Hackare använder alltmer Microsoft Graph API för skadlig programvara

 

Hackare använder alltmer Microsoft Graph API för skadlig programvara

Hotaktörer har i allt större utsträckning beväpnat sig med Microsoft Graph API för skadliga syften i syfte för att undvika upptäckt.

Detta görs för att "underlätta kommunikation med kommandon och kontroll (C&C) infrastruktur som är värd på Microsofts molntjänster", säger Symantec Threat Hunter Team, en del av Broadcom, i en rapport som delas med The Hacker News.

Sedan januari 2022 har flera nationalstatsanpassade hackningsgrupper observerats med hjälp av Microsoft Graph API för C&C. Detta inkluderar hotaktörer spårade som APT28, REF2924, Red Stinger, Flea, APT29 och OilRig.

Den första kända instansen av Microsoft Graph API innan dess bredare antagande går tillbaka till juni 2021 i samband med ett aktivitetskluster kallat Harvester som hittades med ett anpassat implantat känt som Graphon som använde API för att kommunicera med Microsofts infrastruktur.

Symantec säger att det nyligen upptäckte användningen av samma teknik mot en icke namngiven organisation i Ukraina, som involverade utplaceringen av en tidigare odokumenterad skadlig programvara som heter BirdyClient (aka OneDriveBirdyClient).

En DLL-fil med namnet "vxdiff.dll", vilket är samma som en legitim DLL associerad med en applikation som heter Apoint ("apoint.exe"), den är utformad för att ansluta till Microsoft Graph API och använda OneDrive som en C&C-server för att ladda upp och ladda ner filer från den.

Den exakta distributionsmetoden för DLL filen och om den innebär sidladdning av DLL, är för närvarande okänd. Det finns inte heller någon klarhet i vilka hotaktörerna är eller vilka deras slutliga mål är.

"Angripares kommunikation med C&C servrar kan ofta lyfta röda flaggor i riktade organisationer", säger Symantec. "Graph API:s popularitet bland angripare kan drivas av tron att trafik till kända enheter, som ofta använda molntjänster, är mindre benägna att väcka misstankar.

"Förutom att det verkar oansenligt är det också en billig och säker källa till infrastruktur för angripare eftersom grundläggande konton för tjänster som OneDrive är gratis."

Utvecklingen kommer när Permiso avslöjade hur cloud administration commands kunde utnyttjas av motståndare med privilegierad åtkomst för att utföra kommandon på virtuella maskiner.

"De flesta gånger utnyttjar angripare pålitliga relationer för att utföra kommandon i anslutna datorinstanser (VM) eller hybridmiljöer genom att äventyra externa externa leverantörer eller entreprenörer som har privilegierad tillgång att hantera interna molnbaserade miljöer," säger molnsäkerhetsföretaget.

"Genom att kompromissa med dessa externa enheter kan angripare få förhöjd åtkomst som gör att de kan utföra kommandon inom datorinstanser (VM) eller hybridmiljöer."

INTERPOL arresterar 31 i global verksamhet, identifierar 1 900+ Ransomware länkade IP-adresser

 

INTERPOL arresterar 31 i global verksamhet

INTERPOL samarbetsoperation inriktad på nätfiske, skadlig programvara och ransomware attacker har lett till identifieringen av 1 300 misstänkta IP-adresser och webbadresser.

Den brottsbekämpande insatsen, kodnamnet Synergia, ägde rum mellan september och november 2023 i ett försök att avtrubba "tillväxten, eskaleringen och professionaliseringen av transnationell cyberbrottslighet".

Genom att involvera 60 brottsbekämpande myndigheter i 55 medlemsländer banade övningen vägen för upptäckt av mer än 1 300 skadliga servrar, varav 70 % redan har tagits ner i Europa. Myndigheterna i Hongkong och Singapore tog ner 153 respektive 86 servrar.

Servrar, såväl som elektronisk utrustning, beslagtogs efter över 30 husrannsakningar. Hittills har 70 misstänkta personer identifierats och 31 från Europa, Sydsudan och Zimbabwe har gripits.

Group IB med huvudkontor i Singapore, som också bidrog till operationen, sa att de identifierade "mer än 500 IP-adresser som är värd för nätfiskeresurser och över 1 900 IP-adresser associerade med ransomware, trojaner och skadlig bankverksamhet."

Den oseriösa infrastrukturen var värd i bland annat Australien, Kanada, Hong Kong och Singapore, med resurserna fördelade på mer än 200 webbhotellleverantörer runt om i världen.

"Resultaten av den här operationen, som uppnåtts genom gemensamma ansträngningar från flera länder och partners, visar vårt orubbliga engagemang för att skydda det digitala rummet," sa Bernardo Pillot, biträdande direktör för INTERPOL Cybercrime Directorate.

"Genom att demontera infrastrukturen bakom nätfisket, skadlig programvara och ransomware attacker är vi ett steg närmare att skydda våra digitala ekosystem och en säkrare, säkrare onlineupplevelse för alla."

Utvecklingen kommer mer än en månad efter att ytterligare en sex månader lång internationell polisoperation kallad HAECHI-IV resulterade i arresteringar av nästan 3 500 individer och beslag värda 300 miljoner dollar i 34 länder.

Operation Synergia är också INTERPOL's senaste intervention utformad för att utrota olika typer av cyberbrottslighet. I december 2023 tillkännagav byrån gripandet av 257 misstänkta migrantsmugglare och människohandlare med anknytning till transnationella organiserade brottsgrupper från olika länder.

"Mer än 100 brasilianare hade blivit lovade kryptovalutajobb genom annonser i sociala medier som erbjuder generösa löner, produktivitetsbonusar, mat och logi", sa INTERPOL. "När de väl kom hölls de dock mot sin vilja och tvingades genomföra investeringsbedrägerier online."

INTERPOL har noggrant följt bedrägerier som drivs av människohandel, där offer luras genom falska jobbannonser till bedrägericenter online och tvingas begå cyberaktiverad ekonomisk brottslighet i industriell skala. Tiotusentals uppskattas ha blivit människohandel i Sydostasien för att bedriva sådana bedrägerier.

Samma månad sa den också att den hade arresterat 281 personer för brott som människohandel, passförfalskning, korruption, telekommunikationsbedrägerier och sexuellt utnyttjande.

Detta inkluderade en revisor från den indiska delstaten Telangana som lurades att komma till ett icke namngivet land i Sydostasien och tvingades att delta i bedrägerier online under omänskliga förhållanden. Han kunde så småningom lämna efter att en lösen hade betalats.

INTERPOL sade att det vidare mottog rapporter från ugandiska brottsbekämpande myndigheter om många medborgare som fördes till Dubai under förevändning att de skulle ge dem jobb och avleda dem till länder som Thailand och sedan Myanmar. "Där överlämnades offren till ett bedrägerisyndikat online och hölls under beväpnad bevakning medan de fick lära sig att lura banker", stod det.

Google avslutar stödet för mindre säkra lösenord i appar från tredje part

 

Google avslutar stödet för mindre säkra lösenord

Om du använder en applikation eller tjänst som kräver ett Google användarnamn och lösenord, kanske du inte kan använda det längre efter den 30 september 2024. Detta kan påverka tredjepartsappåtkomsten till Google, t.ex. i e-postklienter eller kalenderappar.

Det finns ett alternativ som Google föreslår och ett annat som fortfarande fungerar, så läs vidare för att ta reda på allt om förändringen och hur du hanterar den.

Google meddelade att de avslutar stödet för mindre säkra appar. Denna autentiseringsmetod kan användas av appar för att integrera ett Google konto. Grundläggande exempel inkluderar e-postklienter som accepterar Googles användarnamn och lösenord, eller kalenderappar som integrerar Google Kalender efter autentisering.

Google planerade att införa förändringen redan 2020 men sköt upp den på grund av "påverkan av COVID-19".

Företaget släpper stödet för mindre säkra appar, men det betyder inte att tredjepartsappar och tjänster inte kan användas längre. Google stöder OAuth för autentisering. Om berörda appar och tjänster också stöder OAuth kan användare byta till denna autentiseringsmetod för att fortsätta använda sitt Googlekonto.

E-postklienten Thunderbird bytte till exempel till Oauth-autentisering för Gmail konton (Gmail) redan 2022. Användare migrerades antingen automatiskt eller ombads att slutföra autentiseringsprocessen för att återfå åtkomst till sitt Gmail konto i e-postklienten.

En nackdel med att använda OAuth i Thunderbird är att det kräver cookies för att lagra token på användarens enhet. Detta ledde till problem om cookies inte var aktiverade i Thunderbird. Google avslutar också stödet för Google Sync.

Fördelarna med OAuth

OAuth är ett auktoriseringsprotokoll med öppen standard. En av de främsta fördelarna med det jämfört med traditionellt användarnamn och lösenordsåtkomst är att det kan tillåta åtkomst utan att lämna över lösenordet till tredje part.

Med användarnamn och lösenordsautentisering måste du dela lösenordet med appen eller tjänsten. Med Oauth måste du fortfarande autentisera ditt konto, men det gör du med den första parten.

Du berättar för Google eller något annat företag som stöder OAuth att du vill ge en specifik app eller tjänst åtkomst till din data. Autentisering sker med Google i så fall och tredjepartsappen eller tjänsten får bara en autentiseringstoken i processen.

Användningen av autentisering av mindre säkra appar gör det lättare för dåliga aktörer att få obehörig åtkomst till användarkonton.

Nackdelarna

Inaktiveringen av stöd för mindre säkra appar hos Google påverkar alla Google kunder som fortfarande använder autentiseringsmetoden.

Google listar e-postklienter, kalender och kontaktapplikationer som fortfarande kan stödja mindre säkra appar eller inte stöder OAuth.

Detta är fallet för Outlook 2016 eller tidigare versioner. Google föreslår att man flyttar till Microsoft 365, en prenumerationsbaserad tjänst. Det ger tillgång till den senaste Outlook versionen. Ett annat förslag är att byta till "nya" Outlook för Windows eller Mac, som också stöder OAuth.

Nya Outlook ersätter Mail och Kalender på Windows. Det har nyligen kritiserats för att dela data med datainsamlingstjänster och i vissa fall, ge Microsoft tillgång till e-post och inloggningar från tredje part.

Alla appar som inte stöder OAuth ger inte längre åtkomst till Google kontodata efter avslutad support. Vissa appar och tjänster stöder båda, och det kan bara vara en fråga om att byta till OAuth för att återfå åtkomst.

Applösenord och Tidslinje

Google kommer att avsluta stödet för mindre säkra appar den 30 september 2024. Den här dagen och under veckorna som följer kommer berörda Google kunder att märka att de inte längre kan komma åt sina konton och data i appar från tredje part.

De flesta kanske kan byta till att använda OAuth, men vissa kanske inte. Det verkar som om applösenord fortsätter att fungera.

Google kunder kan skapa applösenord för användning i appar från tredje part. Ett applösenord är alltid ett 16-siffrigt lösenord som ger en app, tjänst eller enhet åtkomst till ett Google konto. Applösenord kräver att tvåstegsverifiering är aktiverat för Google kontot.

Du kan skapa applösenord på följande sätt:

1. Logga in på Google kontot.
2. Byt till Säkerhet.
3. Välj tvåstegsverifiering under "Logga in på Google".
4. Hitta och välj Applösenord längst ned på sidan.
5. Skriv ett namn för att hjälpa dig att identifiera lösenordet.
6. Välj generera.
7. Följ instruktionerna.
8. Välj Klar.

Du kan nu använda applösenorden i appar från tredje part för autentisering och länkning av Google kontot.

För att sammanfatta det: Google kunder som använder appar eller tjänster från tredje part till sitt konto kan antingen använda OAuth eller applösenord för att göra det.

Ryska hackaren Vladimir Dunaev dömd för att ha skapat TrickBot malware

 

En rysk medborgare har befunnits skyldig i samband med sin roll i att utveckla och distribuera en skadlig programvara känd som TrickBot, meddelade det amerikanska justitiedepartementet (DoJ).

Vladimir Dunaev, 40, greps i Sydkorea i september 2021 och utlämnades till USA en månad senare.

"Dunaev utvecklade webbläsarmodifieringar och skadliga verktyg som hjälpte till vid insamling av autentiseringsuppgifter och datautvinning från infekterade datorer, underlättade och förbättrade fjärråtkomsten som används av TrickBot aktörer och skapade en programkod för att förhindra att TrickBot skadlig programvara upptäcks av legitim säkerhetsprogramvara." säger DoJ.

"Under Dunaevs deltagande i programmet, blev 10 offer i Northern District of Ohio, inklusive Avon skolor och ett fastighetsbolag i North Canton, lurade på mer än 3,4 miljoner dollar via ransomware som distribuerats av TrickBot."

Dunaev, som erkänt sig skyldig till datorbedrägeri, identitetsstöld och konspiration för att begå bankbedrägerier, riskerar maximalt 35 års fängelse. Han är planerad att dömas den 20 mars 2024.

Dunaev är också den andra utvecklaren av skadlig programvara i TrickBot-gänget som arresterades efter Alla Witte, en lettisk medborgare som dömdes till två år och åtta månader i fängelse i juni 2023.

Utvecklingen kom nästan tre månader efter att Storbritanniens och USA:s regeringar sanktionerade 11 personer som misstänks vara en del av TrickBot gruppen för cyberbrott.

TrickBot, som började som en banktrojan 2016, utvecklades till ett multifunktionsverktyg som kan leverera ytterligare nyttolaster till infekterade värdar och fungera som en första åtkomstfacilitator för ransomware attacker.

Efter att ha överlevt brottsbekämpning för att demontera botnätet, fick det ökända Conti ransomware teamet kontroll över operationen. Men både Conti och TrickBot drabbades av ett stort slag förra året efter Rysslands invasion av Ukraina, då Conti lovade Ryssland trohet.

Detta ledde till en serie läckor kallade ContiLeaks och TrickLeaks som gav bort värdefull information om deras interna chattar och infrastruktur, vilket slutligen resulterade i att Conti stängdes och dess sönderfall i många andra grupper.

200+ skadliga Android appar som riktar sig till iranska banker

 

En Android kampanj för skadlig kod riktad mot iranska banker har utökat sina möjligheter och införlivat ytterligare undanflyktstaktik för att flyga under radarn.

Det är enligt en ny rapport från Zimperium, som upptäckte mer än 200 skadliga appar associerade med den skadliga operationen, där hotaktören också observerade utföra nätfiskeattacker mot de riktade finansiella institutionerna.

Kampanjen kom först i slutet av juli 2023 när Sophos detaljerade ett kluster av 40 appar för insamling av autentiseringsuppgifter riktade mot kunder hos Bank Mellat, Bank Saderat, Resalat Bank och Central Bank of Iran.

Det primära målet med de falska apparna är att lura offren att ge dem omfattande behörigheter samt att samla in bankuppgifter och kreditkortsuppgifter genom att missbruka Androids tillgänglighetstjänster.

"Motsvarande legitima versioner av de skadliga apparna är tillgängliga på Cafe Bazaar, en iransk Android-marknad, och har miljontals nedladdningar", säger Sophos forskaren Pankaj Kohli då. "De skadliga imitationerna, å andra sidan, var tillgängliga att ladda ner från ett stort antal relativt nya domäner, av vilka hotaktörerna också använde som C2 servrar."

Intressant nog har vissa av dessa domäner också observerats tjäna HTML nätfiskesidor som är utformade för att stjäla referenser från mobilanvändare.

De senaste rönen från Zimperium illustrerar den fortsatta utvecklingen av hotet, inte bara när det gäller en bredare uppsättning riktade banker och appar för cryptocurrency plånbok, utan också med tidigare odokumenterade funktioner som gör det mer potent.

Detta inkluderar användningen av tillgänglighetstjänsten för att ge den ytterligare behörighet att avlyssna SMS meddelanden, förhindra avinstallation och klicka på användargränssnittselement. Vissa varianter av skadlig programvara har också visat sig komma åt en README fil i GitHub arkiv för att extrahera en Base64 kodad version av command-and-control (C2) server och webbadresser för nätfiske.

"Detta tillåter angripare att snabbt reagera på att nätfiskewebbplatser tas ner genom att uppdatera GitHub förvaret, vilket säkerställer att skadliga appar alltid får den senaste aktiva nätfiskewebbplatsen", sa Zimperium forskarna Aazim Yaswant och Vishnu Pratapagiri.