'Aanvallers laten slachtoffer PowerShell-commando's als admin uitvoeren'
Een groep aanvallers probeert slachtoffers PowerShell-commando's als admin uit te laten voeren, waarna hun systeem met malware wordt geïnfecteerd, zo laat Microsoft op X weten. De aanvallen zijn volgens Microsoft het werk van een 'Noord-Koreaanse statelijke actor'. Bij de aanvallen doet de groep zich voor als Zuid-Koreaanse overheidsfunctionaris en probeert eerst een band met het slachtoffer op te bouwen.
Vervolgens wordt er een e-mail met pdf-bestand verstuurd. Om het pdf-bestand te kunnen lezen moet het slachtoffer zogenaamd zijn apparaat registreren. De link met instructies hiervoor wijst naar een pagina die het slachtoffer vraagt om PowerShell als administrator te openen en daarna bepaalde code te kopiëren en plakken. Zodra het slachtoffer dit doet wordt een browser-gebaseerde remote desktop tool gedownload waarmee de aanvallers toegang tot het systeem van het slachtoffer krijgen.
Volgens Microsoft is deze tactiek sinds januari op beperkte schaal in gezet. De groep zou zich vooral met cyberspionage bezighouden en het op overheidsinstanties, NGO's en mediabedrijven in Noord-Amerika, Zuid-Amerika, Europa en Oost-Azië hebben voorzien. Microsoft adviseert organisaties om personeel te trainen over phishing en de risico's van het klikken op links in ongevraagde berichten. Ook wordt aangeraden om technische maatregelen te nemen om zo het uitvoeren van bijvoorbeeld malafide scripts tegen te gaan.
Er zit best een verschil tussen klikken op een link, en een Powershell commando uitvoeren via copy/paste (die prompts onderdrukt).
Eigenlijk duivels wat ze hier doen. maar zo beperkt bruikbaar, dan moet je echt een paar specifieke doelwitten op het oog hebben.
Powershell wordt onderwater heel veel gebruikt.
Perk rechten in op Powershell, en zet er wat monitoring op qua gedrag.
Powershell wordt onderwater heel veel gebruikt.
Perk rechten in op Powershell, en zet er wat monitoring op qua gedrag.
Powershell wordt onderwater heel veel gebruikt.
Perk rechten in op Powershell, en zet er wat monitoring op qua gedrag.
Het zijn alleen junior admins die denken dat dat een enorme drempel is.
Heb je het trouwens zelf aan staan ?
Powershell wordt onderwater heel veel gebruikt.
Perk rechten in op Powershell, en zet er wat monitoring op qua gedrag.
Het zijn alleen junior admins die denken dat dat een enorme drempel is.
Heb je het trouwens zelf aan staan ?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?