Welkom bij de editie van Nomios CyberWednesday van deze week!De roundup van deze week duikt in de meest urgente cyberbeveiligingsontwikkelingen die bedrijven in heel Europa en daarbuiten beïnvloeden.Van Chinese cyberspionagecampagnes gericht op telecombedrijven en Russische malware die kritieke sectoren infiltreert tot Noord-Koreaanse hackers die AI inzetten voor geavanceerde zwendelpraktijken, deze verhalen belichten de evoluerende tactieken van wereldwijde dreigingsactoren.Blijf op de hoogte met de nieuwste inzichten om je organisatie te beschermen tegen opkomende bedreigingen in het steeds veranderende digitale landschap.
1. Russische hackers implementeren HATVIBE en CHERRYSPY malware
De Russische cyberspionagegroep TAG-110, gelieerd aan APT28, heeft zijn activiteiten in Europa en Azië geïntensiveerd met behulp van aangepaste malwaretools-HATVIBE en CHERRYSPY. De campagne richt zich op overheidsinstanties, mensenrechtengroepen en onderwijsinstellingen en richt zich voornamelijk op Centraal-Azië, maar bereikt ook delen van Europa.
HATVIBE dient als loader om CHERRYSPY te implementeren, een op Python gebaseerde backdoor die wordt gebruikt voor het exfiltreren en spioneren van gegevens. De groep heeft kwetsbaarheden in publiek toegankelijke applicaties uitgebuit en phishing e-mails gebruikt om systemen te infiltreren. Sinds 2021 zijn er meer dan 60 slachtoffers geïdentificeerd, waaronder entiteiten in Hongarije en Griekenland, maar ook in voormalige Sovjetstaten zoals Kazachstan en Oezbekistan.
Recorded Future merkte op dat deze inspanningen aansluiten bij de hybride oorlogsvoeringstrategie van Rusland, gericht op het destabiliseren van NAVO-bondgenoten en het behouden van invloed in post-Sovjetstaten. Door gebruik te maken van regionale instabiliteit en aangepaste malware, onderstreept de groep de toenemende geavanceerdheid van cyberspionage. (Source: The Hacker News)
2. Hackers in China maken gebruik van SIGTRAN- en GSM-protocollen om in telecomnetwerken te infiltreren
Een Chinese spionagegroep, Liminal Panda, wordt verantwoordelijk gehouden voor een serie geraffineerde aanvallen op telecommunicatieproviders in Zuid-Azië, Afrika en Europa. De groep gebruikt op maat gemaakte tools zoals SIGTRANslator, CordScan en PingPong om de telecominfrastructuur te infiltreren, waardoor informatie over mobiele abonnees, gespreksmetadata en sms-berichten exfiltreerd kunnen worden.
Deze aanvallen beginnen vaak met het uitbuiten van externe DNS-servers en zwakke wachtwoorden om voet aan de grond te krijgen. Eenmaal binnen gebruikt de groep tools als TinyShell en een SGSN emulator om verkeer door telecommunicatienetwerken te tunnelen. Liminal Panda's kennis van telecomprotocollen en -infrastructuur stelt de groep in staat om meerdere providers te infiltreren en lateraal door onderling verbonden systemen te bewegen.
De campagne onderstreept de kwetsbaarheid van telecomproviders voor door de staat gesponsorde cyberdreigingen en benadrukt de noodzaak van een sterkere verdediging in kritieke infrastructuursectoren. (Source: The Hacker News)
3. Noord-Koreaanse hackers stelen $10M met AI-gestuurde zwendel op LinkedIn
De Noord-Koreaanse Sapphire Sleet groep, die overlapt met APT38 en BlueNoroff, heeft social engineering campagnes op LinkedIn opgezet om cryptocurrency te stelen. De groep maakt nepprofielen van rekruteerders, die zich voordoen als vertegenwoordigers van bedrijven zoals Goldman Sachs, om slachtoffers te verleiden tot het downloaden van malware die vermomd is als vaardigheidsbeoordelingen.
Eenmaal geïnstalleerd stelt de malware aanvallers in staat om toegang te krijgen tot de referenties en cryptocurrency-portefeuilles van slachtoffers. De groep maakt ook gebruik van AI-tools zoals Faceswap om overtuigende beroepsprofielen te creëren, wat de geloofwaardigheid van hun zwendelpraktijken vergroot.
Microsoft meldde dat deze inspanningen deel uitmaken van een bredere strategie van Noord-Korea om inkomsten te genereren te midden van sancties. De groep heeft ook IT-medewerkers ingezet in het buitenland om legitieme banen te bemachtigen en tegelijkertijd cyberdiefstal en spionage te plegen. (Source: The Hacker News)
4. CISA waarschuwt voor actief misbruikte VMware vCenter kwetsbaarheden
Het Cybersecurity and Infrastructure Security Agency (CISA) heeft een urgent advisory uitgegeven voor twee kritieke kwetsbaarheden in VMware's vCenter Server: CVE-2024-38812 en CVE-2024-38813.
CVE-2024-38812 is een heap-gebaseerde buffer overflow in het DCERPC-protocol, waardoor aanvallers code op afstand kunnen uitvoeren. CVE-2024-38813, een privilege escalatie fout, stelt aanvallers in staat om root toegang tot systemen te krijgen. Deze kwetsbaarheden zijn misbruikt om gevirtualiseerde omgevingen, die essentieel zijn voor de bedrijfsinfrastructuur, te compromitteren.
VMware heeft patches uitgebracht en adviseert organisaties dringend om deze voor 11 december 2024 te implementeren om mogelijk catastrofale inbreuken te voorkomen. (Source: Cyber Security News)
5. Oracle patcht misbruikt Agile PLM-nul-Day
Oracle heeft een zero-day kwetsbaarheid met hoge ernst (CVE-2024-21287) in Agile Product Lifecycle Management (PLM) gepatcht. Het lek, dat in het wild werd misbruikt, stelde niet-geauthenticeerde aanvallers in staat om toegang te krijgen tot kritieke bestanden onder de privileges van de applicatie.
Agile PLM, dat wordt gebruikt voor het beheren van productgegevens en -processen, wordt nog steeds op grote schaal gebruikt ondanks de plannen van Oracle om er in 2027 mee te stoppen. De exploit benadrukt de risico's van niet-gepatchte legacy-systemen in bedrijven. Oracle heeft er bij alle gebruikers op aangedrongen om onmiddellijk updates toe te passen om datalekken te beperken en gevoelige informatie te beschermen. (Source: SecurityWeek)
6. De rol van ENISA wordt groter naarmate de EU de wet op cyberbeveiliging herziet
Er is bij de Europese Commissie op aangedrongen om het mandaat van ENISA te versterken tegen de achtergrond van toenemende cyberdreigingen en nieuwe EU-wetgeving zoals NIS 2 en de Cyber Resilience Act. Nationale overheden pleiten voor meer financiering, personeel en technische middelen voor het cyberbeveiligingsagentschap van de EU om de groeiende verantwoordelijkheden beter aan te kunnen.
ENISA, dat momenteel met iets meer dan 100 medewerkers werkt, speelt een centrale rol bij het ondersteunen van lidstaten en het certificeren van ICT-producten. De lopende herziening van de EU Cyberbeveiligingswet biedt een kans om de doelstellingen van het agentschap opnieuw te definiëren en lacunes in de operationele capaciteit aan te pakken. (Source: Euronews)
7. Apple patcht misbruikte zero-days in macOS en iOS
Apple heeft noodupdates uitgebracht voor macOS en iOS om twee zero-day kwetsbaarheden te verhelpen: CVE-2024-44308 en CVE-2024-44309. Deze zwakke plekken, ontdekt door Google's Threat Analysis Group, zijn in het wild misbruikt om willekeurige code uit te voeren en cross-site scripting aanvallen uit te voeren op Intel-gebaseerde macOS-systemen.
De updates-macOS Sequoia 15.1.1 en iOS 18.1.1- zijn cruciaal voor het beveiligen van Apple apparaten, vooral omdat aanvallers deze platformen blijven aanvallen in spraakmakende campagnes. (Source: SecurityWeek)
8. Russische Nearest Neighbour Wi-Fi-aanval legt nieuwe spionagerisico's bloot
APT28 (Fancy Bear) maakte gebruik van een innovatieve “Nearest Neighbour Attack”, waarbij netwerken werden geïnfiltreerd door Wi-Fi-verbindingen in de buurt aan te tasten. Door systemen in een gebouw aan de overkant van hun doelwit te hacken, omzeilden ze multi-factor authenticatie (MFA) en kregen ze toegang tot gevoelige gegevens. Deze tactiek onderstreept de noodzaak van geavanceerde Wi-Fi-versleuteling en veilige netwerksegmentatie om dergelijke risico's te beperken. (Source: SecurityWeek)
9. Zorgen voor de security van de softwareleveringsketen
De toename van aanvallen op de toeleveringsketen van software, zoals NotPetya en SolarWinds, onderstreept de noodzaak voor bedrijven om verder te gaan dan traditionele beveiligingsmaatregelen. Het initiatief “Secure by Demand” van CISA dringt er bij organisaties op aan om strengere beveiligingswaarborgen te eisen van leveranciers en de integriteit van software onafhankelijk te valideren.
Hoewel tools zoals beveiligingsvragenlijsten en Software Bills of Materials (SBOM's) transparantie bieden, schieten ze tekort bij het detecteren van verborgen bedreigingen zoals gecompromitteerde build pipelines of kwaadaardige code. Ondernemingen moeten proactieve maatregelen nemen zoals onafhankelijke softwarevalidatie en continue risicoanalyse om kritieke toepassingen te beschermen tegen kwetsbaarheden, malware en geknoei. (Source: Dark Reading)
10. Microsoft onthult ONNX Phishing Service, neemt 240 domeinen in beslag
Microsoft heeft de ONNX phishing-as-a-service operatie ontmanteld, 240 schadelijke domeinen in beslag genomen en de Egyptische operator, Abanoub Nady, ontmaskerd. ONNX bood phishingkits aan waarmee aanvallers MFA konden omzeilen en referenties konden stelen. De aanval van Microsoft benadrukt de noodzaak voor bedrijven om gelaagde verdediging te implementeren, inclusief geavanceerde e-mailbeveiliging en realtime phishingdetectie. (Source: Dark Reading)
Blijf de nieuwste ontwikkelingen op het gebied van cyberbeveiliging voor door deze verhalen in de gaten te houden en zorg ervoor dat de beveiligingsprotocollen van je organisatie up-to-date blijven.