Slot Gacor https://www.clubelbruz.com/Comunidad/perfil/daftar-situs-slot-gacor-terbaru-2022/ https://www.clubelbruz.com/Comunidad/perfil/bocoran-slot-gacor-admin-slot-gampang-menang/ https://www.clubelbruz.com/Comunidad/perfil/slot-gacor-terpercaya-bonus-new-member/ https://www.clubelbruz.com/Comunidad/perfil/situs-judi-slot-online-gacor-2022/ https://www.clubelbruz.com/Comunidad/perfil/10-situs-judi-slot-online-terbaik-dan-terpercaya/ https://ruta99.gva.es/community/profile/link-situs-slot-online-gacor-2022/ https://ruta99.gva.es/community/profile/bocoran-slot-gacor-rtp-slot-tertinggi-hari-ini/ https://ruta99.gva.es/community/profile/situs-judi-slot-bonus-new-member-100-di-awal/ https://ruta99.gva.es/community/profile/10-situs-judi-slot-online-gacor-terbaik-2022/ https://ruta99.gva.es/community/profile/situs-judi-slot-online-gacor-jackpot-terbesar/ https://www.rozmah.in/profile/daftar-10-situs-judi-slot-online-terpercaya-no-1/profile https://www.philcoulter.com/profile/situs-judi-slot-online-jackpot-terbesar-2022/profile https://www.chefsgallery.com.au/profile/daftar-situs-judi-slot-online-gampang-menang-2022/profile https://www.eppa.com/profile/situs-judi-slot-online-gampang-menang-jp/profile https://www.wishboneandflynt.com/profile/kumpulan-judi-slot-gacor-gampang-menang/profile https://www.youth-impact.org/profile/daftar-10-situs-judi-slot-online-gampang-menang-terbaru/profile https://www.m3creative.net/profile/kumpulan-nama-nama-situs-judi-slot-online-paling-gacor-dan-terpercaya-2022/profile https://www.gtamultigames.com/profile/situs-judi-slot-online-jackpot-terbesar-2022/profile?lang=hi https://www.yuriageasaichi.jp/profile/daftar-nama-nama-10-situs-judi-slot-online-gacor-terbaik-2022/profile?lang=vi https://suphaset.info/question/daftar-situs-judi-slot-bonus-100-di-depan-new-member-baru-judi-slot-online-gacor-terbaru-hari-ini-2022-paling-gampang-menang-to-kecil/ https://www.extensionstudio.rs/profile/daftar-situs-judi-slot-gacor-gampang-menang-hari-ini-2022/profile https://www.thehenleyschoolofart.com/profile/situs-judi-slot-gacor-gampang-menang-hari-ini-2022/profile https://www.rozmah.in/profile/bocoran-situs-slot-gacor-hari-ini-gampang-jackpot/profile https://www.eminamclean.com/profile/daftar-situs-slot-gacor-terbaru-2022-terpercaya-gampang-menang/profile https://www.escoteirosrs.org.br/profile/daftar-link-situs-slot-online-gacor-2022-gampang-menang/profile https://www.finetaste.com.tw/profile/rekomendasi-situs-slot-online-gacor-winrate-tertinggi/profile https://www.andremehmari.com.br/profile/daftar-situs-judi-slot-bonus-100-di-depan/profile https://www.nejisaurus.engineer.jp/profile/bocoran-slot-gacor-admin-slot-gampang-menang-pragmatic-play/profile https://www.moralesfordistrict145.com/profile/situs-slot-bonus-new-member-100-150-200-di-awal-terbaru-2022/profile https://www.onephisigmasigma.org/profile/situs-slot-bonus-new-member-100-di-awal-bisa-beli-spin/profile https://www.gtamultigames.com/profile/bocoran-situs-slot-gacor-terbaru-pragmatic-play-hari-ini/profile?lang=en https://sns.gob.do/foro/perfil/situs-slot-gacor-gampang-menang-pragmatic-play/ https://sns.gob.do/foro/perfil/link-rtp-live-slot-gacor-2022/ https://sns.gob.do/foro/perfil/informasi-jadwal-bocoran-slot-gacor-hari-ini/ https://sns.gob.do/foro/perfil/judi-slot-terbaik-dan-terpercaya-no-1/ https://sns.gob.do/foro/perfil/situs-judi-slot-online-jackpot-2022/ https://animedrawn.com/forum/profile/bocoran-slot-gacor-hari-ini-terpercaya-2022/ https://animedrawn.com/forum/profile/bocoran-slot-gacor-hari-ini-terpercaya-2022/ https://animedrawn.com/forum/profile/slot-gacor-hari-ini-pragmatic-play-deposit-pulsa/ https://animedrawn.com/forum/profile/situs-judi-slot-terbaik-dan-terpercaya-no-1/ https://animedrawn.com/forum/profile/judi-slot-online-jackpot-terbesar/
exploits Archieven ✔️ News For Finance
Meer Amerikaanse agentschappen mogelijk gehackt, dit keer met Pulse Secure-exploits
Getty Images

Minstens vijf Amerikaanse federale agentschappen hebben mogelijk te maken gehad met cyberaanvallen die gericht waren op recent ontdekte beveiligingsfouten die hackers vrij spel geven over kwetsbare netwerken, zei het Amerikaanse Cybersecurity and Infrastructure Security Agency vrijdag.

De kwetsbaarheden in Pulse Connect Secure, een VPN die werknemers gebruiken om op afstand verbinding te maken met grote netwerken, omvatten een VPN waar hackers actief misbruik van maakten voordat het bekend was bij Ivanti, de maker van het product. De fout, die Ivanti onthuld vorige week, heeft een prioriteitsclassificatie van 10 op een mogelijke 10. De kwetsbaarheid voor het omzeilen van authenticatie stelt niet-vertrouwde gebruikers in staat om op afstand kwaadaardige code uit te voeren op Pulse Secure-hardware en van daaruit controle te krijgen over andere delen van het netwerk waar deze is geïnstalleerd.

Federale agentschappen, kritieke infrastructuur en meer

Beveiligingsbedrijf FireEye zei in een rapport gepubliceerd op dezelfde dag als de Ivanti-onthulling dat hackers die banden hebben met China maandenlang hebben besteed aan het misbruiken van de kritieke kwetsbaarheid om Amerikaanse defensiecontractanten en financiële instellingen over de hele wereld te bespioneren. Ivanti bevestigd in a apart bericht dat de zeroday-kwetsbaarheid, bijgehouden als CVE-2021-22893, actief werd misbruikt.

In maart, na de onthulling van verschillende andere kwetsbaarheden die nu zijn gepatcht, heeft Ivanti uitgebracht de Pulse Secure Connect Integrity Tool, die het proces stroomlijnt om te controleren of kwetsbare Pulse Secure-apparaten zijn gecompromitteerd. Na de onthulling van vorige week dat CVE-2021-2021-22893 actief werd misbruikt, heeft CISA dat verplicht: alle federale agentschappen voeren de tool uit

"CISA is op de hoogte van ten minste vijf federale civiele instanties die de Pulse Connect Secure Integrity Tool hebben uitgevoerd en aanwijzingen van mogelijke ongeoorloofde toegang hebben geïdentificeerd", schreef Matt Hartman, plaatsvervangend uitvoerend adjunct-directeur bij CISA, in een verklaring per e-mail. "We werken met elk bureau om te valideren of er een inbraak heeft plaatsgevonden en zullen dienovereenkomstig ondersteuning bieden bij incidenten."

CISA zei op de hoogte te zijn van compromissen van federale agentschappen, kritieke infrastructuurentiteiten en organisaties uit de particuliere sector die teruggaan tot juni 2020.

Ze blijven maar komen

De targeting van de vijf agentschappen is de laatste in een reeks grootschalige cyberaanvallen die de afgelopen maanden gevoelige overheids- en bedrijfsorganisaties hebben getroffen. In december ontdekten onderzoekers een operatie die het softwarebouw- en distributiesysteem van de maker van netwerkbeheertools SolarWinds besmette. De hackers gebruikten hun controle om push backdoor-updates tot ongeveer 18,000 klanten. Negen overheidsinstanties en minder dan 100 particuliere organisaties, waaronder: Microsoft, antivirusmaker Malwarebytes en Mimecast- kreeg vervolgaanvallen.
In maart maakten hackers misbruik van nieuw ontdekte kwetsbaarheid in Microsoft Exchange aangetast naar schatting 30,000 Exchange-servers in de VS en maar liefst 100,000 wereldwijd.
Microsoft zei dat Hafnium, de naam voor een in China opererende groep, achter de aanvallen zat. In de dagen die volgden begonnen hackers die niet bij Hafnium waren aangesloten de reeds gecompromitteerde servers infecteren om een ​​nieuwe vorm van ransomware te installeren.
Er hebben zich ook nog twee andere ernstige inbreuken voorgedaan, één tegen de maker van de Codecov software-ontwikkelaarstool en de andere tegen de verkoper van Passwordstate, een wachtwoordbeheerder die door grote organisaties wordt gebruikt om referenties op te slaan voor firewalls, VPN's en andere op het netwerk aangesloten apparaten. Beide inbreuken zijn ernstig, omdat de hackers ze kunnen gebruiken om het grote aantal klanten van de producten van de bedrijven in gevaar te brengen.

Ivanti zei dat het helpt bij het onderzoeken van en reageren op exploits, die volgens het bedrijf "op een zeer beperkt aantal klantsystemen zijn ontdekt".

"Het Pulse-team heeft snel actie ondernomen om het beperkte aantal getroffen klanten rechtstreeks te beperken en het risico voor hun systeem te verhelpen, en we zijn van plan om binnen enkele dagen een software-update uit te brengen", voegde een woordvoerder eraan toe.

Actief misbruikte Mac 0-day gecastreerde core OS-beveiligingsverdediging
Getty Images

Wanneer Apple heeft de nieuwste versie 11.3 voor macOS uitgebracht op maandag introduceerde het niet alleen ondersteuning voor nieuwe functies en optimalisaties. Wat nog belangrijker is, is dat het bedrijf een zero-day-kwetsbaarheid heeft opgelost die hackers actief misbruikten om malware te installeren zonder de belangrijkste Mac-beveiligingsmechanismen te activeren, waarvan sommige al meer dan tien jaar bestonden.

Samen bieden de verdedigingen een uitgebreide reeks beveiligingen die zijn ontworpen om te voorkomen dat gebruikers per ongeluk malware op hun Macs installeren. Terwijl een klik en zelfs Nul-klik exploits krijgen terecht veel aandacht, het is veel gebruikelijker om getrojaniseerde apps te zien die malware vermommen als een game, update of ander gewenst stukje software.

Gebruikers tegen zichzelf beschermen

De technici van Apple weten dat trojans een grotere bedreiging vormen voor de meeste Mac-gebruikers dan meer geavanceerde exploits die heimelijk malware installeren met minimale of geen interactie van gebruikers. Een kernonderdeel van Mac-beveiliging berust dus op drie gerelateerde mechanismen:

  • Bestandsquarantaine vereist expliciete gebruikersbevestiging voordat een van internet gedownload bestand kan worden uitgevoerd.
  • gatekeeper blokkeert de installatie van apps, tenzij ze zijn ondertekend door een bij Apple bekende ontwikkelaar.
  • Verplicht App-notarisatie staat toe dat apps pas worden geïnstalleerd nadat Apple ze heeft gescand op malware.

Eerder dit jaar begon een stukje malware dat bekend is bij Mac-beveiligingsexperts, misbruik te maken van een kwetsbaarheid waardoor het alle drie de mechanismen volledig kon onderdrukken. Het heet Shlayer en heeft een indrukwekkend record in de drie jaar sinds het verscheen.

Zo slaagde het er afgelopen september in om slagen voor de beveiligingsscan dat Apple vereist dat apps notarieel worden bekrachtigd. Twee jaar geleden werd het geleverd in een uitgekiende campagne die: gebruikte nieuwe steganografie malwaredetectie te omzeilen. En vorig jaar zei Kaspersky dat Shlayer de... meest gedetecteerde Mac-malware door de producten van het bedrijf, met bijna 32,000 verschillende varianten geïdentificeerd.

Slimme ontwijking

Shlayer's exploitatie van de zero-day, die niet later dan januari begon, was opnieuw een indrukwekkende prestatie. In plaats van de standaard te gebruiken Macho formaat voor een uitvoerbaar Mac-bestand, het uitvoerbare onderdeel in deze aanval was het macOS-equivalent van een bash-script, dat een reeks regelopdrachten in een bepaalde volgorde uitvoert.

Normaal gesproken worden scripts die van internet zijn gedownload geclassificeerd als applicatiebundels en zijn onderworpen aan dezelfde vereisten als andere typen uitvoerbare bestanden. Een simpele hack zorgde er echter voor dat scripts volledig aan die vereisten konden ontsnappen.

Door het verwijderen van de info.plist-een gestructureerd tekstbestand dat de locatie toewijst van bestanden waarvan het afhankelijk is - het script is niet langer geregistreerd als een uitvoerbare bundel voor macOS. In plaats daarvan werd het bestand behandeld als een PDF of een ander type niet-uitvoerbaar bestand dat niet onderhevig was aan Gatekeeper en de andere mechanismen.

Een van de aanvallen begon met de weergave van een advertentie voor een valse Adobe Flash-update:

Jamf

De video's hieronder laten zien wat een groot verschil de exploit maakte toen iemand het aas pakte en op downloaden klikte. De video direct hieronder laat zien wat de kijker zag zonder de beperkingen. De onderstaande die laat zien hoeveel verdachter de update eruit zou hebben gezien als de beperkingen van kracht waren geweest.

Shlayer-aanval met exploit van CVE-2021-30657.
Shlayer-aanval zonder misbruik van CVE-2021-30657.

De bug, die wordt bijgehouden als CVE-2021-30657, werd ontdekt en gerapporteerd aan Apple door beveiligingsonderzoeker Cedric Owens. Hij zei dat hij het tegenkwam toen hij een ontwikkelaarstool genaamd Appify gebruikte terwijl hij onderzoek deed voor een "red team" -oefening, waarbij hackers een echte aanval simuleren in een poging om eerder over het hoofd gezien zwakke punten in de beveiliging te vinden.

"Ik ontdekte dat Appify in staat was om een ​​shellscript om te zetten in een dubbelklikbare 'app' (eigenlijk gewoon een shellscript in de macOS-app-directorystructuur, maar macOS behandelde het als een app)", schreef hij in een direct bericht. “En wanneer het wordt geëxecuteerd, omzeilt het Gatekeeper. Ik heb het eigenlijk vrij snel gemeld nadat ik het had ontdekt en heb het niet gebruikt in een live rode teamoefening.

Apple de kwetsbaarheid opgelost met de release van macOS 11.3 op maandag. Owens zei dat de fout lijkt te bestaan ​​sinds de introductie van macOS 10.15 in juni 2019, toen de notariële bekrachtiging werd ingevoerd.

Owens besprak de bug met Patrick Wardle, een Mac-beveiligingsexpert die eerder werkte bij Jamf, een Mac-bedrijfsbeveiligingsprovider. Wardle nam vervolgens contact op met Jamf-onderzoekers, die de Shlayer-variant ontdekten die misbruik maakte van de kwetsbaarheid voordat deze bekend was bij Apple of het grootste deel van de beveiligingswereld.

"Een van onze detecties bracht ons op de hoogte van deze nieuwe variant, en bij nadere inspectie ontdekten we het gebruik van deze bypass, zodat deze kan worden geïnstalleerd zonder een prompt van de eindgebruiker", vertelde Jamf-onderzoeker Jaron Bradley me. "Nadere analyse doet ons vermoeden dat de ontwikkelaars van de malware de zeroday hebben ontdekt en hun malware hebben aangepast om deze begin 2021 te gebruiken."

Wardle ontwikkelde een proof-of-concept exploit die liet zien hoe de Shlayer-variant werkte. Nadat het van internet is gedownload, verschijnt het uitvoerbare script als een PDF-bestand met de naam Patrick's Resume. Zodra iemand op het bestand dubbelklikt, wordt een bestand met de naam calculator.app gestart. De exploit kan net zo gemakkelijk een kwaadaardig bestand uitvoeren.

Patrick Wardle

In een 12,000 woorden diepe duik die ingaat op de oorzaken en gevolgen van de exploits, concludeerde Wardle:

Hoewel deze bug nu is gepatcht, illustreert het duidelijk (nogmaals) dat macOS niet ongevoelig is voor ongelooflijke oppervlakkige, maar enorm impactvolle fouten. Hoe ondiep? Welnu, het feit dat een legitieme ontwikkelaarstool (appify) per ongeluk de bug zou activeren, is meer dan lachwekkend (en triest).

En hoe impactvol? In wezen werd macOS-beveiliging (in de context van het evalueren van door gebruikers gelanceerde applicaties, die zich herinneren, verantwoordelijk zijn voor de overgrote meerderheid van macOS-infecties) volledig ter discussie gesteld.

Bradley publiceerde een post die vertelde hoe de exploit eruitzag en werkte.

Veel mensen beschouwen malware zoals Shlayer als ongekunsteld omdat het erop vertrouwt dat de slachtoffers worden misleid. Om Shlayer zijn verdienste te geven, is de malware zeer effectief, grotendeels vanwege het vermogen om macOS-verdediging te onderdrukken die is ontworpen om gebruikers te tippen voordat ze zichzelf per ongeluk infecteren. Degenen die willen weten of ze het doelwit zijn van deze exploit, kunnen downloaden dit python-script geschreven door Wardle.

Windows- en Linux-apparaten worden aangevallen door een nieuwe cryptomining-worm
Getty Images

Een nieuw ontdekte cryptomining-worm voert zijn targeting op Windows- en Linux-apparaten op met een reeks nieuwe exploits en mogelijkheden, aldus een onderzoeker.

Onderzoeksbedrijf Juniper is in december begonnen met het monitoren van wat het het Sysrv-botnet noemt. Een van de malwarecomponenten van het botnet was een worm die zich van het ene kwetsbare apparaat naar het andere verspreidde zonder enige actie van de gebruiker. Het deed dit door het internet te scannen op kwetsbare apparaten en, wanneer gevonden, deze te infecteren met behulp van een lijst met exploits die in de loop van de tijd is toegenomen.

De malware bevatte ook een cryptominer die geïnfecteerde apparaten gebruikt om de digitale valuta van Monero te creëren. Er was een apart binair bestand voor elk onderdeel.

Voortdurend groeiend arsenaal

In maart hadden Sysrv-ontwikkelaars de malware opnieuw ontworpen om de worm en miner in één binair bestand te combineren. Ze gaven het script dat de malware laadt ook de mogelijkheid om SSH-sleutels toe te voegen, hoogstwaarschijnlijk als een manier om het herstarten beter te laten overleven en om meer geavanceerde mogelijkheden te hebben. De worm maakte misbruik van zes kwetsbaarheden in software en frameworks die in ondernemingen worden gebruikt, waaronder Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP en Drupal Ajax.

"Op basis van de binaire bestanden die we hebben gezien en de tijd dat we ze hebben gezien, ontdekten we dat de dreigingsactor voortdurend zijn exploitarsenaal bijwerkt", zei Juniper-onderzoeker Paul Kimayong in een Donderdag blogpost.

Juniper Research

Het bericht van donderdag vermeldde meer dan een dozijn exploits die worden aangevallen door de malware. Zij zijn:

Exploiteren Software
CVE-2021-3129 Laravel
CVE-2020-14882 Oracle Weblogic
CVE-2019-3396 Widget Connector-macro in Atlassian Confluence Server
CVE-2019-10758 Mongo Express
CVE-2019-0193 Apache Solr
CVE-2017-9841 PHPUnit
CVE-2017-12149 Jboss-toepassingsserver
CVE-2017-11610 Toezichthouder (XML-RPC)
Apache Hadoop niet-geverifieerde opdrachtuitvoering via YARN ResourceManager (geen CVE) Apache Hadoop
Brute kracht Jenkins Jenkins
Jupyter Notebook-opdrachtuitvoering (geen CVE) Jupyter Notebook-server
CVE-2019-7238 Sonatype Nexus Repository Manager
Tomcat Manager Unauth Upload Commando Uitvoering (Geen CVE) Tomcat-manager
WordPress Bruteforce WordPress

De exploits waarvan Juniper Research de malware eerder zag gebruiken, zijn:

  • Mongo Express RCE (CVE-2019-10758)
  • XXL-VACATURE Unauth RCE
  • XML-RPC (CVE-2017-11610)
  • CVE-2020-16846 (Saltstack RCE)
  • Denk PHP RCE
  • CVE-2018-7600 (Drupal Ajax RCE)

Kom binnen, water is geweldig

De ontwikkelaars hebben ook de deelname van geïnfecteerde apparaten aan miningpools gewijzigd. De mijnwerker is een versie van de open source XMRig die momenteel mijnen voor de volgende mijnbouwpools:

  • Xmr-eu1.nanopool.org:14444
  • f2pool.com:13531
  • mijnexmr.com:5555

Een mijnbouwpool is een groep cryptocurrency-mijnwerkers die hun computerbronnen combineren om de volatiliteit van hun rendement te verminderen en de kans op het vinden van een transactieblok te vergroten. Volgens de winstgevendheidsvergelijkingssite van mijnbouwpool PoolWatch.io, zijn de pools die door Sysrv worden gebruikt drie van de vier beste mijnbouwpools van Monero.

"Samen hebben ze bijna 50% van de hashsnelheid van het netwerk", schreef Kimayong. "De criteria van de dreigingsactor lijken de beste mijnbouwpools te zijn met hoge beloningspercentages."

Juniper Research

De winst van mijnbouw wordt gestort op het volgende portemonnee-adres:

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

nanopool laat zien dat de portemonnee 8 XMR heeft gewonnen, ter waarde van ongeveer $ 1,700 USD, van 1 maart tot 28 maart. Elke twee dagen wordt er ongeveer 1 XMR toegevoegd.

Juniper Research

Een bedreiging voor zowel Windows als Linux

Het Sysrv-binaire bestand is een 64-bits Go-binair bestand dat vol zit met de open source UPX-uitvoerbare packer. Er zijn versies voor zowel Windows als Linux. Twee willekeurig gekozen Windows-binaries werden gedetecteerd door: 33 en 48 van de 70 beste malwarebeschermingsservices, volgens VirusTotal. Twee willekeurig gekozen Linux-binaries hadden zes en negen.

De dreiging van dit botnet is niet alleen de belasting van computerbronnen en het niet-triviale verbruik van elektriciteit. Malware die de mogelijkheid heeft om een ​​cryptominer uit te voeren, kan vrijwel zeker ook ransomware en andere kwaadaardige waren installeren. De blogpost van donderdag bevat tientallen indicatoren die beheerders kunnen gebruiken om te zien of de apparaten die ze beheren geïnfecteerd zijn.