December 9, 2022

Branches Tech

Engagé pour la qualité technologique

La tordeuse chinoise des bourgeons APT creuse un trou dans la législature d’un État américain

6 min read

En bref Le groupe de menaces persistantes avancées (APT) Budworm a changé de cible après avoir frappé le Moyen-Orient, l’Europe et l’Asie, et a été surpris cette semaine en coach d’essayer de s’introduire dans les systèmes d’une législature d’État américaine anonyme.

L’équipe Threat Hunter de Symantec signalé l’intrusion, affirmant qu’elle a toutes les caractéristiques d’une attaque d’un gang de vers de bourgeon lié à la Chine, qui serait parrainé par l’État.

L’outil principal de Budworm est connu sous le nom d’HyperBro, mais il a récemment été repéré en practice d’abuser d’un certain nombre d’outils de sécurité légitimes, a déclaré Symantec, notamment en utilisant le logiciel de gestion des privilèges des terminaux CyberArk Viewfinity, l’outil de check de pénétration Frappe de cobaltoutil de collecte d’informations d’identification LaZagne, outil de proxy et de transfert de port IOX, Quick Reverse Proxy et Fscan.

“Burdworm est connu pour monter des attaques ambitieuses contre des cibles de grande valeur”, a déclaré Symantec, citant comme preuves les attaques contre un gouvernement du Moyen-Orient et un hôpital d’Asie de l’Est sans nom.

Bien qu’il n’inclue pas les détails de ces incidents, Symantec a établi un lien vers un rapport de la Cybersecurity and Infrastructure Security Agency (CISA) sur un Campagne APT contre un entrepreneur de défense américain anonyme additionally tôt cette année. La CISA notice qu’HyperBro a été utilisé dans l’attaque, ce qui signifie qu’il est possible que le groupe était impliqué, mais qu’il n’agissait pas seul.

“Au cours des activités de réponse aux incidents, la CISA a découvert que plusieurs groupes APT compromettaient probablement le réseau de l’organisation, et certains acteurs APT avaient un accès à extensive terme à l’environnement”, a déclaré l’agence.

Ce n’est pas une bonne nouvelle, selon Symantec : avec deux cibles américaines de grande valeur attaquées en quelques mois, “une reprise des attaques contre des cibles basées aux États-Unis pourrait signaler un changement d’orientation pour le groupe”.

Le sénateur Warren sonne le Zelle’arm et fait honte aux banques pour fraude EFT

La sénatrice américaine Elizabeth Warren (D-MA) a déclaré que les grandes banques ignorent la fraude croissante sur la plate-forme de paiement en ligne de Zelle qu’elles exploitent et ne remboursent pas les utilisateurs qui sont la proie d’escroqueries.

Si vous n’avez pas entendu parler de Zelle, vous n’êtes pas seul – le concurrent assiégé de Venmo appartient à Financial institution of The us, Truist, Cash One particular, JPMorgan Chase, PNC Lender, US Lender et Wells Fargo. maintenant le sénateur revendique le système vend les consommateurs à découvert.

Selon les données de Warren, qui, selon elle, ont été fournies par quatre des sept banques du consortium sur demande en septembre, les réclamations pour fraude sur la plate-forme dépassaient 90 thousands and thousands de bucks (80,5 millions de livres sterling) en 2020 et étaient en passe de dépasser 255 tens of millions de pounds (228 hundreds of thousands de livres sterling) d’ici la fin de 2022.

Pour aggraver les choses, Warren a déclaré que les banques ont déclaré ne rembourser que 9,6% des réclamations pour escroquerie, pour un montant de seulement 2,9 hundreds of thousands de bucks.

Zelle, en revanche, a dit que 99,9% des transactions sur son réseau sont envoyées sans rapports de fraude ou d’escroquerie et que “toute analyse externe effectuée est incomplète et ne reflète pas les attempts et les données signalés par additionally de 1 700 establishments financières sur le réseau Zelle”.

Airtag aide les démocrates à découvrir une benne à ordures

Un bandit politique de Pennsylvanie a été déjoué grâce à l’utilisation avisée d’un Apple Airtag.

Alors que le suspect est toujours en liberté, la représentante de l’État de Pennsylvanie démocrate, Melissa Shusterman tweeté qu’un tracker Apple était précisément ce qu’il fallait pour faire des attempts du voleur un exercice vain.

“Les républicains locaux pensaient qu’ils pouvaient jeter [Josh Shapiro], [Chrissy Houlahan], et mes signes sans se faire prendre. Heureusement, un membre de la communauté a mis un airtag dans un [of] les panneaux et cela nous a conduits à cette benne à ordures”, a tweeté Shusterman avec une picture d’une poubelle remplie de panneaux de campagne.

Brokers chargés de l’application des lois dans le canton de Tredyffrin, Pennsylvanie, a dit ils passaient en revue des séquences vidéo d’un camion s’arrêtant vers la benne à ordures et quelqu’un déchargeant les panneaux. Les officiers ont également affirmé qu’il n’y avait aucune affiliation à un parti ciblé parmi ceux trouvés dans la poubelle, mais un ancien membre du comité démocrate qui a déclaré avoir retiré 118 pancartes de la benne à ordures a déclaré que toutes étaient pour des candidats démocrates, avec les pancartes du candidat au Sénat américain John Fetterman également trouvées dans la poubelle.

Sans se décourager, Shusterman a déclaré que les articles avaient été récupérés et que les travailleurs de la campagne étaient en pressure. “Le double du nombre de signes pris remontera”, a-t-elle tweeté.

Fortinet triple coup dur CVE obtient PoC, explication approfondie

Une faille critique dans FortiOS, FortiProxy et FortiSwitchManager de Fortinet a été corrigée, mais pour les curieux, la société de sécurité Horizon3.ai a publié un preuve de strategy pour l’exploit, ainsi que d’expliquer remark cela fonctionne.

Comme Le registre signalé moreover tôt cette semaine, le bogue pourrait permettre “à un attaquant non authentifié d’effectuer des opérations sur l’interface d’administration by using des requêtes HTTP ou HTTPS spécialement conçues”, mais nous comprenons maintenant mieux ce qui s’est passé.

En exécutant une commande diff sur les variations vulnérables et corrigées de FortiOS, Horizon3.ai a écrit dans son plongée profondeil a trouvé des chaînes dans le binaire init du programme d’installation qui pointaient vers des en-têtes dans le fichier NodeJs du programme d’installation.

“Ce binaire d’initialisation est plutôt volumineux et semble avoir de nombreuses fonctionnalités, notamment des hooks et des gestionnaires Apache pour divers points de terminaison de l’API Rest de gestion”, a noté Horizon3.ai.

Pour faire courtroom : ces en-têtes transférés pourraient être abusés par un attaquant pour définir l’adresse IP du consumer sur 127…1, ce qui trompe l’agent d’authentification d’accès de confiance et donne à l’attaquant la possibilité d’effectuer des requêtes API, aucune authentification n’est nécessaire.

“Un attaquant peut utiliser cette vulnérabilité pour faire à peu près tout ce qu’il veut sur le système vulnérable”, a noté Horizon3.ai, y compris l’ajout de nouveaux utilisateurs, la modification des configurations réseau et d’autres activités malveillantes.

Mauvaise nouvelle : les chercheurs ont déclaré que ce n’était pas nouveau et qu’ils avaient remarqué “une tendance parmi les vulnérabilités des logiciels d’entreprise récemment découvertes où les en-têtes HTTP sont mal validés ou trop fiables”.

Installez ces correctifs, les amis. ®

Leave a Reply