קטגוריה: האקינג

PrintNightmare | פרצת אבטחה בשירות ההדפסה של WINDOWS

news
דירוג

פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows:

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה. הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת. טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים.

סרטון המדגים את ניצול הפרצה:

פרטים

  1. במסגרת עדכון האבטחה לחודש יוני 2021, פורסם עדכון אבטחה לפגיעות CVE-2021-1675.
  2. הפגיעות תוארה כהעלאת הרשאות מקומית.
  3. חוקרים מצאו כי על אף העדכון, ניתן לממש הרצת קוד מרחוק בהרשאת System על עמדה בה פועל השירות הפגיע.
  4. פגיעות זו קיבלה את הכינוי printnightmare. קיימים ברשת מספר POC לניצול פגיעות זו.
  5. המשמעות של הפגיעות היא שתוקף בעל אחיזה ברמת משתמש רגיל ברשת הארגונית, עלול לתקוף שרת Domain Controller ולקבל עליו הרשאת System, שניתן לנצלה להשגת אחיזה מלאה ב-Active Directory.

להמשך קריאה באתר מערך הסייבר הלאומי >>

כופרה חדשה CUBA

news
דירוג

לאחרונה דווח למערך הסייבר הלאומי על מספר אירועי כופרה, בארגונים שונים. המכנה המשותף לכל האירועים הוא שימוש בכופרה בשם Cuba.

cuba ransomware

להלן מספר קישורים לדוחות שפורסמו על תקיפות קודמות באמצעות כופרה זו. דוחות אלו כוללים מזהים שונים וחוקי YARA.

https://shared-public-reports.s3-eu-west-1.amazonaws.com/Cuba+Ransomware+Group+-+on+a+roll.pdf

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-cuba-ransomware.pdf

https://digital.nhs.uk/cyber-alerts/2021/cc-3855#indicators-of-compromise

https://blogs.blackberry.com/en/2021/04/threat-thursday-blackberry-protect-vs-cuba-ransomware

להמשך קריאה באתר מערך הסייבר הלאומי >>

עדכוני אבטחה למערכת הפעלה של אפל

news
דירוג

חברת אפל פרסמה 3 עדכוני אבטחה עבור גרסאות ישנות של מערכת הפעלה iOS (עבור iPhones/iPads) מתוצרתה.

לקריאה באתר מערך הסייבר הלאומי >>

DocuSign Signature [מייל פישינג]

news
דירוג

מייל שהגיע לכמה מלקוחותנו, המגיע מכתובת: ofaso@smbtechs.com

מכוון לעסקים קטנים ובינוניים, מכיל קישור לכאורה לצפייה בחשבונית, מפעיל מנגנון PHP ששואב פרטים על המשתמש ומכיל קובץ זדוני שמאוחסן בGOOGLE DRIVE.

בסריקת הקישור ב-VT מזוהה כרוגלה:

פישינג

יש להימנע מפתיחת המייל,
יש להוסיף את הכתובת ודומיין השולח לרשימת השולחים החסומים.

טופס רישום עסק – רץ במייל [סקאם]

news
דירוג

מייל עם תוכנה זדונית הגיע לעשרות אלפי בעלי עסקים בארץ ובעולם.

בימים האחרונים המערכות שלנו מנטרות באופן שיטתי, מיילים שנשלחים ללקוחותינו העסקיים בעיקר.

המכיל את המלל הבא:

Hello,

In order to have your company inserted in the EU Business Register for 2021/2022, please print, complete and submit the attached form in a reply to this email.

EU BUSINESS REGISTER
3700 AA ZEIST
THE NETHERLANDS

Fax: +31 205 248 107

All electronic file formats are accepted.

Updating is free of charge.

המייל נשלח מהכתובת: register@ebrlisting.com ומכיל קובץ המזוהה כרוגלה [וירוס] MALWARE, כ-PDF.

יש להימנע מפתיחת המייל,
יש להוסיף את הכתובת ודומיין השולח לרשימת השולחים החסומים.

למחוק את המייל וכמובן לא לפתוח את הקובץ המצורף.

קבוצת סלקום [פישינג]

news
דירוג

לאחרונה לקוחות רבים שלנו מתלוננים על קבלת מייל לכאורה מקבוצת סלקום עם המלל הבא:

המנוי שלך הושעה

(לוגו של סלקום)

החשבונית שלך מקוונת
היי ,
אנו מודיעים לך בכתב כי ההסדר האחרון של החשבונית שלך מאי 2021 נכשל.
אנו מזמינים אתכם להסתגל במהירות כדי למנוע הגבלה או עצירה של הקו.
תוכל להתאים את החשבונית שלך בסעיף:
• החשבונית שלי
הערה: אם זה לא נפתר תוך 12 השעות הקרובות, אנו נאלץ לבטל את המנוי שלך ללא הגבלת זמן.
תודה על שיתוף הפעולה בעניין זה.

שימו לב לעברית מתורגמת.

הלינק "החשבונית שלי" מפנה ל – https://ecellisa.blogspot.com/?m=0

ומנתבת ל- https://ecellcomil.is-a-financialadvisor.com/o

אין תעודת אבטחה.

מדובר כנראה על סקריפט PHP שאוסף פרטים על המשתמש (פישינג).

מייל שולח:

  1. info@brechbuehler.ch
  2. support@wordpress-597726-1932764.cloudwaysapps.com
  3. support490whqkzwzeaft8fl0hc1f@pt.lu

אלפי ישראלים דיווחו על קבלת SMS חשוד:

news
דירוג

בהתאם להסדר פשרה שאושר במסגרת תובענה ייצוגית ת.צ

20-04-17597 פרייפלד ואח' נ' רז,

עומדת לזכותך הטבה לקורס מקוון בקישור הבא:

"http://slevz.com/?p0552954181"

הודעה זו נשלחת באישור בית משפט ואינה דבר פרסומת

מתקבל מהמספר הבא ב-SMS: 055-2954181

באתר VIRUS TOTAL הוא לא מזוהה כפישינג:

הדומיין slevz.com נרשם בGODADDY. נרשם דרך IP ישראלי ומריץ מערכת WORDPRESS בשפה הרוסית.

מפנה לשרת אחסון ותעודת אבטחה בדפים פנימיים של cloudflare

https://il.godaddy.com/en/whois/results.aspx?domain=slevz.com

בעמוד יש בקשת הרשאה חשודה

ולא משתמש בתעודת אבטחה.

מפנה ללינק יעד: "https://slevz.com/word":


אחד השרתים לפי ה-IP הנ"ל מזוהה כספאם:

שורה תחתונה: חשוד. לא מומלץ ללחוץ על הקישור עד שיתברר גורם השולח האמיתי ואמינות תוכן הלינק.

מקורות חיצוניים לגביי האירוע:

שרשור פייסבוק 1 >>

שרשור פייסבוק 2 >>

שרשור פייסבוק 3 >>

שרשור פייסבוק 4 >>

כתבה באתר ICE >>

כתבה באתר וואלה >>

טלגרם 1 >>