Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...
Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie z...
Użytkownikom laptopów czy smartfonów zdarza się zauważyć, że po uruchomieniu nowego sprzętu od innego producenta pojawiają się na nim aplikacje, których nie było na poprzednim. Dzieje się tak mimo tego, że urządzenia pracują na tym samym systemie operacyjnym. Większość producentów preinstalu...
Dzięki uprzejmości firmy AVM w nasze ręce trafiło kolejne urządzenie marki FRITZ! Tym razem po raz pierwszy mieliśmy okazję przetestować produkt z ekosystemu FRITZ! Smart Home - bramkę FRITZ!Smart Gateway, wprowadzoną na rynek polski w marcu bieżącego roku. Urządzenie rozszerza ekosystem inteligentnego domu od AVM o ob...
Stworzony w 2005 roku, Endpoint Central (wcześniej znany jako Desktop Central) miał na celu zrewolucjonizowanie sposobu, w jaki firmy zarządzają swoim IT. Przez prawie dwie dekady rozwijał się wraz z dynamicznie zmieniającymi się potrzebami nowoczesnych przedsiębiorstw. Jest dowodem na siłę nieustannej innowacji, oferu...
Podczas konferencji VMware Explore 2024, firma Broadcom ogłosiła wprowadzenie VMware Tanzu Platform 10, platformy aplikacyjnej zbudowanej w oparciu o technologie chmurowe, która przyspiesza dostarczanie oprogramowania, zapewniając zespołom inżynierów lepsze zarządzanie i efektywność operacyjną, a jednocze...
Cyberprzestępcy coraz częściej atakują urządzenia z systemem macOS od Apple. Celem hakerów są programiści poszukujący pracy w firmach z sektora kryptowalut. Śledztwo zespołu badaczy Palo Alto Networks Unit 42 wykazało, że ostatnie tego typu ataki mogły być przeprowadzone w imieniu reżimu Korei Północnej.
Analitycy z Unit 42 od Palo Alto Networks już w zeszłym roku informowali o podobnych praktykach cyberprzestępców skierowanych przeciwko osobom poszukującym pracy. Wówczas atak socjotechniczny polegał na podszywaniu się hakerów pod rekruterów. Tym razem badacze odkryli, że złośliwe oprogramowanie o nazwie RustDoor podszywa się pod aktualizację aplikacji na macOS.
Ślady po raz kolejny prowadzą do Kori Północnej
Choć w tej chwili pozostaje niejasne, która z północnokoreańskich grup APT stoi za tą operacją, można powiązać zaobserwowane aktywności ze znanymi schematami wykorzystywanymi przez grupy działające na zlecenie reżimu Korei Północnej.
Atakujący użyli backdoora RustDoor, który był już przypisywany północnokoreańskiemu aktorowi zagrożeń, którego znamy jako Alluring Pisces. Nie jest jednak jasne, czy to narzędzie jest unikalne dla tej grupy, czy też używają go również inne północnokoreańskie grupy APT.
"W demaskowaniu działań cyberprzestępców ważna jest tak zwana wiktymologia, czyli zestaw charakterystycznych cech wyróżniających ofiary ataków. Prawidłowo zidentyfikowany profil ofiary pozwala szybciej dotrzeć do źródła ataków. Zaobserwowaliśmy, że wszystkie ofiary były twórcami oprogramowania w branży kryptowalut. To pokazuje, jakie cele obierają obecnie cyberprzestępcy motywowani finansowo, jak również politycznie" - powiedział Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający w Palo Alto Networks w Europie Środkowo-Wschodniej.
Najnowszy atak jest o tyle niebezpieczny, że bardzo łatwo usypia czujność i wykorzystuje rutynę pracy programistów, aby przemycić do ich środowiska pracy złośliwe oprogramowanie. Tym razem cyberprzestępcy zamaskowali swoje działanie jako aktualizację VisualStudio - popularnego wśród programistów edytora kodu od Microsoft. Działanie socjotechniczne wykorzystujące autorytet znanej aplikacji pomaga cyberprzestępcom łatwiej skłonić użytkownika do zainstalowania złośliwego oprogramowania pod pozorem aktualizacji.
Jak działa KOI Stealer i dlaczego jest tak niebezpieczny?
Początkowo Koi Stealer zbiera informacje rozpoznawcze z zainfekowanego urządzenia, takie jak uniwersalny unikatowy identyfikator sprzętu, informacje o użytkowniku, lista zainstalowanych aplikacji czy lista procesów. Następnie pobiera poufne dane z zaatakowanych urządzeń. Podobnie jak w przypadku najnowszego wariantu dla systemu Windows, wariant dla macOS koncentruje się głównie na kradzieży różnych portfeli kryptowalut.
Kiedy Koi Stealer działa w tle, gromadzi i wyprowadza dane z komputera na zewnątrz. Podczas tej fazy kopiuje wiele ważnych plików w tym portfele kryptowalutowe, dane przeglądarek, informacje z OpenVPN czy pliki użytkownika i konfigurację Steam oraz Discord.
Specjaliści z Palo Alto Networks zalecają szczególną ostrożność podczas instalowania aktualizacji systemu oraz zewnętrznych aplikacji. Większą czujność powinno również wzbudzić niekontrolowane wyciszenie dźwięków w komputerze. Okazuje się bowiem, że to złośliwe oprogramowanie wykorzystuje AppleScript do wyciszania głośności systemu. Może to zrobić, aby ukryć kolejne polecenia, które kopiują wiele plików, co może uruchamiać dźwiękowe powiadomienia.
"Ostatnie odkrycia naszych analityków ujawniają niepokojącą eskalację operacji cybernetycznych Korei Północnej. Wykracza ona poza tradycyjnie obierane cele takie jak system operacyjny Windows. Najnowsza kampania wymierzona w system macOS jest o tyle niebezpieczna, że została skierowana w szczególności do twórców oprogramowania w branży kryptowalut, zwiększając ryzyko dla instytucji finansowych i firm technologicznych. Nieustannie zachęcamy organizacje do proaktywnego i wielowarstwowego podejścia w obliczu takich zagrożeń i inwestowania w szkolenia z zakresu inżynierii społecznej. To bardzo ważne zwłaszcza w kontekście rozwijających się modeli językowych, które już teraz wspierają cyberprzestępców w tworzeniu przekonujących scenariuszy socjotechnicznych" - dodaje Wojciech Gołębiowski.
Koi Stealer to nieudokumentowany wcześniej wariant złośliwego oprogramowania, który prawdopodobnie jest wykorzystywany przez cyberprzestępców z Korei Północnej, aby infekować systemy macOS. Sprawa jest o tyle istotna, że znaczna grupa programistów korzysta na co dzień z urządzeń Apple, co zwiększa powierzchnię ataków, które do tej pory dotyczyły głównie użytkowników Windows.
Kampania ta ujawnia ryzyko, na jakie narażone są organizacje na całym świecie w związku ze skomplikowanymi atakami socjotechnicznymi mającymi na celu infiltrację sieci, kradzież poufnych danych i kryptowalut. Ryzyko to wzrasta, gdy sprawcą jest podmiot zagrażający państwu narodowemu, w porównaniu do cyberprzestępców motywowanych wyłącznie finansowo.
Źródło: Palo Alto Networks
