Amazon-anställdas data avslöjade i läcka medan MOVEit-cyberattacken fortsätter att kräva offer

Arton månader efter att angripare utnyttjade en SQL-injektionssårbarhet med en zero-day (CVE-2023-34362) i Progress Softwares MOVEit Transfer-verktyg, fortsätter nya offer att dyka upp.

Den här veckan bekräftade Amazon en överträdelse som involverade data från över två miljoner anställda. Sårbarheten, som åtgärdades i maj 2023, användes av ransomware-gruppen Cl0p för att rikta sig mot organisationer globalt.

De första offren i Storbritannien inkluderade BBC, Boots och British Airways, som komprometterades genom lönespecialisten Zellis.

Nyligen avslöjade ett cybersäkerhetsföretag en dataläcka som påverkar minst 25 företag, publicerad av en aktör känd som "Nam3L3ss" på ett cyberbrottsforum.

Forskare noterade att Amazons data – 2,8 miljoner poster – är den största dataset som har läckt ut. Uppgifterna inkluderar anställdas kontaktinformation och organisatoriska roller, vilket potentiellt kan leda till riktade nätfiskeattacker. Gal bekräftade datans äkthet genom att korsreferera LinkedIn-profiler och kända skadeprograminfektioner.

En PR-representant från Amazon erkände överträdelsen och förtydligade att Amazons system förblir säkra och att endast arbetsrelaterad kontaktinformation avslöjades. Även om Nam3L3ss hävdar att de inte är kopplade till ransomware-grupper och att de är en etisk hackare, förblir säkerhetsexperter skeptiska till deras uttalanden.

MOVEit-överträdelsen illustrerar hur stulna data återkommer på den mörka webben, även ett år efter den ursprungliga attacken. Han observerade att även om Nam3L3ss kanske inte var inblandad i den ursprungliga överträdelsen, visar deras dataposter hur hackare fortsätter att tjäna pengar på stulen information och potentiellt orsaka betydande skada.

Microsofts Patch Tuesday i november fixade 89 sårbarheter, inklusive två aktivt exploaterade zero-days

Microsofts Patch Tuesday i november 2024 åtgärdade 89 säkerhetssårbarheter, inklusive fyra kritiska zero-day-sårbarheter, varav två för närvarande utnyttjas. Dessa uppdateringar omfattar en rad problem, särskilt 52 sårbarheter för fjärrkodkörning och 26 förhöjningsfel av privilegier.

Bland de kritiska patcharna möjliggör CVE-2024-43451, en NTLM-spoofingsårbarhet, angripare att extrahera NTLM-hashar med minimal interaktion, vilket kan leda till potentiella impersoneringsattacker. Ett annat aktivt exploaterat fel, CVE-2024-49039, möjliggör privilegieupphöjning genom Windows Task Scheduler och ger angripare högre åtkomst.

Denna Patch Tuesday åtgärdar också offentligt avslöjade sårbarheter, inklusive ett spoofingfel i Microsoft Exchange (CVE-2024-49040) och ett privilegieupphöjningsproblem i Active Directory (CVE-2024-49019). Noterbart är att månadens uppdateringar åtgärdar tidigare fixade problem i Microsoft Edge och kumulativa Windows-uppdateringar (KB5046617, KB5046633 för Windows 11 och KB5046613 för Windows 10).

Dessa patchar understryker det fortsatta behovet av robusta cybersäkerhetsåtgärder, eftersom sårbarheter, särskilt zero-days, medför omedelbara risker om de inte åtgärdas. Microsoft rekommenderar användare att omedelbart applicera dessa patchar för att skydda sig mot potentiell exploatering.

NCSC och globala partners avslöjar mest utnyttjade sårbarheter, uppmanar till snabba patchar och säkerhetsinriktad design

National Cyber Security Centre (NCSC), i samarbete med partners från USA, Kanada, Australien och Nya Zeeland, har släppt en rådgivning som listar de 15 mest rutinmässigt utnyttjade sårbarheterna under 2023. De flesta av dessa sårbarheter var först riktade som zero-days, vilket markerar en ökning av zero-day-exploateringen jämfört med 2022.

Denna rådgivning belyser det brådskande behovet för nätverksförsvarare att stärka sårbarhetshantering genom att snabbt tillämpa säkerhetsuppdateringar och noggrant identifiera resurser. NCSC uppmanar också teknikleverantörer att anta principer för säkerhetsinriktad design för att minska riskerna från källan.

NCSCs CTO, Ollie Whitehouse, betonade vikten av proaktiva åtgärder: "Rutinmässig exploatering av zero-day-sårbarheter är nu det nya normala, vilket understryker behovet av att organisationer tillämpar patchar snabbt och prioriterar produkter med säkerhetsinriktad design."

Patchar är tillgängliga för alla listade sårbarheter, men för zero-days är snabba åtgärder avgörande för att minimera exponeringen. Rådgivningen innehåller också detaljer om ytterligare 32 sårbarheter som utnyttjades förra året.

Hive0145 intensifierar attacker med Strela Stealer-skadeprogram, riktar in sig på e-postuppgifter i Spanien, Tyskland och Ukraina

Cyberbrottsgruppen Hive0145 har intensifierat attacker över hela Europa genom att använda Strela Stealer-skadeprogram för att stjäla känsliga e-postuppgifter, med särskilt fokus på Spanien, Tyskland och Ukraina, enligt forskare från IBM X-Force. Hive0145

taktik har utvecklats från generellt nätfiske till att använda stulna, legitima e-postmeddelanden med riktiga fakturabilagor, vilket ökar trovärdigheten och kringgår upptäckt – en metod känd som "bilagekapning."

Sedan 2022 har Hive0145 verkat som en ekonomiskt motiverad initial åtkomstmäklare och har ökat sin aktivitet och komplexitet sedan mitten av 2023, med inriktning på sektorer som finans, teknik och e-handel. I de senaste kampanjerna använder gruppen ovanliga filtillägg (.com, .pif) och fördunklade skript för att undvika säkerhetsverktyg, och det finns tecken på att delar av processen nu kan vara automatiserade för att öka skalan.

Strela Stealers fokus ligger fortfarande på e-postuppgifter, vilket främst påverkar enheter med spanska, tyska eller ukrainska tangentbordsinställningar. IBM X-Force råder europeiska organisationer att stärka medvetenheten och försvaret mot detta ökande hot, särskilt i branscher som ofta efterliknas i nätfiskeattacker.

CISA uppmanar till omedelbara åtgärder för kritiska Microsoft Windows-sårbarheter CVE-2024-49039 och CVE-2024-43451

Cybersecurity and Infrastructure Security Agency (CISA) har varnat organisationer för två kritiska Microsoft Windows-sårbarheter, CVE-2024-49039 och CVE-2024-43451, och uppmanar till snabba åtgärder för att undvika potentiell exploatering.

Den första sårbarheten, CVE-2024-49039, påverkar Windows Task Scheduler och gör det möjligt för lokala angripare att höja privilegier genom att köra skadlig kod utanför begränsade miljöer. Att utnyttja detta fel kan ge angripare tillgång till privilegierade RPC-funktioner och riskerar ytterligare kompromettering. Även om dess användning i ransomware-kampanjer inte är bekräftad, kräver sårbarhetens allvarlighet omedelbar uppmärksamhet.

Den andra sårbarheten, CVE-2024-43451, involverar NTLMv2-hash-exponering i Microsoft Windows, där angripare kan extrahera NTLMv2-hashar genom att lura användare att öppna skadliga filer. Denna hash möjliggör obehörig användaridentifikation, vilket utgör ett betydande hot för organisationer som förlitar sig på NTLM-autentisering.

CISA rekommenderar att man följer Microsofts åtgärdsinstruktioner eller slutar använda berörda system om patchar inte är tillgängliga. Omedelbar åtgärd är avgörande för att förhindra att dessa sårbarheter utnyttjas i framtida attacker. Organisationer uppmanas att förbli vaksamma och övervaka tecken på kompromettering.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.