THN Sedmični sažetak: najveće prijetnje cyber sigurnosti, alati i savjeti [13. januar]

Cyber svijet je užurban ove nedelje, a sve je u tome da budete ispred hakera. Od prikrivenih softverskih grešaka do naprednih hakerskih trikova, rizici su stvarni, ali i načini da se zaštitite. U ovom sažetku ćemo prikazati šta se dešava, zašto je to važno i šta možete učiniti da ostanete sigurni.

⚡ Prijetnja sedmice

Kritična Ivanti greška dolazi pod eksploataciju — Novootkrivena kritična sigurnosna ranjivost u Ivanti Connect Secure uređajima je eksploatisana kao nulti dan od sredine decembra 2024. Greška (CVE-2025-0282, CVSS rezultat: 9.0) je stek- greška za prelivanje bafera koja bi mogla dovesti do neautoriziranog udaljenog izvršavanja koda. Prema Mandiantu u vlasništvu Google-a, mana je iskorišćena za implementaciju SPAWN ekosistema malicioznog softvera – SPAWNANT instalater, SPAWNMOLE tunel i SPAWNSNAIL SSH backdoor – kao i dvije druge ranije nedokumentovane porodice malicioznog softvera nazvane DRYHOOK i PHASEJAM. Postoji mogućnost da iza eksploatacije stoji više grupa hakera, uključujući UNC5337 povezanu s Kinom.

🔔 Najvažnije vijesti

• Microsoft poduzima pravne radnje protiv hakerske grupe – Microsoft je rekao da poduzima pravne mjere protiv nepoznate hakerske grupe sa sjedištem u inostranstvu zbog iskorištavanje ukradenih Azure API ključeva i podataka za autentifikaciju korisnika Entra ID-a kako bi provalili svoje sisteme i stekli neovlašteni pristup usluzi Azure OpenAI sa cilj generisanja štetnog sadržaja koji zaobilazi sigurnosne guardrails, kao i unovčavanje tog pristupa nuđenjem drugim kupaca. Optužila je tri neimenovane osobe da su u tu svrhu kreirale infrastrukturu za “hakovanje kao uslugu”.

• Zabilježeni pokušaji eksploatacije protiv GFI KerioControl Firewalls — Hakeri aktivno pokušavaju da iskoriste nedavno otkriveni sigurnosni propust koji utiče na GFI KerioControl firewall koji bi, ako se uspješno iskorištava, mogao omogućiti malicioznim hakerima da postignu daljinsko izvršavanje koda (RCE). Ranjivost, CVE-2024-52875, je injekcija povratne linije (CRLF) koja može rezultuje napadom skriptiranja na više lokacija (XSS). Pokušaji iskorištavanja ranjivosti počeli su oko 28. decembra 2024. godine.

• Ažurirani EAGERBEE maliciozni softver cilja na Bliski istok — Internet provajderi (ISP) i vladini entiteti na Bliskom istoku su ciljani pomoću ažurirane varijante EAGERBEE ( aka Thumtais) malver okvira. Nova varijanta je sposobna za implementaciju dodatnih korisnih opterećenja, nabrajanje sistema datoteka i izvršavanje komandnih školjki. Takođe može upravljati procesima, održavati udaljene veze, upravljati sistemskim uslugama i popisivati ​​mrežne veze.

• Jugoistočna Azija je pod napadom Mustang Panda — Nekoliko entiteta u Mongoliji, Tajvanu, Mjanmaru, Vijetnamu i Kambodži našlo se na meti prijetnje Mustang Panda iz Kine kako bi isporučio prilagođenu verziju PlugX backdoor-a između jula 2023. i decembra 2024. godine. napadi uključuju upotrebu Windows Shortcut (LNK), Windows Installer (MSI) i Microsoft Management Console  (MSC), vjerovatno distribuirane putem spear-phishinga, kao komponenta prve faze koja pokreće lanac infekcije, što na kraju dovodi do implementacije PlugX-a korištenjem tehnika bočnog učitavanja DLL-a.

• Vlada SAD-a službeno otkrila Cyber ​​Trust Mark — Vlada SAD-a najavila je lansiranje US Cyber ​​Trust Marka , nove sigurnosne oznake cyber sigurnosti za potrošačke uređaje Internet-of-Things (IoT) koja detaljno opisuje period podrške kao i korake koje korisnici mogu poduzeti da promijenite zadanu lozinku i bezbjedno konfigurišete uređaj. Prihvatljivi proizvodi koji spadaju u djelokrug programa Cyber ​​Trust Mark uključuju kućne sigurnosne kamere povezane s internetom, uređaje za kupovinu koji se aktiviraju glasom, pametne uređaje, fitness trackere, otvarače garažnih vrata i monitore za bebe.

‎️‍🔥 CVE-ovi u trendu

Vaš omiljeni softver možda krije ozbiljne sigurnosne pukotine – nemojte čekati da vas nevolja pronađe. Ažurirajte sada i ostanite korak ispred prijetnji!

Ovosedmična lista uključuje — CVE-2024-8474 (OpenVPN Connect), CVE-2024-46981 (Redis), CVE-2024-51919, CVE-2024-51818 (Fancy Product Designer dodatak), CVE-2024-12877 (GiveWP Dodatak za donacije i platforma za prikupljanje sredstava), CVE-2024-12847 (NETGEAR DGN1000), CVE-2025-23016 (FastCGI fcgi2), CVE-2024-10215 (dodatak WPBookit), CVE-2024-11350 ( AdForest tema), CVE- 2024-1Drupal CVE-2024-54676 (Apache OpenMeetings) CVE-2025-0103 (Palo Alto Networks Expedition), CVE-2024-53704 (SonicWall SonicOS), CVE-2024-50603 (Aviatrix kontroler, CVE-138), CVE-138 2024-9140 (Moxa).

📰 Širom cyber svijeta

• Pastor optužen za projekat Solano Fi “Dream” — Francier Obando Pinillo, 51-godišnji pastor u crkvi Pasco, Washington, optužen je za 26 tačaka prijevare zbog navodnog upravljanja prevarom s kriptovalutama koja je prevarila milionske investitore između novembra 2021. i oktobar 2023. Pinillo je navodno koristio svoj položaj pastora da podstakne članove njegovu kongregaciju i druge da ulože svoj novac u posao ulaganja u kriptovalute poznat kao Solano Fi. Tvrdio je da mu je ideja za šemu “došla u snu”. Prema američkom ministarstvu pravosuđa (DoJ), “umjesto da ulaže sredstva u ime žrtava kao što je obećao, Pinillo je prevario žrtve da izvrše transfere kriptovaluta na račune koje je on odredio, a zatim pretvorio sredstva žrtava u sebe i svoje saučesnike .” Pinillo je takođe optužen da je uvjerio investitore da angažuju druge investitore u zamjenu za dodatne povrate za svakog novog investitora kojeg su angožovali. Optužbe za prevaru predviđaju maksimalnu kaznu do 20 godina zatvora. Procjenjuje se da je optuženi ciljao najmanje 1.515 kupaca u SAD-u, čime je ostvario nezakonitu dobit od 5,9 miliona dolara. Razvoj događaja dolazi nakon što se muškarac iz Delawarea, Mohamed Diarra, izjasnio krivim za svoje učešće u široko rasprostranjenoj međunarodnoj shemi za iznudu i pranje novca od maja 2020. do decembra 2022. “Diarra je urotio sa zavjerenicima u Obali Slonovače koji su iznuđivali žrtve i koristili mreža ‘novčanih mazgi’ sa sjedištem u Delawareu, uključujući Diarru, do pomoći u pranju nezakonito stečenih sredstava žrtava”, saopštilo je Ministarstvo pravde. Prijeti mu maksimalna kazna od 20 godina zatvora. Posljednjih mjeseci, DoJ je također krivično gonio Roberta Purbecka ; Kiara Graham, Cortez Tarmar Crawford i Trevon Demar Allen ; i Charles O. Parks III u vezi sa operacijama iznude, zamjene SIM-a i kriptojackinga.

• Država Washington tužila T-Mobile zbog kršenja podataka za 2021. — Američka država Washington tužila je T-Mobile zbog navoda da telefonski gigant nije uspio osigurati lične podatke više od 2 miliona stanovnika države prije kršenja podataka u avgustu 2021., koja se nastavila da utiče na više od 79 miliona kupaca širom zemlje. U tužbi se tvrdi da je “T-Mobile godinama znao za određene propuste u cyber bezbjednosti i nije učinio dovoljno da ih riješi” i da je kompanija “pogrešno predstavila potrošačima da kompanija daje prioritet zaštiti ličnih podataka koje prikuplja”. U pritužbi je navedeno da je T-Mobile “koristio slabe krendicijale” na računima za pristup svojim internim sistemima i nije implementirao ograničavanje brzine prilikom pokušaja prijave, čime je omogućio napadačima da grubo provuku krendicijale bez zaključavanja dotičnih računa zaposlenika. Godinu dana nakon incidenta, T-Mobile je pristao platiti 350 miliona dolara za rješavanje grupne tužbe. John Bins, američki državljanin koji živi u Turskoj, preuzeo je zasluge za napad. Nakon toga je uhapšen u maju 2024. zbog učešća u kampanji iznude  Snowflake.

• Telegram ispunjava više zahtjeva za podacima korisnika nakon hapšenja izvršnog direktora — Telegram sve više dijeli korisničke podatke na zahtjev organa za provođenje zakona nakon hapšenja njegovog izvršnog direktora Pavela Durova prošle godine, prema informacijama prikupljenim iz njegovih periodičnih izvještaja o transparentnosti. Indija, Njemačka, SAD, Francuska, Brazil, Južna Koreja, Belgija, Španija, Poljska i Italija bile su među 10 zemalja s najvećim brojem zahtjeva. Nekoliko dana nakon njegovog hapšenja, Telegram je obećao da će napraviti značajna poboljšanja u nastojanju da se uhvati u koštac s kritikama o nedostatku nadzora i zloupotrebi platforme za nezakonite aktivnosti. Takođe se obavezao da će dati IP adrese i telefonske brojeve korisnika koji krše pravila kao odgovor na važeće zakonske zahtjeve. Uprkos promjenama u politici, Telegram i dalje ostaje glavno središte za cyber kriminalce koji obavljaju svoje operacije zbog svoje “uspostavljene” korisničke baze i funkcionalnosti. “Iako cyber kriminalci koriste Signal, Discord i druge alternativne platforme, ne izgleda da će u potpunosti zamijeniti Telegram u budućnosti, već će služiti kao dodatne metode za aktere prijetnji za obavljanje malicioznih aktivnosti”, rekao je KELA prošlog mjeseca.

• MLOps platforme bi mogle postati nova meta napada — Kako kompanije žure da iskoriste aplikacije vještačke inteligencije (AI), MLOps platforme koje se koriste za razvoj, obuku, implementaciju i nadgledanje takvih aplikacija mogu biti na meti napadača, omogućavajući im ne samo da dobiju neovlašteni pristup, već i takođe utiču na povjerljivost, integritet i dostupnost modela mašinskog učenja (ML) i podataka koje oni pružaju. Takve radnje mogu dozvoliti protivniku da izvrši napad ekstrakcije modela, otrovanje ili pristup podacima o obuci, i zaobiđe sisteme klasifikacije zasnovane na AI. “Povećana upotreba MLOps platformi za kreiranje, upravljanje i implementaciju ML modela dovešće do toga da napadači vide ove platforme kao atraktivne mete”, rekao je IBM X-Force . „Kao takvo, pravilno osiguranje ovih MLOps platformi i razumijevanje kako bi ih napadač mogao zloupotrijebiti za izvođenje napada kao što su trovanje podataka, ekstrakcija podataka i ekstrakcija modela je kritično.”

• Popularne Windows aplikacije ranjive na WorstFit napad — Utvrđeno je da je nekoliko aplikacija zasnovanih na Windows-u kao što su curl.exe, excel.exe, openssl.exe, plink.exe, tar.exe i wget.exe podložne potpuno novoj površini napada pod nazivom WorstFit , koji koristi funkciju konverzije karaktera ugrađenu u Windows pod nazivom Best-Fit. Tajvanska kompanija za cyber sigurnost DEVCORE rekla je da je konverzija Best-Fit dizajnirana za rješavanje situacija u kojima operativni sistem treba da konvertuje znakove iz UTF-16 u ANSI, ali ekvivalentni znak ne postoji na ciljnoj kodnoj stranici. Uz to, ova “neočekivana transformacija karaktera” mogla bi se iskoristiti za postizanje prelaska putanje i daljinskog izvršavanja koda pomoću tehnika kao što su krijumčarenje imena datoteke, podjela argumenata i konfuzija varijabli okruženja. „Što se tiče kako ublažiti takve napade, nažalost, budući da je ovo problem na nivou operativnog sistema, slični problemi će se i dalje pojavljivati ​​– sve dok Microsoft ne odluči da podrazumjevano omogući UTF-8 u svim svojim izdanjima Windowsa“, istraživači Orange Tsai i Splitline Huang je rekao . U međuvremenu, programerima se preporučuje da postupno ukinu ANSI i pređu na Wide Character API.

🎥 Stručni vebinar

1. Povjerenje spremno za budućnost: Upravljajte certifikatima kao nikada prije — Upravljanje digitalnim povjerenjem ne bi trebalo biti nemoguće. Pridružite nam se da otkrijete kako DigiCert ONE transformiše upravljanje certifikatima – pojednostavljujući operacije povjerenja, osiguravajući usklađenost i osiguravajući budućnost vaše digitalne strategije. Ne dozvolite da vas zastarjeli sistemi sputavaju. Rezervišite svoje mjesto već danas i vidite budućnost upravljanja povjerenjem na djelu!..
2. AI u cyber sigurnosti—Game-Changer ili Hype? — Da li je AI budućnost cyber sigurnosti ili samo još jedna popularna riječ? Saznajte kako 200 stručnjaka iz industrije dijeli stvarne uvide u upravljanje ranjivostima vođeno vještačkom inteligencijom i kako to može ojačati vašu odbranu. Smanjite buku i strategije dobitka koje možete koristiti upravo sada. Osigurajte svoje mjesto danas.

🔧 Alati za cyber sigurnost

• MLOKit — To je komplet alata za MLOps napad koji koristi ranjivosti REST API-ja za simulaciju napada u stvarnom svijetu na MLOps platformama. Od izviđanja do podataka i ekstrakcije modela, ovaj modularni komplet alata je napravljen za prilagodljivost – osnažujući sigurnosne profesionalce da ostanu ispred.

• HackSynth — To je AI-pokrenut agent dizajniran za autonomno testiranje penetracije. Sa svojim modulima Planner i Summarizer, HackSynth generiše komande, obrađuje povratne informacije i efikasno ponavlja. Testirano na 200 različitih izazova iz PicoCTF-a i OverTheWire-a.

🔒 Savjet sedmice

Upoznajte svoja proširenja pretraživača — Vaš pretraživač je srce vaše aktivnosti na mreži—i glavna meta za cyber pretnje. Maliciozne ekstenzije mogu ukrasti osjetljive podatke, dok prikrivene DOM manipulacije iskorištavaju ranjivosti za pokretanje štetnog koda u pozadini. Ove prijetnje često ostaju neprimijećene dok ne bude prekasno. Dakle, kako ostati zaštićen? Alati kao što su CRXaminer i DOMspy to čine jednostavnim. CRXaminer skenira proširenja za Chrome kako bi otkrila rizične dozvole ili opasan kod prije nego što ih instalirate. DOMspy vam pomaže da uočite skrivene prijetnje praćenjem ponašanja vašeg pretraživača u realnom vremenu i označavanjem sumnjivih aktivnosti kao što su uništavanje DOM-a ili zagađenje prototipa. Budite sigurni tako što ćete redovno pregledavati svoje ekstenzije, davati dozvole samo kada je to apsolutno neophodno i održavajte svoj preglednik i alate ažurnim.

Zaključak

Svaki klik, preuzimanje i prijava doprinose vašem digitalnom otisku, oblikujući koliko ste sigurni ili ranjivi na mreži. Iako se rizici mogu činiti ogromnim, ostati informisan i poduzeti proaktivne korake vaša su najbolja odbrana.

Kada završite ovaj bilten, odvojite trenutak da procijenite svoje navike na mreži. Nekoliko jednostavnih radnji danas može vas spasiti od velikih problema sutra. Ostanite naprijed, ostanite sigurni.

Izvor:The Hacker News