qui s’efforcent de se défendre contre ces opérations malveillantes.

  Ρύθμιση δρομολογητή Nordvpn Asus

Le ransomware BlackByte est utilisé dans la dernière étape de l’attaque, en utilisant une clé de numéro à 8 chiffres pour crypter les données. Les attaquants utilisent une puissante combinaison d’outils et de techniques, en profitant des serveurs Microsoft Exchange non corrigés pour accéder et jeter les bases de leurs activités malveillantes. Processus de creux, de stratégies d’évasion antivirus, de coquilles Web pour l’accès à distance et de balises de frappe de cobalt pour les opérations de commandement et de contrôle améliorent encore leurs capacités, ce qui rend les organisations plus difficiles à défendre contre eux. De plus, les cybercriminels utilisent des outils de «vivre de la terre» pour camoufler leurs activités et éviter la détection. Ils modifient les copies de volume d’ombre sur les machines infectées pour éviter la récupération des données grâce à des points de restauration du système et déployer des délais personnalisés pour un accès persistant même après le compromis initial.

À mesure que les attaques de ransomware deviennent plus fréquentes et sophistiquées, les acteurs de la menace peuvent rapidement perturber les opérations commerciales si les organisations ne sont pas suffisamment préparées. La gravité de ces attaques nécessite une action immédiate des organisations du monde entier, et en réponse à ces résultats, Microsoft fournit des recommandations pratiques. Il encourage la mise en œuvre de procédures de gestion des correctifs robustes pour appliquer tôt les mises à jour de sécurité critiques. Activer la protection de la stimulation est également cruciale car elle renforce les solutions de sécurité contre les tentatives malveillantes de les désactiver ou de les contourner. En suivant les meilleures pratiques, telles que le maintien de systèmes à jour et la restriction des privilèges administratifs, les organisations peuvent atténuer considérablement le risque d’attaques de ransomwares noir et d’autres menaces similaires.

Campagne d’azote tirant parti de DLL à chargement latérale pour C2

Dans une récente campagne, surnommée «azote», la charge latérale DLL a été vue en train d’être exploitée pour C2 Communications. Au lieu du vecteur habituel du phishing, l’attaque a commencé par un téléchargement au volant à partir d’un site Web WordPress compromis. Le fichier, une image ISO, contient un fichier d’installation qui doit être exécuté manuellement par l’utilisateur final. Le programme d’installation procède alors à charger le MSI.Fichier DLL et décrypte le fichier de données qui l’accompagne. Une distribution de python intégrée et la DLL sont abandonnées pour être élue sur le chemin C: \ Users \ Public \ Music \ Python de l’utilisateur.

Le malware crée alors une tâche planifiée: «OneDrive Security Task-1-5-21-5678566754-9123742832-2638705499-2003», Qui exécute Pythonw.exe. Cela accorde la persistance des logiciels malveillants. La tâche planifie pour déclencher au démarrage du système et expire le 1er décembre 2029, à minuit.

  Pasos de algoritmo AES

Avec la persistance établie, le malware peut exercer ses fonctions. Il a été vu en utilisant une charge de touche DLL pour maintenir une connexion persistante avec les serveurs C2, et va jusqu’à récupérer des données compressées / codées, puis l’exécuter localement.

La grève de Cobalt a été observée comme une charge utile choisie à un moment donné, et il semble que d’autres pouvaient également être mis en œuvre. Ce logiciel malveillant a certainement le potentiel de causer de grands dommages, mais dans cette campagne, la consolation est que l’utilisateur doit exécuter manuellement un fichier téléchargé via un téléchargement de lecteur à partir d’un site Web compromis. Cela pourrait cependant être livré par le phishing qui reste l’un des vecteurs les plus courants en raison de sa facilité et de son efficacité.

Distribution de logiciels malveillants à la mise à jour de Lazarus

Les chercheurs ont découvert que Lazarus, un groupe financé à l’échelle nationale, attaque les serveurs Web de Windows Internet Information Service (IIS) et les utilise pour répandre les logiciels malveillants. Le groupe est connu pour utiliser des techniques d’arrosage pour obtenir un accès initial. Lorsqu’une numérisation détecte un serveur avec une version vulnérable, il utilise la vulnérabilité adaptée à la version pour installer un webshell, télécharger des fichiers ou exécuter des commandes. L’attaque récemment identifiée a montré que les souches de logiciels malveillantes du groupe des menaces de Lazarus ont été générées par W3WP.EXE, un processus de serveur Web IIS. Le malware généré par le w3wp.Le processus EXE est usopriv.EXE, un malware de Juicypotato emballé avec themida.

Les souches de logiciels malveillants de pommes de terre sont responsables de l’escalade des privilèges. Il existe plusieurs types exploités, notamment de la juicypotato, des pourrines et de la patate douce, selon la méthode d’escalade des privilèges. Les souches de pomme de terre augmentent le privilège en abusant des processus avec certains privilèges activés. Par la suite, l’acteur de menace peut effectuer des actions malveillantes en utilisant le privilège élevé. Le commandement Whoami a été utilisé pour vérifier si l’escalade des privilèges a été réalisée. Un journal a également été trouvé montrant qu’un logiciel malveillant de chargeur responsable du comportement malveillant réel avait été exécuté. Le chargeur est au format DLL, donc Rundll32 a été utilisé pour l’exécuter. Le chargeur décrypte le nom de fichier des données à utiliser et obtient une chaîne. Cette chaîne est le nom du fichier de données qui est recherché dans un total de trois chemins. Le malware du chargeur décrypte ensuite les fichiers de données cryptés et les exécute dans la zone de mémoire.

  Γνωρίζει τα πάντα η Google

Le groupe Lazare a également été vu en utilisant divers autres vecteurs d’attaque pour un accès initial tels que les vulnérabilités de certificat conjoint et les attaques de chaîne d’approvisionnement 3CX. C’est l’un des groupes de menaces les plus dangereux qui opérent actuellement et c’est très actif à l’échelle mondiale. Ils utilisent continuellement des attaques de vulnérabilité pour accéder à des systèmes non corrigés. Si un système n’a pas la dernière version d’un produit vulnérable installé, la dernière mise à jour doit être appliquée immédiatement.

Vulnérabilités de Microsoft

Dans la dernière série de mises à jour, Microsoft a abordé deux vulnérabilités zéro jour, à savoir CVE-2023-36884 et CVE-2023-38180. Ces vulnérabilités ont été activement exploitées par les acteurs de la menace et ont provoqué une action rapide de Microsoft. La mise à jour de ce mois-ci couvre également les correctifs pour 87 autres vulnérabilités, soulignant l’importance de rester vigilant contre les cyber-menaces potentielles.

CVE-2023-36884, une vulnérabilité d’exécution du code distant, a été utilisé par l’acteur de la menace russe Storm-0978 / ROMCOM. Ce défaut a permis aux attaquants de manipuler intelligemment les documents de Microsoft Office pour échapper aux mécanismes de sécurité comme la marque du Web (MOTW), leur permettant d’exécuter du code à distance. Microsoft a répondu avec une mise à jour en profondeur de défense de bureau pour atténuer ce risque. Storm-0978 / RomCom, précédemment impliqué dans le déploiement du ransomware d’espionnage industriel, a récemment renommé «underground» et a élargi ses activités pour inclure l’extorsion du ransomware.

Une autre vulnérabilité inquiétante, CVE-2023-38180, a également reçu l’attention dans cette mise à jour. Bien que Microsoft n’ait pas révélé de détails spécifiques sur son exploitation ou l’identité du découvreur, cette vulnérabilité a été activement abusée et pourrait potentiellement conduire à des attaques de déni de service distribué (DDOS) .Applications nettes et Visual Studio. Notamment, ce défaut ne nécessite pas que l’attaquant possède des privilèges d’utilisateurs sur le système cible, ce qui en fait une préoccupation plus grave.

Les experts en sécurité conseillent aux organisations de prendre des mesures rapides en mettant en œuvre les mesures de sécurité recommandées et en appliquant les correctifs fournis. Ces mises à jour rappellent les cybermenaces toujours présents qui nécessitent des efforts cohérents pour protéger les systèmes et les données de violations potentielles.

Si vous êtes confronté à des défis liés aux menaces de cybersécurité, aux violations et aux mauvais acteurs, ou si vous souhaitez en savoir plus sur l’identification des menaces potentielles pour votre organisation, contactez Marcum Technology dès aujourd’hui.