Cyber-ketju: verkkovakoilu,kännyköiden ja wlanien seuranta, hakkerointi, virukset, DoS etc

  • Viestiketjun aloittaja Viestiketjun aloittaja OldSkool
  • Aloitus PVM Aloitus PVM
morse-phishing-featured.jpg


All of us have seen our share of phishing emails, but there are a lot more that get caught by secure email gateways and client filters. Threat actors are constantly coming up with new ways to get past these virtual gatekeepers. [BleepingComputer] investigated a new phishing attack that used some old tricks by hiding the malicious script tags as morse code.

The phishing attack targets Microsoft account login credentials with an HTML page posing as an Excel invoice. When opened, it asks the user to re-enter their credentials before viewing the document. Some external scripts are required to render the fake invoice and login window but would be detected if the links were included normally. Instead, the actor encoded the script links using dots and dashes, for example, “.-” equals “a”. A simple function (creatively named “decodeMorse”) is used to decode and inject the scripts when it runs in the victim’s browser.

Of course, this sort of attack is easy to avoid with the basic precautions we are all familiar with, like not opening suspicious attachments and carefully inspecting URLs. The code used in this attack is simple enough to be used in a tutorial on JavaScript arrays, but it was good enough to slip past a few large company’s filters.

Phishing attacks are probably not going to stop anytime soon, so if you’re bored, you could go phishing for phishers, or write some scripts to flood them with fake information.
Klikkaa laajentaaksesi...
https://hackaday.com/2021/02/11/phishing-with-morse-code/
 
Köyhän miehen Echelon ;)

https://www.patriagroup.com/fi/crawlr

Patria CRAWLR on kybertiedosteluohjelmisto (CYBINT), joka kerää kohdistettua ja tarkkaa informaatiota laaja-alaisista lähteistä, kuten nettisivuilta, sosiaalisesta mediasta ja dark web -sivuilta. CRAWLR:n avulla käyttäjä voi analysoida keruun tuloksia sekä löytää uusia informaatiolähteitä hyödyntämällä ohjelmiston edistyksellisiä automaattisen datankeruun ja informaation luokittelun ominaisuuksia sekä koneoppimisen mahdollisuutta.
 
  • Tykkää
Reactions: ctg
Hardware that is widely used to control equipment in factories and other industrial settings can be remotely commandeered by exploiting a newly disclosed vulnerability that has a severity score of 10 out of 10.

The vulnerability is found in programmable logic controllers from Rockwell Automation that are marketed under the Logix brand. These devices, which range from the size of a small toaster to a large bread box or even bigger, help control equipment and processes on assembly lines and in other manufacturing environments. Engineers program the PLCs using Rockwell software called Studio 5000 Logix Designer.

On Thursday, the US Cybersecurity & Infrastructure Security Administration warned of a critical vulnerability that could allow hackers to remotely connect to Logix controllers and from there alter their configuration or application code. The vulnerability requires a low skill level to be exploited, CISA said.
Klikkaa laajentaaksesi...
arstechnica.com

Hard-coded key vulnerability in Logix PLCs has severity score of 10 out of 10

Critical authentication bypass flaw affects the entire Logix product line.
arstechnica.com arstechnica.com
 
[Jake Miller] of Bishop Fox Labs wrote a great intro to a subject I’ve never considered: odd JSON constructions, and how different implementations handle them. An example will help.

obj = {"test": 1, "test": 2}

So what’s the value of obj["test"]? It’s complicated. Some JSON parsers will choose the first definition of a key, while others choose the last. Still others will throw an error in response. What makes this a particularly serious problem is that the same data may be parsed by different implementations in a single transaction. The example given in the post is of an online store, where the payment processing is handled by a third party.

The attack works by manipulating the JSON object sent by the browser, injecting a second value definition for the quantity of items purchased. The store itself sees the higher value, which determines the actual items shipped. The payment backend uses a different JSON parser, which sees the smaller value. The backend actually handles payment processing, so the amount charged is that of the smaller quantity.

The article goes on to describe issues with invalid unicode embedded in JSON and valid keypairs that have been /*commented out*/, and what happens when you re-serialize this quirky data. Another interesting edge case is the handling of very large numbers, where some parsers return 0, others return a null, and some an approximation in scientific notation.

All told, JSON deserialization is a mess. There’s sure to be many hard-to-spot bugs in web applications that use multiple parsers. The author makes a few recommendations at the end of the post. The most important is that parsers should produce a fatal error on particular quirky JSON input, rather than returning a guess at what data was intended.
Klikkaa laajentaaksesi...
hackaday.com

This Week In Security: Mysterious Mac Malware, An Elegant VMware RCE, And A JSON Mess

There’s a new malware strain targeting MacOS, Silver Sparrow, and it’s unusual for a couple reasons. First, it’s one of the few pieces of malware that targets the new M1 ARM64 pro…
hackaday.com hackaday.com
 
For all the nation-state hacker groups that have targeted the United States power grid—and even successfully breached American electric utilities—only the Russian military intelligence group known as Sandworm has been brazen enough to trigger actual blackouts, shutting the lights off in Ukraine in 2015 and 2016. Now one grid-focused security firm is warning that a group with ties to Sandworm’s uniquely dangerous hackers has also been actively targeting the US energy system for years.

On Wednesday, industrial cybersecurity firm Dragos published its annual report on the state of industrial control systems security, which names four new foreign hacker groups focused on those critical infrastructure systems. Three of those newly named groups have targeted industrial control systems in the US, according to Dragos. But most noteworthy, perhaps, is a group that Dragos calls Kamacite, which the security firm describes as having worked in cooperation with the GRU's Sandworm. Kamacite has in the past served as Sandworm's "access" team, the Dragos researchers write, focused on gaining a foothold in a target network before handing off that access to a different group of Sandworm hackers, who have then sometimes carried out disruptive effects. Dragos says Kamacite has repeatedly targeted US electric utilities, oil and gas, and other industrial firms since as early as 2017.
Klikkaa laajentaaksesi...
arstechnica.com

Hackers tied to Russia’s GRU targeted the US grid for years

Sandworm-aligned group has breached US critical infrastructure a handful of times.
arstechnica.com arstechnica.com
 
The murder of Washington Post columnist Jamal Khashoggi, which is said to be have been aided by digital surveillance, was ordered by the head of the Saudi Arabian government, US intelligence has publicly asserted.

Khashoggi, a critic of the ruling Saudi Arabian royal family, was ambushed and assassinated in 2018 when he visited the Saudi embassy in Istanbul thinking he was collecting paperwork for his upcoming wedding.

Last week, Uncle Sam's Office of the Director of National Intelligence (ODNI) released a statement fingering Crown Prince Mohammed bin Salman for orchestrating the killing, which a lawsuit claims was aided by tracking technology provided by spyware biz NSO Group. Saudi-born Khashoggi was a legal US resident on an O-type visa reserved for foreigners of exceptional ability and achievements.

The Crown Prince, according to the UN, also had Washington Post owner and Amazon supremo Jeff Beozs's iPhone hacked to dig up dirt on the American billionaire.
Klikkaa laajentaaksesi...
www.theregister.com

Mobile spyware fan Saudi Crown Prince accused by US intel of Khashoggi death

Plus: Critical Cisco flaw, NSA advice, and someone hacked Gab?
www.theregister.com www.theregister.com
 
The prolific North Korean APT known as Lazarus is behind a spear-phishing campaign aimed at stealing critical data from defense companies by leveraging an advanced malware called ThreatNeedle, new research has revealed.

The elaborate and ongoing cyberespionage campaign used emails with COVID-19 themes paired with publicly available personal information of targets to lure them into taking the malware bait, according to Kaspersky, which first observed the activity in mid-2020.

Kaspersky researchers Vyacheslav Kopeytsev and Seongsu Park, in a blog post published Thursday said they identified organizations in more than a dozen countries that were affected in the attacks. They said adversaries were successful at stealing data and transmitting it to remote servers under Lazazrus’ control, they said.
Klikkaa laajentaaksesi...
threatpost.com

Lazarus Targets Defense Companies with ThreatNeedle Malware

A spear-phishing campaigned linked to a North Korean APT uses “NukeSped” malware in cyberespionage attacks against defense companies.
threatpost.com threatpost.com
 
Taas epäilty, vakava tietomurto kotimaassa:

Suuri kuntien järjestelmiä toimittava yhtiö Sarastia tiedottaa epäilevänsä tietomurtoa asiakaspalvelusivustollaan. Sivusto on tilapäisesti pois käytöstä.

Sivustolla havaittiin keskiviikkoaamuna tietoturvaloukkaus, jonka syytä ja haittoja yhtiö parhaillaan tutkii. Sivusto pidetään suljettuna tutkinnan ajan, kunnes se pystytään jälleen toteamaan turvalliseksi. Toistaiseksi Sarastian asiakaspalveluun saa yhteyden puhelimitse.

Yhtiön tiedotteen mukaan vaarassa voivat olla 28. helmikuuta – 3. maaliskuuta asiakaspalvelusivustolla liikkuneet tiedot. Yhtiö arvioi, että murtautuja on voinut päästä käsiksi noin tuhannen henkilön ja 72 asiakasorganisaation palkanmaksuun liittyviin identiteetti-, osoite- ja pankkitietoihin. Tietoturvaloukkaus ei koske muita Sarastian järjestelmiä.

www.iltalehti.fi

Kuntayhtiössä tietomurto – mahdollisesti 1000 ihmisen pankkitiedot vuotaneet

Sarastian asiakaspalvelusivusto on joutunut tietomurron kohteeksi.
www.iltalehti.fi www.iltalehti.fi
 
Supo varoittaa:

Supo: Ulkomaiset tiedustelupalvelut käyttävät suomalaisten verkkoreitittimiä kybervakoiluun​


Tarkista nämä​

Suojelupoliisi suosittelee varmistamaan, että käytettäviin reitittimiin on tehty vähintään seuraavat toimet laitteen tietoturvan parantamiseksi:


  • Estä pääsy reitittimen hallintapaneeliin internetistä.
  • Vaihda reitittimen oletussalasana vaikeasti arvattavaksi ja mahdollisimman pitkäksi. Suosituspituutena on vähintään 20 merkkiä.
  • Sulje reitittimestä kaikki avoimet portit, joita ei ole välttämätöntä käyttää.
  • Päivitä reitittimen laiteohjelmisto aina uusimpaan versioon.
Samat toimet kannattaa tehdä aina myös internetistä saatavilla oleville verkkotallennuslaitteille ja muille verkkoon yhdistetyille laitteille, kuten kodinkoneille, kameroille ja pölynimureille


www.iltalehti.fi

Supo: Ulkomaiset tiedustelupalvelut käyttävät suomalaisten verkkoreitittimiä kybervakoiluun

Reitittimien ja muiden verkkoon kytkettyjen laitteiden asetukset kannattaa tarkistaa.
www.iltalehti.fi www.iltalehti.fi
 
.
 
Huolestuttavaa.

By now, most people know that hackers tied to the Russian government compromised the SolarWinds software build system and used it to push a malicious update to some 18,000 of the company’s customers. On Monday, researchers published evidence that hackers from China also targeted SolarWinds customers in what security analysts have said was a distinctly different operation.

The parallel hack campaigns have been public knowledge since December, when researchers revealed that, in addition to the supply chain attack, hackers exploited a vulnerability in SolarWinds software called Orion. Hackers in the latter campaign used the exploit to install a malicious web shell dubbed Supernova on the network of a customer who used the network management tool. Researchers, however, had few if any clues as to who carried out that attack.

On Monday, researchers said the attack was likely carried out by a China-based hacking group they’ve dubbed “Spiral.” The finding, laid out in a report published on Monday by Secureworks’ Counter Threat Unit, is based on techniques, tactics, and procedures in the hack that were either identical or very similar to an earlier compromise the researchers discovered in the same network.
Klikkaa laajentaaksesi...
arstechnica.com

Chinese hackers targeted SolarWinds customers in parallel with Russian op

New data suggests that Russia wasn’t the only nation-state hacking customers.
arstechnica.com arstechnica.com

Hakkeriryhmien yhteistyö on harvinainen ilmiö. Itse yritin saada sellaista aikaiseksi, koskaan siinä onnistumatta. Syy siihen että kilpailu on niin hirvittävä ja tietyt hyökkäykset, tiettyjä kohteita antavat sinulle retestelyoikeuksia. Mutta valtiollisten yhteistyö on vielä harvinaisempaa. Kuka luottaa kuhun ja voiko homma mennä eteenpäin ilman selkään puukottamista?
 
Sen voin sanoa että eri ryhmät keskustelevat keskenään, mutta lojaalisuus omaa ryhmää kohtaan on suuri, ja kilpailu on niin sanotusti kova että yhteistyö yhtymien kanssa on harvinaista. Ei ole olemassa mitään hallintoelintä ja uskon että valtiollisten kanssa se on paljon vaikeampaa, koska toimijat on lojaaleja niin valtiolle kuin omalle yhtymälle.

En tiedä miten se sitten toimii jos valtiolliset ovat vakoiluyhtymien hoidossa ja asiasta sovitaan päättäjien kanssa. Kuka tekee mitä ja miten asiat jaetaan ryhmien kanssa? Homma kuitenkin on sama kuin normi joint operaatioissa, tulos on taatumpi, eli hyökkäys on monta astetta vakampi.
 
ctg kirjoitti:
Sen voin sanoa että eri ryhmät keskustelevat keskenään, mutta lojaalisuus omaa ryhmää kohtaan on suuri, ja kilpailu on niin sanotusti kova että yhteistyö yhtymien kanssa on harvinaista. Ei ole olemassa mitään hallintoelintä ja uskon että valtiollisten kanssa se on paljon vaikeampaa, koska toimijat on lojaaleja niin valtiolle kuin omalle yhtymälle.

En tiedä miten se sitten toimii jos valtiolliset ovat vakoiluyhtymien hoidossa ja asiasta sovitaan päättäjien kanssa. Kuka tekee mitä ja miten asiat jaetaan ryhmien kanssa? Homma kuitenkin on sama kuin normi joint operaatioissa, tulos on taatumpi, eli hyökkäys on monta astetta vakampi.
Klikkaa laajentaaksesi...

"Parhaat" eri puolilla maailmaa tietävät toisensa vaikka eivät ehkä koskaan naamatusten ole olleetkaan ja tunnistavat muiden kädenjäljen, toimintatavat, "moraalin" jne. erilaiset tuntomerkit jotka yksilöivät tekijät (tai gurun ympärille kertyneen ryhmän.) Kuka tekee sitten töitä kenellekin ja missä tarkoituksessa vaihtelee paljonkin.
 
  • Tykkää
Reactions: ctg
Pandemiavuosi 2020 oli poikkeuksellisen intensiivisten kybervakoiluoperaatioiden vuosi sekä Suomessa että Euroopassa.

Torstaina Suojelupoliisi kertoi (siirryt toiseen palveluun) tunnistaneensa vuonna 2020 eduskuntaan kohdistuneen kybervakoiluoperaation, jossa yritettiin tunkeutua eduskunnan tietojärjestelmiin.

Keskusrikospoliisi kertoi loppusyksystä, että se tutkii eduskuntaan kohdistunutta tietomurtoa. KRP kertoi tuolloin epäilevänsä hyökkäystä vakoiluksi. Kyberhyökkäys havaittiin eduskunnan sisäisessä teknisessä valvonnassa.

Hyökkäyksessä eduskunnan sähköpostitilien tietoturva vaarantui. KRP kertoi, että osa vaarantuneista sähköpostitileistä kuului kansanedustajille.

Keskusrikospoliisi tiedotti (siirryt toiseen palveluun) torstaina, että asiaa tutkitaan epäiltynä törkeänä tietomurtona, törkeänä vakoiluna ja törkeänä viestintäsalaisuuden loukkauksena.
Klikkaa laajentaaksesi...
yle.fi

Supo: Eduskuntaan kohdistunut vakoilu viittaa Kiinaan – poliisin mukaan verkkovakoilulla on yritetty kalastella tietoja vieraalle valtiolle

Verkkohyökkäys havaittiin eduskunnan sisäisessä teknisessä valvonnassa, jonka jälkeen eduskunnan tietoturvaa on vahvistettu.
yle.fi yle.fi
 
Sinun täytyy kirjautua vastataksesi.
Back
Top