Trojanized WordPress Credentials Checker Steelt 390,000 Credentials, Kritieke Kwetsbaarheid Ontdekt in Microsoft Azure MFA: Uw Cybersecurity Overzicht
Trojanized WordPress Credentials Checker steelt 390,000 inloggegevens in MUT-1244-campagne
Een geavanceerde bedreigingsactor, gevolgd als MUT-1244, heeft het afgelopen jaar een grootschalige campagne uitgevoerd en met succes meer dan 390,000 WordPress-referenties gestolen. Deze operatie, die voornamelijk gericht was op andere bedreigingsactors, maar ook op beveiligingsonderzoekers, red teamers en penetratietesters, vertrouwde op een trojanized WordPress-referentiecontrole en kwaadaardige GitHub-repositories om zijn slachtoffers te compromitteren.
De aanvallers gebruikten een kwaadaardige tool, "yawpp", die werd geadverteerd als een WordPress credentials checker. Veel slachtoffers, waaronder dreigingsactoren, gebruikten de tool om gestolen credentials te valideren, waardoor ze onbedoeld hun eigen systemen en data blootstelden. Daarnaast heeft MUT-1244 meerdere GitHub-repositories opgezet met backdoored proof-of-concept exploits voor bekende kwetsbaarheden. Deze repositories waren ontworpen om legitiem te lijken, en kwamen vaak voor in vertrouwde threat intelligence feeds zoals Feedly en Vulnmon. Deze schijn van authenticiteit verleidde professionals en kwaadwillende actoren tot het uitvoeren van de malware, die werd afgeleverd via verschillende methoden, waaronder backdoored configuratiebestanden, Python droppers, kwaadaardige npm-pakketten en gemanipuleerde PDF-documenten.
De campagne omvatte ook een Phishing element. Slachtoffers werden misleid om opdrachten uit te voeren om te installeren wat zij dachten dat een CPU-microcode-update was, maar in werkelijkheid malware was. Na installatie implementeerde de malware zowel een cryptocurrency-miner als een backdoor, waardoor de aanvallers gevoelige gegevens konden stelen, zoals SSH-privésleutels, AWS-toegangssleutels en omgevingsvariabelen. De gestolen informatie werd vervolgens geëxfiltreerd naar platforms als Dropbox en file.io met behulp van hardgecodeerde inloggegevens die in de malware waren opgenomen.
Onderzoekers ontdekken kritieke kwetsbaarheid in Microsoft Azure MFA, waardoor accountovername mogelijk is
Beveiligingsonderzoekers bij Oasis Security hebben een kritieke kwetsbaarheid in het multifactorauthenticatiesysteem (MFA) van Microsoft Azure geïdentificeerd, waardoor ze MFA-beveiligingen konden omzeilen en binnen ongeveer een uur ongeautoriseerde toegang tot gebruikersaccounts konden krijgen. De fout, veroorzaakt door het ontbreken van een snelheidslimiet voor mislukte MFA-pogingen, liet meer dan 400 miljoen Microsoft 365-accounts kwetsbaar voor mogelijke inbreuken, waardoor gevoelige gegevens zoals Outlook-e-mails, OneDrive-bestanden, Teams-chats en Azure Cloud-services werden blootgesteld.
Door de kwetsbaarheid, genaamd "AuthQuake", te exploiteren, konden aanvallers gelijktijdige, snelle pogingen doen om de zescijferige MFA-code te raden, die 1 miljoen mogelijke combinaties heeft. Een gebrek aan gebruikersmeldingen tijdens mislukte inlogpogingen maakte de aanval heimelijk en moeilijk te detecteren. Daarnaast ontdekten onderzoekers dat het systeem van Microsoft MFA-codes ongeveer drie minuten geldig liet blijven, 2.5 minuten langer dan de 30 seconden die wordt aanbevolen door RFC-6238, wat de kans op een succesvolle gok aanzienlijk vergroot.
Met hun tests toonden de onderzoekers aan dat aanvallers binnen 24 sessies (ongeveer 70 minuten) meer dan 50% kans hadden om de juiste code te raden.
Rusland blokkeert Viber vanwege vermeende schendingen van nationale wetgeving
De Russische telecommunicatieregulator Roskomnadzor heeft de Viber-encryptieberichten-app geblokkeerd, waarbij hij schendingen van de nationale wetgeving aanhaalde. De app, die wereldwijd veel wordt gebruikt, werd ervan beschuldigd niet te voldoen aan de vereisten die erop gericht zijn misbruik voor activiteiten zoals terrorisme, extremisme, drugshandel en de verspreiding van illegale informatie te voorkomen. Roskomnadzor rechtvaardigde de beperking als noodzakelijk om deze risico's te beperken en te voldoen aan de Russische wetgeving.
Viber, beschikbaar op zowel desktop- als mobiele platforms, is immens populair, met meer dan 1 miljard downloads in de Google Play Store en aanzienlijke gebruikersbetrokkenheid op iOS. Deze stap volgt echter op een reeks acties van Russische autoriteiten die gericht zijn op buitenlandse communicatieplatforms. In juni 2023 legde een rechtbank in Moskou Viber een boete van 1 miljoen roebel op omdat het niet had verwijderd wat als illegale content was bestempeld, waaronder materiaal met betrekking tot het voortdurende conflict van Rusland in Oekraïne. De repressie tegen Viber is in lijn met de bredere beperkingen die Rusland heeft opgelegd aan berichtenservices.
