Daily NCSC-FI news followup 2020-06-17

Operation In(ter)ception: Aerospace and military companies in the crosshairs of cyberspies

www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/ At the end of last year, we discovered targeted attacks against aerospace and military companies in Europe and the Middle East, active from September to December 2019. A collaborative investigation with two of the affected European companies allowed us to gain insight into the operation and uncover previously undocumented malware. This blogpost will shed light on how the attacks unfolded. The full research can be found in our white paper, Operation In(ter)ception: Targeted attacks against European aerospace and military companies. While we did not find strong evidence connecting the attacks to a known threat actor, we discovered several hints suggesting a possible link to the Lazarus group, including similarities in targeting, development environment, and anti-analysis techniques used. PDF report:

www.welivesecurity.com/wp-content/uploads/2020/06/ESET_Operation_Interception.pdf

Multi-stage APT attack drops Cobalt Strike using Malleable C2 feature

blog.malwarebytes.com/threat-analysis/2020/06/multi-stage-apt-attack-drops-cobalt-strike-using-malleable-c2-feature/ On June 10, we found a malicious Word document disguised as a resume that uses template injection to drop a.Net Loader. This is the first part of a multi-stage attack that we believe is associated to an APT attack. In the last stage, the threat actors used Cobalt Strike’s Malleable C2 feature to download the final payload and perform C2 communications. This attack is particularly clever for its evasion techniques. For instance, we observed an intentional delay in executing the payload from the malicious Word macro. The goal is not to compromise the victim right away, but instead to wait until they restart their machine. Additionally, by hiding shellcode within an innocuous JavaScript and loading it without touching the disk, this APT group can further thwart detection from security products.

Shlayer Mac Malware Returns with Extra Sneakiness

threatpost.com/shlayer-mac-malware-extra-sneakiness/156669/ A fresh variant of the Shlayer Mac OSX malware with advanced stealth capabilities has been spotted in the wild, actively using poisoned Google search results in order to find its victims. According to researchers at Intego, the malware, like many malware samples before it, is purporting to be an Adobe Flash Player installer. However, it has its own unique characteristics: It takes a crafty road to infection once it’s downloaded, all in the name of evading detection. Intego blog:

www.intego.com/mac-security-blog/new-mac-malware-reveals-google-searches-can-be-unsafe/

Suomalaisille sataa huijauspuheluita edes salainen numero ei suojaa

www.is.fi/digitoday/tietoturva/art-2000006544510.html Suomeen kohdistuu parhaillaan laaja puhelinhuijauskampanja tai useita sellaisia. Ilta-Sanomat Digitoday on saanut useita yhteydenottoja puhelinsoitoista. Traficomin Kyberturvallisuuskeskuksen mukaan puheluun vastaaminen ei ole vaarallista. On kuitenkin tärkeää pitää huoli siitä, ettet anna pankkitietojasi tai kuvia henkilöpapereistasi, etkä asenna tietokoneeseesi tai puhelimeesi ohjelmia huijarin kehotuksesta. Jos olet luovuttanut pankkitietojasi, sinun on syytä ottaa viipymättä pankkiisi. Tämän jälkeen tee asiasta rikosilmoitus poliisille. myös:

www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/poliisi_varoittaa_huijaussoitoista_91029

Norja möhli koronasovelluksensa tietosuojan kanssa Reaktor-pomo kertoo, miksi Suomen pilotissa päädyttiin eri ratkaisuun

www.tivi.fi/uutiset/tv/1bc7bbe8-08e8-4e2d-9c86-50a894b917de Suomessa oma kansallinen seurantasovellus on vasta kehitteillä. Ohjelmistotalot Futurice ja Reaktor löivät aiemmin keväällä hynttyyt yhteen kehittääkseen oman Ketju-sovelluksen. Sitä on testattu Sitran rahoittamassa, nyt jo päättyneessä pilottihankkeessa Vaasan keskussairaalassa. “Siinä ratkaisussa, mitä me konseptoimme, on ollut vain bluetooth-kohtaamisten tallentamista. Me päädyimme jo alun perinkin siihen, että sitä paikkatietoa ei hyödynnetä. Nyt Norjan viranomaiset ovat ilmoittaneet, että sovellus on tärkeä, joten nyt vaaditut muutokset siihen tehdään ja siitä tulee saman tyyppinen kuin mitä Suomessa ollaan tekemässä”, sanoo Reaktorin Suomen-toimitusjohtaja Sampo Pasanen.

Suomi ei olekaan EU-tietosuojan mallioppilas Tutkijoiden mukaan Suomi toimii laittomasti nettiseurannan valvonnassa

yle.fi/uutiset/3-11363962 Verkossa ihmisen kantapäilla kulkee seurantateknologia. Kaikkia toimia verkossa seurataan erilaisilla tekniikoilla kuten evästeillä ja niin sanotuilla seurantaskripteillä. Seurantateknologiaa tallennetaan käyttäjien päätelaitteille verkkosivuvierailujen yhteydessä. Osa näistä tekniikoista on selailun kannalta hyödyllisiä ja jopa välttämättömiä. Osa uhkaa yksityisyyden suojaa merkittävällä tavalla. EU edellyttää, että seurantateknologiaan kysytään kunnollinen suostumus. Mitä enemmän dataa näillä erilaisilla tekniikoilla kerätään, sitä kattavamman profiilin eri yritykset pystyvät ihmisestä verkkokäyttäytymisen perusteella muodostamaan. Monet yksityisyydensuojaan perehtyneet tutkijat sekä tietosuoja-asiantuntijat ja julkisoikeuden ekspertit sanovat, että Suomi kulkee EU-oikeuden näkökulmasta laittomilla poluilla. Tietosuojamme vuotaa.

Maze Ransomware gang breached the US chipmaker MaxLinear

securityaffairs.co/wordpress/104898/cyber-crime/maze-ransomware-hit-maxlinear.html U.S. system-on-chip maker MaxLinear disclosed a security incident, Maze ransomware operators infected some of its computing systems in May. “On May 24, 2020, we discovered a security incident affecting some of our systems. We immediately took all systems offline, retained third-party cybersecurity experts to aid in our investigation, contacted law enforcement, and worked to safely restore systems in a manner that protected the security of information on our systems.” reads the data breach notification. “Our investigation to-date has identified evidence of unauthorized access to our systems from approximately April 15, 2020 until May 24, 2020. Our investigation has also identified evidence of unauthorized access to files containing personal information relating to you.”

Coronavirus having minimal impact on prices, demand, and availability across the cybercriminal underground

blog.intel471.com/2020/06/17/coronavirus-having-minimal-impact-on-prices-demand-and-availability-across-the-cybercriminal-underground/ While the impact of the pandemic on everyday life has been quite significant, its influence in the underground marketplace appears to be less than initially expected by some. A large part of what makes the legal economy run is face-to-face interaction, which has been disrupted, but the underground economy is built on minimal in-person exchanges. Since the start of COVID-19 in late 2019, the underground appeared to operate under business as usual, with some threat actors claiming to join or spend more time on forums and a few others adjusting the price of goods and services due to the virus. Overall, observations suggest there were no significant changes in malware and data prices or increase in demand for and availability of data and services due to the pandemic.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.