image

ACSC: Australische organisaties doelwit van spearphishing en exploits

vrijdag 19 juni 2020, 09:50 door Redactie, 3 reacties

Verschillende Australische overheidsinstanties en bedrijven zijn het doelwit van spearphishing en aanvallen waarbij exploits voor bekende kwetsbaarheden worden gebruikt, zo laat het Australian Cyber Security Centre (ACSC) weten. De aanvallen zouden afkomstig zijn van een niet nader genoemde statelijke actor.

Het ACSC heeft de campagne van de aanvaller de naam "Copy-paste compromises" gegeven, omdat die proof-of-concept exploitcode, webshells en andere gebruikte tools nagenoeg één op één kopieert van opensourcebronnen. Om de netwerken van aangevallen organisaties te compromitteren maakt de aanvaller voornamelijk gebruik van bekende kwetsbaarheden.

Het gaat onder andere om een beveiligingslek in Telerik UI. Via deze software is het mogelijk om gebruikersinterface-elementen aan websites en webapplicaties toe te voegen. Een kwetsbaarheid in Telerik UI maakt het mogelijk voor aanvallers om willekeurige bestanden naar de onderliggende webserver te uploaden en die zo te compromitteren. Tevens probeert de aanvaller via bekende kwetsbaarheden in Microsoft Internet Information Services (IIS), SharePoint en Citrix binnen te komen. Beveiligingsupdates voor deze kwetsbaarheden zijn al sinds vorig jaar beschikbaar.

Wanneer deze aanvallen mislukken probeert de aanvaller via spearphishing de organisatie binnen te dringen. Zo worden er e-mails verstuurd die naar phishingsites of malware linken of malware als bijlage bevatten. Ook komt het voor dat de aanvaller naar apps linkt die om de Office 365 OAuth-tokens van de gebruiker vragen, waarmee de aanvaller toegang tot het Office 365-account krijgt.

Zodra een eerste machine of account is gecompromitteerd probeert de aanvaller via een combinatie van open source en zelfontwikkelde tools het netwerk verder te compromitteren. Volgens het ACSC probeert de aanvaller echter snel via gestolen inloggegevens legitieme remote toegang te krijgen.

Om de aanvallen af te slaan roept het ACSC organisaties op om op internet aangesloten systemen te patchen. Alle kwetsbaarheden waarvan de aanvaller gebruikmaakt zijn al lang bekend en zijn via beschikbare beveiligingsupdates te verhelpen. Tevens wordt het gebruik van multifactorauthenticatie voor vpn's, remote desktops, e-mail en andere "remote access services" aangeraden. Vorige maand kwam het ACSC al met een soortgelijke waarschuwing dat aanvallers van de eerder genoemde technieken gebruikmaken.

Reacties (3)
19-06-2020, 12:43 door Anoniem
China.......Noord Korea.........en Rusland.

Je kunt de Chinese overheid niet de waarheid zeggen. Nee, dat gaat echt niet!!
19-06-2020, 13:10 door Anoniem
Door Anoniem: China.......Noord Korea.........en Rusland.

Je kunt de Chinese overheid niet de waarheid zeggen. Nee, dat gaat echt niet!!
Je vergeet Amerika even voor het gemak!
19-06-2020, 13:12 door Anoniem
Overheid,boeren en millieu

Kijk even terug in de tijd,niet eens zolang geleden,wereldnieuws.

We hebben laatst de opzettelijk aangestoken gigantische bosbranden gehad in australia
waardoor de boeren noodgedwongen moesten vertrekken,waarbij ook
slachtoffers vielen en velen planten en dieren stierven.

Jazeker,de oorzaak van de branden was "global warming"man made global warming",dat is altijd het excuus,
de burger krijgt de schuld en moet daarvoor betalen,maar met agenda 21 bij de hand weten we wel beter.

Zou het ermee te maken hebben,wie weet?

De minister was namelijk al door de knieen gegaan,omdat de burgers
via de media overtuigt zijn geraakt dat het door man made global warming is veroorzaakt.

Jaap van nieuwsuur
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.