Unutar kineskog hosting ekosustava: mapirano više od 18.000 malware C2 poslužitelja kod glavnih ISP-ova
Lov na prijetnje često započinje jednim indikatorom, poput sumnjive IP adrese, domene s beaconing ponašanjem ili poznate malware obitelji. Promatranje tih indikatora pojedinačno olakšava propuštanje uočavanja temeljne infrastrukture. Tijekom analize zlonamjernih aktivnosti u kineskim hosting okruženjima, više puta su se pojavljivale iste mreže i pružatelji usluga u nepovezanim kampanjama. Komercijalni malware, phishing operacije i alati povezani s državnim akterima često su bili smješteni unutar iste infrastrukture, čak i dok su se pojedinačne IP adrese i domene mijenjale.
Izvor: Hunt.io

Unutar RedVDS-a: kako je jedan pružatelj virtualnih radnih okruženja poticao globalne kibernetičke kriminalne operacije
Tijekom protekle godine Microsoft Threat Intelligence uočio je širenje RedVDS-a, pružatelja virtualnih namjenskih poslužitelja (VDS) kojeg su koristili brojni financijski motivirani prijetiteljski akteri za provođenje business email compromise (BEC) napada, masovnih phishing kampanja, preuzimanja računa i financijskih prijevara. Microsoftova istraga RedVDS usluga i infrastrukture otkrila je globalnu mrežu različitih kibernetičkih kriminalaca koji su kupovali i koristili ove usluge za napade na više sektora, uključujući pravni, građevinski, proizvodni, nekretninski, zdravstveni i obrazovni sektor u Sjedinjenim Američkim Državama, Kanadi, Ujedinjenom Kraljevstvu, Francuskoj, Njemačkoj, Australiji te zemljama s razvijenom bankarskom infrastrukturom i većim potencijalom financijske dobiti. U suradnji s tijelima za provedbu zakona diljem svijeta, Microsoftova Digital Crimes Unit (DCU) nedavno je omogućila ometanje RedVDS infrastrukture i povezanih operacija.
Izvor: Microsoft Security Blog

UAT-8837 cilja sektore kritične infrastrukture u Sjevernoj Americi
Cisco Talos pomno prati UAT-8837, prijetiteljskog aktera za kojeg s umjerenom razinom pouzdanosti procjenjuje da je kineski APT akter, na temelju preklapanja taktika, tehnika i procedura (TTP-ova) s drugim poznatim kineskim prijetiteljskim skupinama. Na temelju TTP-ova i postkompromitacijskih aktivnosti koje je Talos zabilježio u više upada, procjenjuje se da je primarna zadaća ovog aktera ostvarivanje početnog pristupa visokovrijednim organizacijama. Iako se ciljanje može činiti sporadičnim, od najmanje 2025. godine skupina se jasno fokusira na organizacije unutar sektora kritične infrastrukture u Sjevernoj Americi.
Izvor: Cisco Talos

Hakeri iskorištavaju c-ares DLL side-loading za zaobilaženje zaštite i isporuku malwarea
Sigurnosni stručnjaci objavili su detalje aktivne malware kampanje koja iskorištava DLL side-loading ranjivost u legitimnoj binarnoj datoteci povezanoj s open-source c-ares bibliotekom kako bi zaobišla sigurnosne kontrole i isporučila širok raspon komercijalnih trojanaca i stealera. „Napadači postižu izbjegavanje detekcije uparivanjem zlonamjernog libcares-2.dll-a s bilo kojom potpisanom verzijom legitimnog ahost.exe-a (koji često preimenuju) kako bi izvršili svoj kod”, navela je tvrtka Trellix u izvješću podijeljenom s The Hacker Newsom. „Ova DLL side-loading tehnika omogućuje malwareu zaobilaženje tradicionalnih sigurnosnih mehanizama temeljenih na potpisima.” Kampanja je zabilježena u distribuciji raznih malware obitelji, uključujući Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat i XWorm.
Izvor: The Hacker News

Novi “Reprompt” napad neprimjetno izvlači podatke iz Microsoft Copilota
Sigurnosni istraživači iz tvrtke Varonis otkrili su novi napad koji im je omogućio eksfiltraciju korisničkih podataka iz Microsoft Copilota putem jednog zlonamjernog linka. Napad, nazvan Reprompt, zaobišao je zaštite LLM sustava od curenja podataka i omogućio trajnu eksfiltraciju sesije čak i nakon zatvaranja Copilota, navodi Varonis. Napad koristi Parameter 2 Prompt (P2P) injection, tehniku dvostrukog zahtjeva i lančanu tehniku zahtjeva kako bi omogućio kontinuirano i neprimjetno izvlačenje podataka. Reprompt Copilot napad započinje iskorištavanjem parametra „q”, koji se na AI platformama koristi za isporuku korisničkog upita ili prompta putem URL-a. Dovoljan je samo klik korisnika na takav link.
Izvor: SecurityWeek