Välkommen till denna veckas utgåva av Tech Talk, där vi går igenom de senaste utvecklingarna inom cybersäkerhet. Denna vecka fokuserar vi på avancerade malware-kampanjer, den växande hotbilden från ransomware, och sofistikerade attacker mot air-gapped system. Här är de viktigaste ämnena som alla organisationer bör känna till för att hålla sig säkra i dagens digitala landskap.
Malware och Statsstödda Spionageoperationer
Voldemort och Emansrepo är två skräddarsydda malware som nyligen identifierats i kampanjer som riktar sig mot känslig data inom olika sektorer.
Voldemort är ett avancerat malware som används i phishing-kampanjer där skattemyndigheter imiteras. Det använder Google Sheets för kommando- och kontrollkommunikation (C2), vilket gör det svårare att upptäcka samtidigt som det utför spionageaktiviteter. Detta gör det särskilt farligt för organisationer som förlitar sig på internetbaserade tjänster. (Voldemort)
Emansrepo är ett Python-baserat infostealer som är designat för att stjäla webbläsaruppgifter och kryptoplånböcker. Genom phishing-e-postmeddelanden har detta malware utvecklats till ett mångsidigt verktyg som kan användas mot både individer och företag. (Emansrepo)
Dessa sofistikerade malware-kampanjer är ofta kopplade till statsstödda aktörer som APT29 och Earth Lusca, som har varit involverade i omfattande spionageoperationer:
APT29 (även känd som Midnight Blizzard), en rysk statssponsrad grupp, har nyligen utfört attacker som utnyttjar zero-day-sårbarheter i iOS och Chrome för att rikta sig mot myndigheter, som till exempel den mongoliska regeringen. Gruppen är känd för att genomföra avancerade spionageoperationer och för att stjäla kritiska data från statliga institutioner världen över. (APT29)
Earth Lusca, en kinesisk statsstödd aktör, har använt sig av högt obfuskerade bakdörrar som KTLVdoor för att rikta in sig på statliga institutioner och kritisk infrastruktur. Gruppens fokus på både Windows- och Linux-system gör dem särskilt mångsidiga och farliga. (Earth Lusca)
Ökningen av Deepfake-bedrägerier
Användningen av deepfakes inom cyberbrottslighet ökar, där hotaktörer i allt högre grad använder AI-drivna teknologier för att imitera offentliga personer och lura användare världen över. Dessa deepfake-bedrägerier leder ofta till investeringsbedrägerier och andra typer av ekonomisk brottslighet. Den ökade användningen av AI i dessa attacker understryker vikten av att verifiera äktheten hos digital kommunikation, särskilt när det gäller finansiella transaktioner.
Ransomware-hotet ökar
Ransomware fortsätter att öka, med både Mallox ransomware och Underground ransomware som visar betydande aktivitet:
Mallox ransomware har varit särskilt aktivt sedan 2021, med en betydande ökning under 2023. Med en modell som bygger på Ransomware-as-a-Service (RaaS), riktar sig Mallox mot organisationer genom att utnyttja sårbarheter i fjärråtkomst och opatchade system. Angriparna använder dataexfiltration som ett sätt att pressa sina offer genom att hota med att offentliggöra känslig information om lösen inte betalas.
Underground ransomware, som distribueras av RomCom-gruppen, är ett annat farligt hot. Detta ransomware riktar sig mot Windows-system och sprids genom sårbarheter som CVE-2023-36884, vilket gör det möjligt för angripare att köra fjärrkod på opatchade system. När de har tagit sig in, krypterar Underground ransomware viktiga filer och tar bort skuggkopior, vilket gör det svårt att återställa data utan att betala lösen. RomCom pressar sina offer ytterligare genom att publicera deras information på läckagesidor om betalningen inte sker. (CVE-2023-36884) (RomCom-gruppen)
Exploatering av Zero-Day-sårbarheter
Zero-day-sårbarheter fortsätter att vara en lönsam väg för angripare. Nyligen har WPS Office utnyttjats av angripare för att distribuera skräddarsydda bakdörrar som KTLVdoor, vilket kan ge fjärråtkomst till komprometterade system. Dessa sårbarheter tillåter angripare att infiltrera system innan patchar är tillgängliga, vilket gör dem särskilt farliga.
Organisationer bör säkerställa att de har robusta sårbarhetshanteringsprocesser för att snabbt upptäcka och svara på zero-day-exploateringar.
Air-Gapped Networks Under Attack: RAMBO-exploiten
Även om air-gapped-system traditionellt betraktas som säkrare på grund av sin fysiska isolering från internet, visar nya attacker som RAMBO-exploiten att även dessa system är sårbara. RAMBO är en side-channel-attack som utnyttjar RAM-utsläpp för att exfiltrera känslig data, inklusive krypteringsnycklar, filer och biometrisk information via radiosignaler, även från air-gapped-system.
Denna attack visar att även fysiskt isolerade nätverk inte är immuna mot avancerade cyberhot, vilket understryker vikten av ytterligare säkerhetsåtgärder utöver fysisk isolering.
Phishing och Dataexfiltrering
Phishing är fortsatt en av de mest effektiva och mest använda metoderna för cyberbrottslingar. Nya utvecklingar visar att phishing-attacker nu kombineras med avancerade dataexfiltreringstekniker, såsom keylogging, RSA-nyckelstöld, och till och med biometrisk exfiltrering via radiofrekvensbaserade attacker som RAMBO. Dessa attacker visar den ständigt utvecklande karaktären av phishing-kampanjer, som nu används för mer än bara malware – de kan också tyst extrahera kritisk data från komprometterade system.
Försvarsstrategier för Air-Gapped System
Som svar på dessa avancerade hot, särskilt RAMBO-exploiten, måste organisationer anta förbättrade försvarsstrategier för att skydda air-gapped-system. Några rekommenderade åtgärder inkluderar att använda TEMPEST-härdade enheter för att minska risken för elektromagnetiska läckor, förbättra krypteringsprotokoll och stärka programvaru- och hårdvarukontroller för att minska risken för dataexfiltrering.
Leverantörskedjans säkerhet spelar också en viktig roll, vilket säkerställer att enheter och programvara som används i air-gapped-miljöer är fria från sårbarheter och manipulationssäkra.
Slutsats
Denna veckas utgåva av Tech Talk belyser de växande sofistikerade cyberhoten, från ransomware och zero-day-exploiter till AI-drivna bedrägerier och avancerade side-channel-attacker som RAMBO. Organisationer måste vara vaksamma och anta både förebyggande och defensiva åtgärder för att säkra sina system, oavsett om de är anslutna till internet eller isolerade.