Cybercriminelen gebruiken een nieuwe versie van de Rhadamanthys Stealer om gegevens te stelen via een campagne genaamd CopyRh(ight)adamantys.
De campagne maakt gebruik van spear-phishingmails die zogenaamd zijn verzonden door juridische vertegenwoordigers van bekende bedrijven.
In de e-mails wordt de ontvanger beschuldigd van ongeoorloofd gebruik van merken op social media en wordt gevraagd om specifieke afbeeldingen en video’s te verwijderen. De verwijderingsinstructies leiden echter naar een downloadlink die de nieuwste versie van de Rhadamanthys-malware activeert.
Deze campagne richt zich op verschillende regio’s, waaronder de VS en Europa, en een breed scala aan sectoren. Opvallend is het grote aantal unieke e-mails dat in omloop is; elke e-mail komt van een ander adres en richt zich op een specifieke contactpersoon.
De aanvallers maken gebruik van Gmail-accounts om valse e-mails te sturen die afkomstig lijken te zijn van bekende bedrijven. In deze berichten wordt ten onrechte gesteld dat de ontvanger via social media inbreuk maakt op auteursrechten, met instructies voor het verwijderen van inhoud die in werkelijkheid malware installeren.
Bijna 70% van de geïmiteerde bedrijven bevindt zich in de entertainment-, media-, technologie- en softwaresectoren. Dit kan komen doordat deze sectoren vaker te maken hebben met auteursrechtclaims, waardoor de phishing-e-mails geloofwaardig lijken.
Alles bij de bron; Dutch-IT-Channel
Uit een analyse van Cisco Talos blijkt dat bij een kwart van de meldingen in het derde kwartaal de focus lag op het stelen van inloggegevens.
Volgens het bedrijf is het technisch gezien relatief eenvoudig om identiteits- en persoonlijke gegevens te stelen, bijvoorbeeld door ‘infostealers’ in te zetten. “ ...zulke aanvallen zijn zorgwekkend, omdat ze leiden tot interne aanvallen, social engineering en business email compromise vanaf een geldig, maar gecompromitteerd account. Zonder Identity Intelligence beveiligingssoftware die context en identiteit correleert, zijn dergelijke activiteiten zijn erg moeilijk te detecteren"
Om toegang te krijgen tot accounts maken aanvallers vaak gebruik van ‘password spraying’. Hierbij wordt een bepaald wachtwoord, of een korte lijst met veelgebruikte wachtwoorden, op meerdere accounts binnen een netwerk toegepast. Dit voorkomt automatische vergrendeling die optreedt bij klassieke brute-force aanvallen met veel verschillende wachtwoorden.
....ook zien we meerdere phishingaanvallen met de ‘adversary-in-the-middle’ (AitM) techniek. Deze methode misleidt gebruikers om hun inloggegevens in te voeren op nagemaakte inlogpagina’s, zoals voor Microsoft O365 en MFA.
In een specifieke aanval konden criminelen binnen twintig minuten na de eerste phishingmail al inloggen op de werkelijke werkomgeving van het slachtoffer. Dit laat zien hoe snel en effectief dergelijke aanvallen zijn.
Alles bij de bron; Dutch-IT-Channel
Nokia stelt dat er geen bewijs is dat aanvallers kritieke data van het bedrijf hebben gestolen. Wel erkent het bedrijf dat een externe partij waarmee het samenwerkt is getroffen door een securityincident.
Cybercriminelen claimde onlangs te hebben ingebroken bij een niet nader genoemde vendor via een niet goed beveiligde SonarQube-server. Hier zouden de aanvallers data van diverse bedrijven hebben gestolen, waaronder ook Nokia. Nokia startte hierop een onderzoek naar het datalek, waarvan het nu zijn eerste bevindingen deelt. Het stelt daarbij dat er geen aanwijzigingen zijn dat systemen van Nokia zelf zijn getroffen of data van het bedrijf is gestolen.
Alles bij de bron; Dutch-IT-Channel
De hack op de Nederlandse politie van eind september werd vermoedelijk uitgevoerd via een gekaapte inlogsessie aldus de politie.
Hoofd Operatiën bij de Eenheid Landelijke Opsporing en Interventies Stan Duijf schrijft in een persbericht op de website dat de hackers vermoedelijk een zogenoemde pass-the-cookie-aanval hebben uitgevoerd. Het doel van zo’n aanval is om toegang te krijgen tot het account of de applicatie van een gebruiker zonder dat inloggen met een wachtwoord opnieuw vereist is.
"Na een succesvolle aanval kan er malware worden geïnstalleerd die data zoals cookies doorstuurt naar een hacker waarmee toegang kan worden verkregen. In dit geval weten we dat het adresboek is buitgemaakt", zo laat de politie weten.
Bij de hack hebben de cybercriminelen allerlei privégegevens van de 63.000 werknemers te pakken gekregen De politie onderzoekt nog wat de hackers hebben gedaan met de buitgemaakte data.
Alles bij de bronnen; Tweakers & Security
Beveiligingsonderzoeker Sean Kahler kon door middel van verschillende kwetsbaarheden miljoenen Electronic Arts-accounts overnemen, zonder dat hier enige interactie van gebruikers voor was vereist.
Kahler beschrijft hoe hij binnen de authentication API-omgeving van Electronic Arts een 'privileged access token' had bemachtigd. Hoe dit precies mogelijk was zegt de onderzoeker op een later moment bekend te maken, maar het zou gaan om een executable bestand van een EA-game met daarin hardcoded credentials. Vervolgens wist Kahler via een bereikbaar endpoint andere endpoints te vinden.
Elk account dat wordt gekoppeld aan een EA-account krijgt een 'persona', waaronder het standaard EA-account. Kahler weet via de gevonden endpoints en API's zijn eigen persona's aan elk willekeurig EA-account koppelen alsmede elk willekeurig persona aan zijn eigen EA-account en zo op de accounts van andere gebruikers in te loggen. In eerste instantie loopt de onderzoeker hierbij tegen een probleem aan dat er een e-mailverificatie is vereist, omdat er vanaf een nieuwe locatie wordt ingelogd.
Kahler ontdekt dat deze controle is te omzeilen door meteen in te loggen via een spelcomputer, zoals de Xbox, wat ervoor zorgt dat EA de locatie 'vertrouwt'.
Via de kwetsbaarheden kan de onderzoekers gebruikersnamen van andere gebruikers stelen, alsmede hun game data, inloggen op de accounts van andere gebruikers, persona's van andere gebruikers bannen en opgelegde bans omzeilen. Al deze zaken zijn zonder enige interactie van de betreffende gebruikers uit te voeren.
Electronic Arts wordt op 16 juni door Kahler over de kwetsbaarheden ingelicht en stelt dat het om een kritiek probleem gaat. In de volgende maanden verschijnen er vijf patches om de problemen te verhelpen, waarbij de laatste update op 8 oktober wordt uitgerold.
Alles bij de bron; Security
Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de Rijksoverheid veilig en vertrouwelijk met elkaar communiceren en is technisch goed opgezet.
De minister van Defensie heeft veel maatregelen genomen om de kwetsbaarheden van NAFIN zoveel mogelijk te beperken en de kans op uitval is relatief klein. Op papier is ook de beveiliging goed geregeld. Desondanks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten.
Het NAFIN is een glasvezelnetwerk van het Ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Ook de politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid....
....Defensie is afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier.
Defensie is daarnaast voor de beveiliging van het netwerk afhankelijk van hoe gebruikers het netwerk behandelen en beveiligen. De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hier aan houden.
Alles bij de bron; Dutch-IT-Channel
Cryptobeurs Binance moet de persoonsgegevens van een klant aan een slachtoffer van oplichting verstrekken, zo heeft de voorzieningenrechter van de rechtbank Den Haag in een kort geding geoordeeld.
Het slachtoffer leerde afgelopen zomer iemand via een datingplatform kennen, die haar overhaalde om in cryptovaluta te beleggen. Ze legde in totaal 186.000 euro in. Later bleek dat zij haar geld had ingelegd in een oplichtersplatform, waarna een deel van de cryptovaluta naar één of meer onbekende personen is overgemaakt.
Uit onderzoek blijkt dat een deel van de cryptovaluta van de vrouw is overgemaakt naar een account bij cryptobeurs Binance. De vrouw verzocht Binance vervolgens om onder meer het betreffende account te bevriezen en de naam- en adresgegevens van de klant bekend te maken. Binance heeft het betreffende account daarop intern geschorst. De klant heeft sindsdien niets van zich laten horen.
Via het kort geding wilde de vrouw onder meer dat Binance de volledige naam en het adres van de klant vrijgeeft. Ook wilde de vrouw dat Binance het account geschorst houdt totdat ze een uitspraak in de bodemprocedure heeft en uit het account is terugbetaald waar ze volgens de uitspraak in de bodemprocedure recht op heeft.
Volgens de rechter heeft de vrouw een rechtmatig belang dat Binance haar de klantgegevens verstrekt. De rechter stelt ook dat het belang van de vrouw om een bodemprocedure tegen de betreffende klant te kunnen beginnen zwaarder weegt dan de privacybelangen van de klant. De cryptobeurs moet dan ook de gegevens van de klant verstrekken, het account geschorst houden en bekend maken welk bedrag erop het geschorste account staat, zodat de vrouw kan beoordelen of het zin heeft een bodemprocedure te beginnen.
Alles bij de bron; Security
Interpol heeft tijdens de zogenaamde Operatie Synergia II meer dan 22.000 malafide IP-adressen of servers die gelinkt zijn aan cyberdreigingen offline gehaald.
Interpol richtte zich tijdens de actie specifiek op phishing, ransomware en malware die informatie steelt, zegt de organisatie op zijn website. n.
In totaal werden 30.000 verdachte IP-adressen geïdentificeerd, waarvan 76 procent offline werd gehaald. Naast 41 gearresteerde mensen, worden 65 individuen nog onderzocht door de autoriteiten.
In het Chinese Hong Kong zijn 1.037 servers die gelinkt zijn aan malafide diensten offline gehaald. In Macau, ook in China, werden 291 servers offline gehaald. In Estland heeft de politie meer dan 80GB aan serverdata in beslag genomen, die nu verder geanalyseerd worden.
Alles bij de bron; Tweakers