Overzicht van slachtoffers cyberaanvallen week 28-2023

Gepubliceerd op 17 juli 2023 om 15:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


In de afgelopen week hebben cyberaanvallen een ongekende piek bereikt, waarbij zowel grote als kleine organisaties het doelwit waren van geavanceerde cybercriminelen. TomTom Nederland en TenneT werden slachtoffers van de beruchte CLOP-cybercriminelen en gegevensdiefstal via een aanval op MOVEit Transfer-software. Progress, de ontwikkelaar van MOVEit Transfer, heeft opnieuw gewaarschuwd voor kritieke kwetsbaarheden in hun software, die honderden organisaties hebben getroffen.

Ransomware-betalingen hebben in 2023 een recordhoogte bereikt, met een toename van zowel grote als kleine betalingen. Cybercriminelen hebben actieve aanvallen uitgevoerd op een zerodaylek in de Zimbra-mailserver en er is een aanzienlijke toename waargenomen van USB-gedreven malware-aanvallen in de eerste helft van 2023.

Een Russische hackgroep heeft diplomaten gelokt met BMW-advertenties voor een malware-aanval, terwijl andere cybercriminelen toegang hebben verkregen tot e-mails via vervalste tokens op Outlook.com en Outlook Web Access. Een nog niet gepatchte zeroday in Microsoft Office is gebruikt in aanvallen op Europese instanties.

Tot slot hebben de RomCom Hackers phishing-aanvallen uitgevoerd op organisaties die Oekraïne steunen en gasten van de NAVO-top.

Hieronder vindt u een volledig overzicht van de cyberaanvallen van de afgelopen week.



Week overzicht slachtoffers

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum darkweb ↑
selmi.com.br LockBit selmi.com.br Brazil Food Products 16-jul.-23
Baumschlager Hutter Partners BlackCat (ALPHV) baumschlagerhutter.com Austria Construction 16-jul.-23
confido.ae STORMOUS confido.ae United Arab Emirates Construction 16-jul.-23
confido.eu STORMOUS confido.eu Netherlands IT Services 16-jul.-23
equmedia.es LockBit equmedia.es Spain Business Services 15-jul.-23
magnumphotos.com LockBit magnumphotos.com USA Membership Organizations 15-jul.-23
Jasper Picture Company STORMOUS www.jasperpictures.com.au Australia Miscellaneous Services 15-jul.-23
co.langlade.wi.us LockBit co.langlade.wi.us USA General Government 15-jul.-23
hgc.com.hk LockBit hgc.com.hk Hong Kong Communications 15-jul.-23
province.namur.be LockBit province.namur.be Belgium General Government 15-jul.-23
energym.co.il LockBit energym.co.il Israel Miscellaneous Retail 15-jul.-23
konrad-mr.de LockBit konrad-mr.de Germany Measuring, Analyzing, Controlling Instruments 15-jul.-23
greatlakesmbpm.com LockBit greatlakesmbpm.com USA Health Services 15-jul.-23
Highland Health Systems BlackCat (ALPHV) highlandhealthsystems.org USA Health Services 15-jul.-23
Superloop ISP Cyclops superloop.com Australia Communications 15-jul.-23
Chin Hin Group BlackCat (ALPHV) www.chinhingroup.com Malaysia Wholesale Trade-durable Goods 14-jul.-23
Meteksan Defence Industry Money Message www.meteksan.com Turkey Depository Institutions 14-jul.-23
www.jordanairmotive.com NoEscape www.jordanairmotive.com Jordan Repair Services 14-jul.-23
www.bsdc.ac.uk NoEscape www.bsdc.ac.uk UK Educational Services 14-jul.-23
CPA Advisors Group 8BASE www.cpaadvisorsgroup.com USA Accounting Services 14-jul.-23
Info Salons 8BASE infosalonsgroup.com Australia IT Services 14-jul.-23
Kenya Bureau Of Standards Rhysida www.kebs.org Kenya General Government 14-jul.-23
VOSS.NET CL0P voss.net Germany Transportation Equipment 14-jul.-23
UFCU.ORG CL0P ufcu.org USA Non-depository Institutions 14-jul.-23
YAKULT.COM.PH CL0P yakult.com.ph Philippines Food Products 14-jul.-23
ROCHESTER.EDU CL0P rochester.edu USA Educational Services 14-jul.-23
SHUTTERFLY.COM CL0P shutterfly.com USA Personal Services 14-jul.-23
DISCOVERY.COM CL0P discovery.com USA Communications 14-jul.-23
ASPENTECH.COM CL0P aspentech.com USA IT Services 14-jul.-23
MOTHERSON.COM CL0P motherson.com India Transportation Equipment 14-jul.-23
PAYCOM.COM CL0P paycom.com USA IT Services 14-jul.-23
Gerber Childrenswear LLC Akira www.gerberchildrenswear.com USA Apparel And Accessory Stores 13-jul.-23
Blackjewel L.L.C. LockBit Unknown USA Mining 13-jul.-23
Telepizza 8BASE www.telepizza.es Spain Eating And Drinking Places 13-jul.-23
The Traffic Tech 8BASE www.traffic-tech.com USA Motor Freight Transportation 13-jul.-23
Quikcard Solutions Inc. 8BASE www.quikcard.com Canada Insurance Carriers 13-jul.-23
Jadranka Group 8BASE jadranka.hr Croatia Lodging Places 13-jul.-23
Dental One Craigieburn 8BASE dental1.com.au Australia Health Services 13-jul.-23
ANL Packaging 8BASE www.anlpackaging.fr Belgium Rubber, Plastics Products 13-jul.-23
BTU 8BASE btu-sa.com Argentina Construction 13-jul.-23
GRIPA.ORG CL0P gripa.org USA Health Services 13-jul.-23
SLB.COM CL0P slb.com USA Engineering Services 13-jul.-23
AMCTHEATRES.COM CL0P amctheatres.com USA Amusement And Recreation Services 13-jul.-23
AINT.COM CL0P aint.com USA Aerospace 13-jul.-23
JACKENTERTAINMENT.COM CL0P jackentertainment.com USA Amusement And Recreation Services 13-jul.-23
NASCO.COM CL0P nasco.com USA IT Services 13-jul.-23
TGIDIRECT.COM CL0P tgidirect.com USA Business Services 13-jul.-23
HONEYWELL.COM CL0P honeywell.com USA Aerospace 13-jul.-23
CLEARESULT.COM CL0P clearesult.com USA Engineering Services 13-jul.-23
RADIUSGS.COM CL0P radiusgs.com USA Business Services 13-jul.-23
Ministry of Energy and Mines of Cuba STORMOUS www.minem.gob.cu Cuba General Government 12-jul.-23
Ministerio de Cultura de la República de Cuba STORMOUS www.mincult.cu Cuba General Government 12-jul.-23
Ministry of Foreign Trade and Foreign Investment of Cuba STORMOUS www.mincex.gob.cu Cuba Public Finance, Taxation 12-jul.-23
affinityhealthservices.net LockBit affinityhealthservices.net USA Business Services 12-jul.-23
Henock Construction BianLian henockconstruction.com USA Construction 12-jul.-23
innodisgroup.com NoEscape innodisgroup.com Mauritius Food Products 12-jul.-23
Divgi-TTS BlackCat (ALPHV) www.divgi-tts.com India Transportation Equipment 12-jul.-23
Eastin Hotel Makkasan Bangkok BlackCat (ALPHV) www.eastinhotelsresidences.com Bangkok Lodging Places 12-jul.-23
SMS-SME BlackCat (ALPHV) sms-sme.com Singapore Transportation Equipment 12-jul.-23
Algeiba.com BlackCat (ALPHV) algeiba.com Argentina IT Services 12-jul.-23
Amber Court BlackCat (ALPHV) www.ambercourtal.com USA Health Services 12-jul.-23
Maruchan Inc BlackCat (ALPHV) www.maruchan.com USA Food Products 12-jul.-23
Schmidt Salzman & Moran, Ltd Akira www.ssmtax.com USA Legal Services 12-jul.-23
Wright Moore DeHart Dupuis & Hutchinson BlackCat (ALPHV) www.wmddh.com USA Accounting Services 12-jul.-23
Better System Co.,Ltd Qilin www.bettersystem.co.th Thailand Transportation Services 12-jul.-23
www.protactics.com.co NoEscape www.protactics.com.co Colombia Engineering Services 12-jul.-23
BM GROUP POLYTEC S.p.A. Rhysida www.polytec.bmgroup.com Italy Machinery, Computer Equipment 12-jul.-23
Hollywood Forever Rhysida www.hollywoodforever.com USA Miscellaneous Services 12-jul.-23
Ayuntamiento de Arganda City Council Rhysida www.ayto-arganda.es Spain General Government 12-jul.-23
Polanglo 8BASE www.polanglo.pl Poland Wholesale Trade-non-durable Goods 12-jul.-23
KIRWIN FRYDAY MEDCALF Lawyers LLP 8BASE kevinfryday.homesandland.com Canada Legal Services 12-jul.-23
ROBERT L BAYLESS PRODUCER LLC 8BASE www.rlbayless.com USA Oil, Gas 12-jul.-23
Cabra Consulting Ltd 8BASE www.cabra.ca Canada Oil, Gas 12-jul.-23
Pesquera Diamante S.A. 8BASE www.diamante.com.pe Peru Food Products 12-jul.-23
Weitkamp · Hirsch and Kollegen Steuerberatungsgesellschaft mbH 8BASE whk-schleswig.de Germany Accounting Services 12-jul.-23
Kansas medical center LLC 8BASE ksmedcenter.com USA Health Services 12-jul.-23
Danbury Public Schools 8BASE www.danbury.k12.ct.us USA Educational Services 12-jul.-23
Advanced Fiberglass Industries 8BASE www.afi.ae United Arab Emirates Miscellaneous Manufacturing Industries 12-jul.-23
Citelis Mobility 8BASE citelis.com.mx Mexico Automotive Dealers 12-jul.-23
Motor Components, LLC 8BASE www.facet-purolator.com USA Machinery, Computer Equipment 12-jul.-23
CONSOLENERGY.COM CL0P consolenergy.com USA Mining 12-jul.-23
KALEAERO.COM CL0P kaleaero.com Turkey Aerospace 12-jul.-23
AGILYSYS.COM CL0P agilysys.com USA IT Services 12-jul.-23
SCCU.COM CL0P sccu.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 12-jul.-23
ARVATO.COM CL0P arvato.com Germany Transportation Services 12-jul.-23
RITEAID.COM CL0P riteaid.com USA Miscellaneous Retail 12-jul.-23
PIONEERELECTRONICS.COM CL0P pioneerelectronics.com Japan Electronic, Electrical Equipment, Components 12-jul.-23
BAM.COM.GT CL0P bam.com.gt Guatemala Security And Commodity Brokers, Dealers, Exchanges, And Services 12-jul.-23
TOMTOM.COM CL0P tomtom.com Netherlands Electronic, Electrical Equipment, Components 12-jul.-23
EMERSON.COM CL0P emerson.com USA Machinery, Computer Equipment 12-jul.-23
Propper International Money Message www.propper.com USA Apparel And Other Finished Products 11-jul.-23
Nipun Consultancy STORMOUS nipunpharmaskill.com Unknown Educational Services 11-jul.-23
mamboafricaadventure STORMOUS mamboafricaadventure.com Tanzania Amusement And Recreation Services 11-jul.-23
A123 Systems Akira www.a123systems.com USA Electronic, Electrical Equipment, Components 11-jul.-23
LivaNova Qilin livanova.com UK Miscellaneous Manufacturing Industries 11-jul.-23
MicroPort Scientific Qilin microport.com China Miscellaneous Manufacturing Industries 11-jul.-23
panoramaeyecare.com LockBit panoramaeyecare.com USA Business Services 11-jul.-23
gis4.addison-il Cuba gis4.addison-il.org USA General Government 11-jul.-23
RICOHACUMEN.COM CL0P ricohacumen.com USA Machinery, Computer Equipment 11-jul.-23
SMA.DE CL0P sma.de Germany Machinery, Computer Equipment 11-jul.-23
VRM.DE CL0P vrm.de Germany Publishing, printing 11-jul.-23
UMASSMED.EDU CL0P umassmed.edu USA Educational Services 11-jul.-23
VISIONWARE.CA CL0P visionware.ca Canada IT Services 11-jul.-23
JHU.EDU CL0P jhu.edu USA Educational Services 11-jul.-23
FMFCU.ORG CL0P fmfcu.org USA Security And Commodity Brokers, Dealers, Exchanges, And Services 11-jul.-23
JPRMP.COM CL0P jprmp.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 11-jul.-23
WESTAT.COM CL0P westat.com USA Research Services 11-jul.-23
RADISSONHOTELSAMERICAS.COM CL0P radissonhotelsamericas.com USA Lodging Places 11-jul.-23
Customer Elation RansomHouse www.customerelation.com USA Business Services 10-jul.-23
Hamre Schumann Mueller & Larson HSML Akira www.hsml.com USA Legal Services 10-jul.-23
Green Diamond Akira www.greendiamond.com USA Lumber And Wood Products 10-jul.-23
Belize Electricity Limited Ragnar_Locker www.bel.com.bz Belize Electric, Gas, And Sanitary Services 10-jul.-23
CROWE.COM CL0P crowe.com USA Accounting Services 10-jul.-23
AUTOZONE.COM CL0P autozone.com USA Miscellaneous Retail 10-jul.-23
BCDTRAVEL.COM CL0P bcdtravel.com Netherlands Miscellaneous Services 10-jul.-23
AMERICANNATIONAL.COM CL0P americannational.com USA Insurance Carriers 10-jul.-23
USG.EDU CL0P usg.edu USA Educational Services 10-jul.-23
CYTOMX.COM CL0P cytomx.com USA Chemical Producers 10-jul.-23
MARYKAY.COM CL0P marykay.com USA Merchandise Stores 10-jul.-23
FISCDP.COM CL0P fiscdp.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 10-jul.-23
KERNAGENCY.COM CL0P kernagency.com USA Business Services 10-jul.-23
UOFLHEALTH.ORG CL0P uoflhealth.org USA Health Services 10-jul.-23
L8SOLUTIONS.CO.UK CL0P l8solutions.co.uk UK IT Services 10-jul.-23
TDAMERITRADE.COM CL0P tdameritrade.com USA Security And Commodity Brokers, Dealers, Exchanges, And Services 10-jul.-23
leeindustries.com LockBit leeindustries.com USA Furniture 10-jul.-23

Slachtoffers Belgie en Nederland

Slachtoffer Cybercriminelen Website Land Sector Publicatie datum
province.namur.be LockBit province.namur.be Belgium General Government 15-jul.-23
ANL Packaging 8BASE www.anlpackaging.fr Belgium Rubber, Plastics Products 13-jul.-23
TOMTOM.COM CL0P tomtom.com Netherlands Electronic, Electrical Equipment, Components 12-jul.-23
BCDTRAVEL.COM CL0P bcdtravel.com Netherlands Miscellaneous Services 10-jul.-23

In samenwerking met DarkTracer


Cyberaanvallen nieuws


17-juli-2023 om 08:57

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑


Gamaredon-hackers stelen gegevens binnen 30 minuten na inbraak

Het Oekraïense Computer Emergency Response Team (CERT-UA) waarschuwt voor de snelle operaties van de Gamaredon-hackers, die gegevens stelen van geïnfecteerde systemen binnen een uur na een inbraak. Gamaredon, ook bekend als Armageddon, UAC-0010 en Shuckworm, is een door de staat gesponsorde Russische cyber-spionagegroep die wordt gelinkt aan de FSB. Sinds het begin van de Russische invasie heeft de groep duizenden aanvallen uitgevoerd op de regering en andere kritieke organisaties in Oekraïne. De aanvallen van Gamaredon beginnen meestal met het verzenden van kwaadaardige e-mails of berichten via verschillende instant messaging-apps. Zodra het slachtoffer de kwaadaardige bijlagen opent, wordt er malware geïnstalleerd en worden PowerShell-scripts uitgevoerd. Gamaredon heeft ook de mogelijkheid om bestanden met specifieke extensies te targeten en binnen 30-50 minuten gegevens te exfiltreren. Om de effectiviteit van Gamaredon-aanvallen te beperken, adviseert CERT-UA het blokkeren of beperken van de uitvoering van bepaalde uitvoerbare bestanden.


Microsoft onzeker over hoe Azure AD-ondertekeningssleutel door hackers is gestolen

Microsoft heeft onthuld dat het nog steeds niet zeker weet hoe Chinese hackers erin geslaagd zijn om een inactieve Microsoft-account (MSA) consumentenondertekeningssleutel te stelen. Deze sleutel werd gebruikt om de Exchange Online- en Azure AD-accounts van ongeveer 24 organisaties, waaronder overheidsinstellingen, te schenden. Microsoft heeft aangegeven dat de manier waarop de hackers de sleutel hebben verkregen nog steeds wordt onderzocht. Na de schending heeft Microsoft de gestolen MSA-ondertekeningssleutel ongeldig gemaakt, wat heeft geleid tot een afname van gerelateerde hackeractiviteiten. Ondanks deze maatregel hebben de aanvallers, bekend als Storm-0558, nu andere technieken omarmd.


Rockwell waarschuwt voor gevaren van ongepatchte communicatiemodules door nieuwe APT RCE-exploit

Rockwell Automation heeft gewaarschuwd voor een nieuwe externe code-uitvoering (RCE) -exploit die is gekoppeld aan een niet nader genoemde Advanced Persistent Threat (APT) -groep. Deze exploit zou kunnen worden gebruikt om ongepatchte ControlLogix-communicatiemodules te targeten, welke veelvuldig worden ingezet in productie, elektrische, olie- en gas- en vloeibaar gemaakte aardgasindustrieën. Rockwell werkte samen met de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) om de exploit te analyseren. De exploit kan ook de firmware van de module manipuleren, het geheugen van de module wissen, het dataverkeer van en naar de module wijzigen, en mogelijk van invloed zijn op het industriële proces dat het ondersteunt. Rockwell raadt dringend aan de beveiligingspatches toe te passen op alle betrokken producten.


Staatsgestuurde Spearphishing Aanval op JumpCloud: Specifieke Klanten Doelwit

Het beveiligingsincident waar JumpCloud een week geleden mee te maken kreeg was een aanval door een statelijke actor gericht tegen een "klein aantal specifieke klanten", aldus het softwarebedrijf in een verklaring. Door middel van spearphishing werd er toegang tot systemen van JumpCloud gekregen, waarna klanten het doelwit werden. Na ontdekking van de aanval besloot het bedrijf om alle admin API-keys van klanten te roteren. JumpCloud biedt een platform waarmee organisaties hun gebruikers, hun apparaten en toegang tot it-middelen kunnen beheren. Vorige week donderdag verstuurde het bedrijf een e-mail naar klanten dat uit voorzorg vanwege een lopend incident de API-keys werden geroteerd. JumpCloud is nu met iets meer details gekomen en stelt dat het om een aanval door een statelijke actor ging die toegang tot de systemen van het softwarebedrijf had gekregen. Deze toegang vond plaats via spearphishing. Verdere details over deze phishingcampagne zijn niet gegeven, behalve dat die op 22 juni plaatsvond. Op 27 juni ontdekte JumpCloud verdachte activiteit op een intern systeem. Op dat moment waren er volgens het softwarebedrijf geen gevolgen voor klanten zichtbaar. Er werd besloten om de getroffen infrastructuur opnieuw op te bouwen en inloggegevens te wijzigen. Op 5 juli werd echter verdachte activiteit waargenomen in het "commands framework" van een "klein aantal" klanten. Om hoeveel klanten het precies laat JumpCloud niet weten. Na ontdekking werd besloten om de API-keys te roteren. Nader onderzoek wijst volgens JumpCloud uit dat het om een "zeer gerichte en beperkte aanval" tegen specifieke klanten gaat. Verdere details zijn echter niet gegeven.


Cybercriminelen voeren actieve aanvallen uit op Zerodaylek in Zimbra-mailserver

Google waarschuwt organisaties voor een actief aangevallen zerodaylek in Zimbra-mailservers. Een beveiligingsupdate is nog niet beschikbaar, wel een fix die beheerders handmatig moeten doorvoeren. Dat laat Zimbra in een beveiligingsbulletin weten, maar daarin wordt nergens gemeld dat er actief misbruik van de kwetsbaarheid plaatsvindt. Via Twitter laat Googles Maddie Stone weten dat het zerodaylek bij een gerichte aanval is ontdekt. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Details over de kwetsbaarheid zijn niet door Zimbra gegeven, behalve dat in versie 8.8.15 aanwezig is en de "vertrouwelijkheid en integriteit" van de data kan beïnvloeden. Zolang een patch niet beschikbaar is kunnen organisaties zich beschermen door voor alle mailbox-nodes een parameter te wijzigen. Zimbra-mailservers zijn vaker het doelwit van aanvallen. Eerder dit jaar waarschuwde de Amerikaanse overheid voor een actief aangevallen cross-site scripting (XSS) lek in Zimbra-webmail, waarmee aanvallers inloggegevens van gebruikers stelen en vervolgens toegang tot de mailbox krijgen. Eind vorig jaar liet antivirusbedrijf Kaspersky weten dat aanvallers bijna negenhonderd Zimbra-mailservers door middel van een kritieke kwetsbaarheid hadden overgenomen.


AVrecon Malware Infecteert Meer Dan 70.000 SOHO-Routers, Bouwt Gigantisch Botnet

Sinds mei 2021 heeft de sluipende Linux-malware AVrecon meer dan 70.000 Linux-gebaseerde kleine kantoor/thuiskantoor (SOHO) routers geïnfecteerd en een botnet opgebouwd dat ontworpen is om bandbreedte te stelen en verborgen residentiële proxy-services te bieden. Volgens het bedreigingsonderzoeksteam van Black Lotus Labs, zijn er ongeveer 40.000 apparaten toegevoegd aan het botnet. AVrecon heeft met succes detectie vermeden sinds het voor het eerst werd gezien in mei 2021, waarbij het zich voornamelijk richtte op Netgear-routers. Hierdoor kon het langzaam nieuwe bots slaven maken en zich ontwikkelen tot een van de grootste SOHO-routergerichte botnets die de afgelopen jaren zijn ontdekt. Het Black Lotus-beveiligingsteam is erin geslaagd de verbinding tussen het botnet en de centrale controleserver te verbreken, waardoor de mogelijkheid voor schadelijke activiteiten aanzienlijk wordt verminderd. AVrecon wordt door bedreigingsactoren gebruikt om verkeer te proxyen en te betrekken bij kwaadaardige activiteiten, zoals wachtwoordspuiten. (Bron, bron 2)


Nep-Linux Exploit Brengt Wachtwoord-Stelende Malware Aan het Licht

Cybersecurity-onderzoekers en dreigingsactoren zijn het doelwit van een valse Proof of Concept (PoC) CVE-2023-35829 exploit, die een Linux wachtwoord-stelende malware installeert. De valse PoC, die is ontdekt door Uptycs-analisten, is vermomd als een exploit voor de ernstige CVE-2023-35829 fout, maar is in werkelijkheid een kopie van een oude, legitieme exploit. Na de lancering creëert de PoC een 'kworker' bestand voor persistentie en contacteert vervolgens de aanvaller's C2-server om een Linux bash-script te downloaden en uit te voeren. Dit script steelt waardevolle data van het systeem, wijzigt het '~/.ssh/authorized_keys' bestand om de aanvaller ongeautoriseerde externe toegang te geven tot de server, en exfiltreert uiteindelijk gegevens via 'transfer.sh'. Onderzoekers worden geadviseerd om verdachte ssh-sleutels te verwijderen, de kworker-bestanden te verwijderen, en de code van PoC's te inspecteren alvorens deze uit te voeren.


Toenemende Cyberaanvallen via Browserextensies en Gebruikersprofielinstallaties

Cyberaanvallen worden steeds vaker uitgevoerd via browserextensies en installaties van tools in gebruikersprofielen. Deze trend is het resultaat van een verschuiving van aanvallen op beheerdersaccounts naar beperkte gebruikersaccounts. Cybercriminelen richten zich nu op applicaties die gebruikers zelf kunnen installeren, variërend van extensies tot pakketten die automatisch kunnen updaten en legitiem lijken. Recent is er een toename van aanvallen via Chrome-extensies, zoals de Rilide malware die zich voordoet als een Google Drive-extensie. Om zich te beschermen, is het belangrijk dat IT-organisaties proactief controleren wat hun gebruikers kunnen installeren en gebruiken. In geval van een aanval moeten de inloggegevens van de gebruiker snel worden geverifieerd en gereset met tools zoals Specops uReset. Het gebruik van meervoudige authenticatie (MFA) wordt sterk aangeraden om toekomstige inbreuken te voorkomen.


Cybercriminelen kunnen misbruik maken van upload-lek in WordPress plug-in

Tienduizenden WordPress-sites zijn door middel van een kritiek lek in een gebruikte plug-in voor het registreren van gebruikers over te nemen. De ontwikkelaar heeft een update uitgebracht, maar de meeste websites hebben die nog niet geïnstalleerd. De kwetsbaarheid bevindt zich in User Registration, een plug-in waarmee WordPress-sites de registratiepagina voor gebruikers kunnen aanpassen, alsmede profielpagina's voor gebruikers maken. Meer dan 60.000 WordPress-sites maken gebruik van de plug-in. User Registration blijkt een hardcoded encryptiesleutel te gebruiken, die voor alle installaties van de plug-in hetzelfde is, en bepaalde bestandstypes bij het uploaden van profielafbeeldingen niet te controleren. Daardoor kan een aanvaller bijvoorbeeld malafide PHP-code als "profielafbeelding" uploaden en zo de website overnemen. De ontwikkelaar werd op 19 juni door onderzoekers van securitybedrijf Wordfence over het lek ingelicht. Op 29 juni verscheen er een beveiligingsupdate, maar die bleek het probleem niet volledig te verhelpen. Op 4 juli kwam er wel een volledig werkende patch. Uit cijfers van WordPress blijkt dat van de meer dan 60.000 WordPress-sites die de plug-in hebben geïnstalleerd er pas 24.000 up-to-date zijn. Beheerders die de laatste versie nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen, aangezien Wordfence details over de kwetsbaarheid openbaar heeft gemaakt.


Aanzienlijke Toename van USB-Gedreven Malware Aanvallen in Eerste Helft van 2023

In de eerste helft van 2023 is er een drievoudige toename waargenomen in malware aanvallen gedistribueerd via USB-drives, volgens een rapport van cybersecurity bedrijf Mandiant. Twee belangrijke USB-geleverde malwarecampagnes zijn ontdekt, genaamd 'Sogu' en 'Snowydrive'. 'Sogu', gelinkt aan de Chinese spionagegroep 'TEMP.HEX', is een agressieve wereldwijde cyberspionagecampagne die gegevens probeert te stelen van geïnfecteerde computers. De slachtoffers bevinden zich voornamelijk in de farmaceutische, IT-, energie-, communicatie-, gezondheids- en logistieke sector in verschillende landen. De 'Sogu' malware maakt gebruik van een methode genaamd DLL-orderkaping en creëert een register-run sleutel voor persistentie. Vervolgens worden waardevolle gegevens in documenten verzameld en geëxtraheerd naar de C2 server. 'Snowydrive', gelinkt aan UNC4698 en gericht op olie- en gasbedrijven in Azië, infecteert computers met een achterdeur die de aanvallers toestaat om willekeurige payloads uit te voeren, het register te wijzigen en bestands- en mapacties uit te voeren. De malware gebruikt een legitieme Notepad++ updater om specifieke bestanden en extensies te verbergen. Ondanks dat USB-aanvallen fysieke toegang tot de doelcomputers vereisen, bieden ze unieke voordelen zoals het omzeilen van beveiligingsmechanismen en de mogelijkheid om air-gapped systemen te infecteren. Daarom blijven USB-aanvallen relevant en stijgen in 2023, volgens Mandiant.


Nieuwe PyLoose-malware exploiteert Linux-cloudwerkbelastingen voor Monero-mining

PyLoose, een nieuwe bestandloze malware, exploiteert cloudwerkbelastingen om de computationele bronnen te kapen voor het minen van Monero-cryptocurrency. Dit Python-script voert een voorgecompileerde XMRig-miner uit, een vaak misbruikte open-source tool voor het oplossen van complexe algoritmes voor cryptomining. Vanwege de directe uitvoering uit het geheugen, is PyLoose uitzonderlijk moeilijk te detecteren met beveiligingstools en laat het geen fysieke voetafdruk achter op de systeemschijven, wat de detectie op basis van handtekeningen vermindert. Het maakt gebruik van legitieme systeemtools om kwaadaardige code in echte processen te injecteren. PyLoose wordt opgehaald via een HTTPS GET-verzoek van een Pastebin-achtige site en rechtstreeks geladen in het runtime-geheugen van Python. Vervolgens wordt het PyLoose-script gedecodeerd en gedecomprimeerd, waardoor een XMRig-miner rechtstreeks in het geheugen wordt geladen met behulp van het "memfd" Linux-hulpprogramma. Ondanks dat de identiteit van de bedreigingsactoren onbekend blijft, lijkt de aanvaller achter PyLoose zeer geavanceerd en onderscheidt deze zich van typische dreigingsactoren in cloudwerkbelastingaanvallen. Beheerders van cloudinstanties wordt aangeraden diensten met code-uitvoeringsmogelijkheden niet openbaar bloot te stellen, sterke wachtwoorden en multi-factor authenticatie te gebruiken, en systeemcommando-uitvoeringsrestricties in te stellen. (Bron, Bron2)


Russische Hackgroep Lokt Diplomaten met BMW Advertenties voor Malware-aanval

De door de Russische overheid gesponsorde hackgroep 'APT29', ook bekend als Nobelium of Cloaked Ursa, gebruikt onconventionele middelen zoals autolijsten om diplomaten in Oekraïne te verleiden tot het klikken op kwaadaardige links die malware verspreiden. Deze groep, verbonden aan de Russische buitenlandse inlichtingendienst (SVR), heeft meerdere cyberspionagecampagnes uitgevoerd tegen hooggeplaatste individuen wereldwijd. In de afgelopen twee jaar hebben zij zich gericht op de NAVO, de EU en Oekraïense doelen via phishing-e-mails, valse documenten en websites. Een recent rapport van Palo Alto Network's Unit 42 team toont aan dat APT29 zijn phishing-tactieken heeft aangepast, waarbij ze nu meer persoonlijk afgestemde lokmiddelen gebruiken. Een recente campagne betrof het sturen van een BMW-autoreclame naar diplomaten in de Oekraïense hoofdstad Kiev, waarbij een legitieme autoverkoop werd geïmiteerd. Wanneer de ontvangers op de link "meer hoogwaardige foto's" klikten, werden zij doorgestuurd naar een HTML-pagina die kwaadaardige ISO-bestanddownloads leverde. De groep gebruikte een techniek genaamd HTML-smokkel om kwaadaardige payloads te verbergen in de webpagina. Het is onbekend hoeveel diplomaten er uiteindelijk geïnfecteerd zijn geraakt, maar minstens 22 van de 80 buitenlandse missies in Kiev werden getarget, waaronder die van de Verenigde Staten, Canada, Turkije, Spanje, Nederland, Griekenland, Estland en Denemarken.


TenneT slachtoffer van gegevensdiefstal na aanval op MOVEit Transfer-software

Netbeheerder TenneT is slachtoffer van een datalek geworden nadat criminelen via een zerodaylek toegang tot bestanden op de MOVEit Transfer-server van het bedrijf kregen. TenneT ontdekte naar eigen zeggen op woensdag 31 mei dat aanvallers bezig waren met het kopiëren van gegevens. MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De criminelen achter de Clop-ransomware gebruikten eind mei een zerodaylek in MOVEit Transfer voor het stelen van allerlei databases met persoonsgegevens. De criminelen dreigen de gestolen data via hun eigen website te publiceren als slachtoffers niet betalen. Volgens TenneT is erbij de aanval data gekopieerd die via MOVEit Transfer werd verstuurd of ontvangen. "De gekopieerde data is geanalyseerd op (privacy)gevoeligheid. Indien nodig zoekt TenneT contact met bedrijven en personen waarvan mogelijk (privacygevoelige) informatie is gekopieerd", aldus de netbeheerder. TenneT onderzoekt nog waarom sommige data al langere tijd op de server stond. Er is melding bij de Autoriteit Persoonsgegevens gemaakt en personen die door het datalek zijn getroffen hebben een brief ontvangen. Gisteren bevestigde ook TomTom dat het slachtoffer van de aanval op MOVEit Transfer is geworden.


Waakzaamheid vereist: FBI waarschuwt organisaties voor monitoring van Exchange Online

De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben vitale organisaties opgeroepen om hun Exchange Online-omgeving te monitoren. Aanleiding is een aanval waarbij aanvallers via een Microsoft account (MSA) consumer signing key valse authenticatietokens maakten, en zo toegang tot de e-mailaccounts van zo'n 25 organisaties kregen, alsmede accounts van eindgebruikers. De aanval kwam aan het licht toen een Amerikaanse overheidsinstantie verdachte activiteit in hun Microsoft 365 cloudomgeving waarnam. De overheidsinstantie informeerde Microsoft en het CISA, waarna de aanval werd ontdekt. Volgens de FBI en het CISA kunnen organisaties hun "cyberpostuur" versterken en dergelijke aanvallen detecteren door de gedane aanbevelingen over logging op te volgen. De Amerikaanse overheidsinstantie detecteerde de verdachte activiteit door van uitgebreide logging gebruik te maken, waarbij er met name naar "MailItemsAccessed" events werd gekeken. De FBI en het CISA stellen dat het mogelijk is om lastig te detecteren activiteiten van aanvallers via MailItemsAccessed events toch te detecteren. De twee diensten voegen toe dat ze niet bekend zijn met andere auditlogs of events waarmee de activiteit gedetecteerd had kunnen worden. In een vandaag gepubliceerde advisory worden verschillende aanbevelingen gedaan voor logging bij Exchange Online-omgevingen. "Hoewel deze mitigaties niet kunnen voorkomen wanneer aanvallers misbruik maken van gecompromitteerde consumer keys, verminderen ze de impact van minder geraffineerde activiteit gericht tegen cloudomgevingen", aldus de diensten.


Ransomware-betalingen in 2023 naar recordhoogte; zowel grote als kleine betalingen nemen toe

In de eerste helft van 2023 laten gegevens een toename zien in ransomware-activiteit, met een verwacht recordaantal aan betalingen voor zowel grote als kleine bedragen. Volgens een rapport van blockchain analysebureau Ketenanalyse is ransomware de enige categorie van cryptocurrency-gerelateerde misdaden die een stijging vertoont in 2023, terwijl alle andere categorieën, zoals hacks, oplichting, malware, verkoop van misbruikmateriaal, fraudewinkels en inkomsten uit darknet-markten, een aanzienlijke daling laten zien. Belangrijke ransomwaregroepen zoals BlackBasta, LockBit, ALPHV/Blackcat en Clop voeren het klassement aan met hoge betalingen. In het bijzonder heeft Clop twee massale aanvalsgolven uitgevoerd, waarbij twee nul-dag kwetsbaarheden in bestandsoverdrachtstools werden uitgebuit. Het gevolg hiervan was een recordbrekende maand in maart 2023. Daarnaast worden ook kleinere betalingen waargenomen, toe te schrijven aan opportunistische ransomware-aanbieders zoals Dharma, Phobos, en STOP/DJVU, die slachtoffers chanteren voor een paar honderd dollar. Deskundigen geloven dat de jaarlijkse afname van organisaties die bereid zijn om losgeld te betalen, ertoe kan leiden dat dreigingsactoren hun losgeldeisen strategisch verhogen, in een poging hun verliezen te compenseren met substantiële betalingen van de weinige organisaties die toegeven aan de eisen. (Bron)


Rootkits en malware profiteren van Microsoft's onbedoelde goedkeuring van drivers

Microsoft heeft tientallen drivers gesigneerd die door rootkits en andere malware zijn gebruikt voor het uitschakelen van beveiligingssoftware en Windows User Account Control, alsmede het onderscheppen van netwerkverkeer. Het techbedrijf heeft een update voor Windows uitgebracht die ervoor zorgt dat de drivers niet meer zijn te gebruiken. Ook zijn de accounts van de betreffende driver-ontwikkelaars geschorst. Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen. Het gaat om meer dan honderd drivers bij elkaar. Een aanvaller die de driver wil gebruiken moet wel al beheerdersrechten op een gecompromitteerd systeem hebben. De malafide drivers werden door antivirusbedrijven Sophos en Trend Micro en netwerkbedrijf Cisco ontdekt. Volgens Sophos valt het grootste deel van de drivers in de categorie "Endpoint protection killers", bedoeld om beveiligingssoftware op het systeem uit te schakelen. De andere drivers waren rootkits, gebruikt voor het onderscheppen van netwerkverkeer en het uitschakelen van User Account Control. Naast het uitbrengen van een update waardoor de drivers niet meer werken zegt Microsoft ook maatregelen te nemen om toekomstig misbruik van het Windows Hardware Developer Program tegen te gaan. Afgelopen december bleek ook al dat criminelen misbruik van het programma hadden gemaakt.


Cybercriminelen bemachtigen toegang tot e-mail via vervalste tokens op Outlook.com en Outlook Web Access

Een spionagegroep heeft door middel van vervalste authenticatietokens toegang gekregen tot de e-mailaccounts van zo'n 25 organisaties en een niet nader genoemd aantal eindgebruikers die via Outlook.com en Outlook Web Access (OWA) in Exchange Online worden aangeboden, zo heeft Microsoft laten weten. Onder de getroffen organisaties bevinden zich ook overheidsinstanties. Nadat een klant op 16 juni verdachte mailactiviteit aan Microsoft rapporteerde startte het techbedrijf een onderzoek. Daaruit blijkt dat de aanvallers sinds 15 mei toegang tot de e-mailaccounts van getroffen organisaties en gebruikers hadden. De aanvallers gebruikten een verkregen Microsoft account (MSA) consumer signing key voor het vervalsen van de tokens waarmee er toegang tot mailaccounts bij OWA en Outlook.com werd verkregen. MSA keys en Azure AD keys worden vanaf aparte systemen uitgegeven en beheerd en zouden alleen voor hun respectievelijke systemen geldig moeten zijn, aldus Microsoft. De aanvallers maakten echter gebruik van een probleem bij het valideren van tokens, waardoor het mogelijk was om via de vervalste tokens Azure AD-gebruikers te imiteren en zo toegang tot de e-mailaccounts te krijgen. Hoe de aanvallers de MSA signing key in handen kregen laat Microsoft niet weten. Het techbedrijf zegt dat het de beveiliging van de MSA key managementsystemen heeft aangescherpt. Daarnaast is het gebruik van de tokens die met de verkregen MSA key zijn gesigneerd binnen OWA-omgevingen geblokkeerd en is de key in kwestie ook vervangen. Verder zijn alle getroffen organisaties ingelicht. Microsoft stelt dat de spionagegroep, die het Storm-0558 noemt, vanuit China opereert.


Chinese hackers misbruiken Windows-beleid om kwaadaardige drivers te laden

Microsoft heeft code-ondertekeningscertificaten geblokkeerd die voornamelijk door Chinese hackers worden gebruikt om kwaadaardige kerneldrivers te laden op gecompromitteerde systemen, door gebruik te maken van een maas in het Windows-beleid. Deze drivers werken op het hoogste privilege-niveau in Windows en kunnen dus volledige toegang tot de doelmachine krijgen. Ondanks beleidswijzigingen die Microsoft met Windows Vista heeft doorgevoerd, zijn er nog steeds manieren om oudere drivers te laden. Hackers hebben hiervan geprofiteerd door open-source tools 'HookSignTool' en 'FuckCertVerify' te gebruiken om de ondertekeningstijd van kwaadaardige drivers vóór 29 juli 2015 te wijzigen. Ondanks dat Microsoft de misbruikte certificaten heeft ingetrokken en ontwikkelaarsaccounts heeft geschorst, bestaat het risico nog steeds,omdat er mogelijk nog meer certificaten aan het licht komen of gestolen kunnen worden. (Bron)


Cybercriminelen Betrokken bij Datalek bij Serviceprovider van Deutsche Bank

Deutsche Bank AG heeft bevestigd dat er een datalek heeft plaatsgevonden bij een van haar dienstverleners, waardoor klantgegevens werden blootgesteld in wat lijkt op een MOVEit Transfer datadiefstal aanval. Het incident zou te maken kunnen hebben met de recente golf van Clop ransomware-aanvallen, waarbij meer dan 100 bedrijven in meer dan 40 landen mogelijk zijn getroffen. Deutsche Bank heeft verzekerd dat haar eigen systemen op geen enkel moment beïnvloed zijn door dit incident. Het exacte aantal getroffen klanten is niet bekend, maar de bank heeft aangegeven dat alle betrokkenen zijn geïnformeerd over de impact van het lek en de noodzakelijke voorzorgsmaatregelen die ze moeten nemen met betrekking tot hun blootgestelde gegevens. Deutsche Bank is momenteel bezig met het onderzoeken van de oorzaken van het lek en het nemen van maatregelen om haar gegevensbeveiligingsmaatregelen te verbeteren. Hoewel cybercriminelen volgens de bank geen toegang kunnen krijgen tot accounts met behulp van de blootgestelde gegevens, kunnen ze proberen om ongeautoriseerde automatische afschrijvingen te initiëren. Als reactie hierop heeft Deutsche Bank de periode voor het melden van ongeautoriseerde automatische incasso's verlengd tot 13 maanden. Het beveiligingsincident heeft ook andere grote banken en financiële dienstverleners geraakt, waaronder Commerzbank, Postbank, Comdirect en ING. Het Duitse nieuwscentrum Handelsblatt heeft bevestigd dat de inbreukmakende serviceprovider 'Majorel' is, die ook onafhankelijk heeft bevestigd dat het het doelwit was van een cyberaanval.


Amerikaanse Zorgverlener HCA Healthcare Slachtoffer van Cybercriminelen: Privegegevens van Elf Miljoen Patiënten Gelekt

HCA Healthcare, een grote Amerikaanse zorgverlener, heeft privégegevens van elf miljoen patiënten gelekt. De gelekte data, waaronder naam, adres, e-mailadres, telefoonnummer, geboortedatum, geslacht en behandellocatie, wordt online aangeboden. Het bedrijf, dat 180 ziekenhuizen en 2300 locaties in de VS beheert, heeft aangegeven dat de data uitsluitend betrekking heeft op hun Amerikaanse locaties. De informatie werd gestolen van een systeem dat wordt gebruikt voor het opmaken van e-mailberichten. HCA beweert geen kwaadwillige activiteit op hun netwerk of systemen te hebben ontdekt. Het bedrijf gelooft dat er geen informatie over behandelingen, diagnoses of aandoeningen is gestolen. Het onderzoek naar het datalek is nog steeds aan de gang. Na ontdekking van het lek is de toegang tot de gecompromitteerde opslaglocatie onmiddellijk uitgeschakeld. Volgens beveiligingsonderzoeker Brett Callow kan dit mogelijk een van de grootste zorggerelateerde datalekken ooit zijn.


Ongedichte zeroday in Microsoft Office gebruikt in aanvallen op Europese instanties

Overheidsinstanties en defensiebedrijven in Europa en de Verenigde Staten zijn aangevallen via een zerodaylek in Microsoft Office waarvoor nog geen patch beschikbaar is. Alleen het openen van een malafide document is voldoende om met malware besmet te raken, zo heeft Microsoft bekendgemaakt. Het zerodaylek, aangeduid als CVE-2023-36884, is ingezet bij een phishingcampagne die de NAVO-top in Vilnius als onderwerp heeft. Via het beveiligingslek is remote code execution met rechten van de ingelogde gebruiker mogelijk. Volgens Microsoft wordt via de malafide documenten een backdoor geïnstalleerd waarmee de aanvallers inloggegevens stelen die bij latere aanvallen worden gebruikt. De zeroday werd door Microsoft zelf ontdekt, alsmede door onderzoekers van Google en securitybedrijf Volexity. Zolang er nog geen beveiligingsupdate beschikbaar is kunnen gebruikers en organisaties verschillende maatregelen nemen om zich te beschermen, waaronder het aanmaken van een registersleutel. De verschillende maatregelen staan in het beveiligingsbulletin vermeld. Dit kan echter gevolgen voor het functioneren van Office hebben, aldus Microsoft.


TomTom Doelwit van Cyberaanval, Echter Geen Materiële Schade

Navigatiebedrijf TomTom is het slachtoffer geworden van cybercriminelen die toegang hebben verkregen tot het softwareplatform MOVEit. Dit platform wordt gebruikt door bedrijven voor het digitaal verzenden van bestanden. Volgens een woordvoerder van TomTom is "de deur gesloten" en zijn er geen gegevens buitgemaakt die een "negatieve materiële impact kunnen hebben voor TomTom of zijn klanten." De beperkte impact is bevestigd door externe cybersecurity-experts, aldus de woordvoerder. TomTom heeft geen specifieke informatie vrijgegeven over welke gegevens de hackers mogelijk hebben bereikt. Het bedrijf heeft melding gedaan van het lek bij de relevante toezichthouders. Eerder meldde cybersecurity-adviseur FalconFeeds op Twitter dat de hackersgroep CL0P beweerde een succesvolle aanval op TomTom-gegevens te hebben uitgevoerd. Deze Russischsprekende groep beweerde toegang te hebben gekregen tot 82 gigabyte aan bedrijfsgegevens. Deze groep zou achter meer aanvallen zitten via een zwakke plek binnen MOVEit, wat leidde tot datalekken bij bedrijven zoals British Airways, de BBC en drogisterijketen Boots. In Nederland waarschuwde de exploitant van vakantiepark Landal dat hun klantgegevens mogelijk waren gelekt door een aanval op MOVEit.


Razer Onderzoekt Mogelijke Datalek Na Cyberaanval op Razer Gold

Razer is momenteel een mogelijke cyberaanval op het digitale valutaplatform Razer Gold aan het onderzoeken. Volgens berichten beweert een hacker op een online forum toegang te hebben gekregen tot gevoelige informatie, waaronder de broncode, encryptiesleutels, databases en backend inloggegevens van Razer Gold. Hij biedt deze informatie aan voor een bedrag van 100.000 dollar. Het bedrijf werd op 9 juli op de hoogte gebracht van de potentiële hack en begon onmiddellijk met een grondig onderzoek naar de beveiliging van hun website. Het onderzoek loopt nog steeds, en de resultaten zullen, na voltooiing, naar de relevante autoriteiten worden gestuurd. Het is momenteel onduidelijk of de beweerde cybercrimineel daadwerkelijk toegang heeft gekregen tot de Razer Gold-gegevens en eventuele gebruikersgegevens. Razer Gold is een digitaal valuta- en portemonneesysteem waarmee gebruikers games en in-game content kunnen kopen. Er zijn meer dan tweehonderd individuele games en platformen aangesloten bij dit initiatief van Razer. Het bedrijf kwam in 2020 in het nieuws door een groot datalek waarbij gegevens van 100.000 klanten toegankelijk waren. Het datalek werd veroorzaakt door een extern IT-bedrijf, maar Razer bleek niet verantwoordelijk te zijn, volgens een rechtszaak in Singapore. Het IT-bedrijf is echter deze week in beroep gegaan tegen deze zaak.


RomCom Hackers Voeren Phishing Aanvallen uit op Organisaties Die Oekraïne Steunen en Gasten van NAVO-top

Een cyberbedreiging genaamd 'RomCom' richt zich op organisaties die Oekraïne steunen en gasten van de aanstaande NAVO-top die morgen in Vilnius, Litouwen, van start gaat. De RomCom-hackers hebben kwaadaardige documenten gemaakt, zich voordoend als communicatie van het Oekraïense Wereldcongres en onderwerpen die verband houden met de NAVO-top, om specifieke doelwitten te lokken. Deze documenten bevatten kwaadaardige code die, eenmaal gedownload, verbinding maakt met externe bronnen om uiteindelijk malware op het systeem van het slachtoffer te laden. De RomCom-malware is oorspronkelijk ontdekt door Unit 42 in augustus 2022 en was eerder gelinkt aan een Cuba Ransomware-partner. Het achterdeurtje van RomCom schrijft 'security.dll' om automatisch opnieuw te starten bij herstart voor persistentie enwacht op commando's van de C2 (Command and Control) server. Deze commando's kunnen omvatten: het extraheren van data, het downloaden van extra payloads, het verwijderen van bestanden of mappen, het genereren van processen met nagemaakte PID's en het opzetten van een reverse shell. BlackBerry vermoedt dat de geanalyseerde campagne een herbranded RomCom-operatie is of een operatie die kernleden van de oude groep bevat die nieuwe dreigingsactiviteiten ondersteunen. Het rapport van de onderzoekers bevat indicatoren van compromis voor de valse documenten, tweede fase malware, en de gebruikte IP-adressen en domein voor de campagne.


Progress waarschuwt opnieuw voor kritieke kwetsbaarheden in MOVEit Transfer: honderden organisaties getroffen

Softwareontwikkelaar Progress heeft klanten opnieuw gewaarschuwd voor ernstige lekken in MOVEit Transfer, een applicatie die door veel bedrijven wordt gebruikt om vertrouwelijke bestanden uit te wisselen. Door een SQL-injectie kunnen onbevoegde gebruikers de inhoud van de MOVEit Transfer-database manipuleren en stelen. De ontwikkelaar adviseert klanten om de recent uitgebrachte patch zo snel mogelijk te installeren. Eerder meldde de ontwikkelaar een zero-day exploit waarbij ongeautoriseerde gebruikers toegang kregen tot de MOVEit Transfer-database via een SQL-injectie. Ze konden vertrouwelijke gegevens stelen en, met admin-rechten, in andere delen van bedrijfsnetwerken inbreken. Onderzoekers hebben sindsdien drie nieuwe kritieke kwetsbaarheden in MOVEit Transfer ontdekt, die zijn gepatcht in de laatste Service Pack. Ondanks deze inspanningen beweert de Russische hackersgroep Clop honderden organisaties te hebben getroffen door de kwetsbaarheden in MOVEit Transfer te misbruiken, waaronder British Airways, Aer Lingus, BBC en Shell.


Windows-malware faalt, Mac-malware treft doel: Amerikaanse denktank onder cyberaanval

Een Amerikaanse denktank op het gebied van buitenlandse zaken is aangevallen met Mac-malware, nadat een aanval met Windows-malware niet werkte. Dat stelt securitybedrijf Proofpoint in een analyse. Afgelopen mei stuurden de aanvallers een e-mail waarin ze zich voordeden als een onderzoeker van het Royal United Services Institute (RUSI). Na een eerste onschuldige e-mail stuurden de aanvallers vervolgens een bericht waarin werd gelinkt naar een Google Script-macro, die weer linkte naar een Dropbox-url. Via de Dropbox-link werd een met wachtwoord beveiligd RAR-bestand aangeboden. Dit RAR-bestand bevatte weer een malafide LNK-bestand dat de GorjolEcho-malware downloadt. Dit is een backdoor waarmee de aanvallers toegang tot het systeem krijgen. Volgens onderzoeker Joshua Miller ontdekten de aanvallers dat hun aanval niet werkte op de Mac van het doelwit. Een week later werd het doelwit opnieuw benaderd, maar dan met Mac-malware. Het ging om een e-mail voorzien van een met wachtwoord beveiligd ZIP-bestand. Dit zip-bestand bevatte weer het eerste deel van de Mac-malware. Volgens de instructies zou het om vpn-software gaan waarmee toegang tot afgeschermde content kan worden verkregen. In werkelijkheid gaat het om malware die informatie van het systeem verzamelt en een remote access trojan installeert. Volgens Proofpoint is de aanval uitgevoerd door een vanuit Iran opererende groep.


Charmante Kitten Hackers Zetten Nieuwe 'NokNok' Malware In Tegen macOS-systemen

Beveiligingsonderzoekers hebben een nieuwe cyberaanvalscampagne opgemerkt, die wordt toegeschreven aan de Charming Kitten APT-groep. Deze groep hackers heeft de nieuwe NokNok-malware ingezet, gericht op macOS-systemen. De campagne is van start gegaan in mei en hanteert een andere infectiemethode dan voorheen, waarbij LNK-bestanden worden gebruikt om de malware te installeren, in plaats van kwaadaardige Word-documenten die in vorige aanvallen werden gebruikt. Charming Kitten, ook bekend als APT42 of Phosphorus, heeft sinds 2015 ten minste 30 operaties in 14 landen gelanceerd. Deze groep is gelinkt aan de Iraanse staat, specifiek het Islamitische Revolutionaire Garde Corps (IRGC). In hun nieuwste campagne deden de hackers zich voor als Amerikaanse nucleaire experts en benaderden ze doelwitten met een aanbod om buitenlands beleidsontwerpen te herzien. De eindmalware is GorjolEcho, een eenvoudige achterdeur die commando's accepteert en uitvoert van zijn externe operators. Als het doelwit macOS gebruikt, sturen ze een nieuwe link naar een ZIP-bestand dat zich voordoet als een RUSI (Royal United Services Institute) VPN-app. De uitgevoerde Apple-scriptfile haalt de NokNok-malware op en zet een achterdeur op in het systeem van het slachtoffer. Deze campagne onderstreept de grote aanpassingsvermogen van Charming Kitten, hun vermogen om macOS-systemen te targeten en benadrukt de groeiende dreiging van geavanceerde malware-campagnes voor macOS-gebruikers.


Bron: Diverse | Met speciale dank aan: Anonieme tipgevers


Meer weekoverzichten