Összefoglaló 2019-01-10

Tájékoztatás
Információszerzésre irányuló fokozott kibertevékenységről

A Nemzeti Kibervédelmi Intézet tájékoztatót adott ki Információszerzésre irányuló fokozott
kibertevékenységgel kapcsolatban.
2019. január 2-án az amerikai Szövetségi Nyomozó Iroda (FBI) technikai riasztást tett közzé
[1]. A riasztásban az FBI a kínai APT 10 néven ismertté vált kiberkémkedési csoport Egyesült
Államokbeli és azon kívüli, kereskedelmi és kormányzati szereplőket célzó adatszerzési
tevékenységével kapcsolatos információkat osztott meg.
A csoport APT10, Cloud Hopper, menuPass, Stone Panda, Red Apollo, CVNX és
POTASSIUM néven is ismert. Célpontjaik között felhő szolgáltatók kereskedelmi- és
kormányzati ügyfelei, illetve fegyveripari beszállítók is megtalálhatóak. A felhőszolgáltatást
igénybevevők mellett az APT csoport többek között az alábbi területek szereplőit támadja:

  • autóipar
  • elektronikai ipar
  • fegyveripar
  • pénzügyi szolgáltatások
  • kormányzati intézmények
  • telekommunikációs szolgáltatásokAz APT10 csoport egyedi fejlesztésű eszközöket használ a támadás fázisaihoz, többek között:
  • REDLEAVES –távoli elérést biztosító trójai,
  • UPPERCUT/ANEL – spear phishing kampányokhoz használt trójai,
  • CHCHES – C2 szerverekkel kommunikáló RAT.

A saját eszközökön túl a csoport szabadon elérhető eszközöket is igénybe vesz (pl. QUASAR
RAT).
Védekezés, megelőzés
A támadások során egyaránt kihasználnak már ismert és nem még nem publikált (zero-day)
sérülékenységeket is, ezért a rendszerek folyamatos frissítése alapvető fontosságú a
támadásokkal szembeni védekezésben.
Javasoljuk az alábbi sérülékenység leírások áttekintését (https://www.cvedetails.com/), az
abban foglalt frissítések telepítését:
CVE-2018-8477 "Windows Kernel Information Disclosure Vulnerability."
CVE-2018-8595 "Windows GDI Information Disclosure Vulnerability."
CVE-2018-8616
CVE-2018-8627 "Microsoft Excel Information Disclosure Vulnerability."
CVE-2018-8373 "Scripting Engine Memory Corruption Vulnerability."
CVE-2017-1182 IBM Tivoli Monitoring Portal v6 could
CVE-2018-8514 "Remote Procedure Call runtime Information Disclosure Vulnerability."
CVE-2018-8596 "Windows GDI Information Disclosure Vulnerability."
CVE-2018-8621 "Windows Kernel Information Disclosure Vulnerability."
CVE-2018-8637 "Win32k Information Disclosure Vulnerability."
CVE-2018-8174 "Windows VBScript Engine Remote Code Execution Vulnerability."
CVE-2017-0199 "Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API."
CVE-2018-8580 "Microsoft SharePoint Information Disclosure Vulnerability."
CVE-2018-8598 "Microsoft Excel Information Disclosure Vulnerability."
CVE-2018-8622 "Windows Kernel Information Disclosure Vulnerability."
CVE-2018-8638 "DirectX Information Disclosure Vulnerability."
CVE-2017-8759 ".NET Framework Remote Code Execution Vulnerability."

Az eredeti dokumentum elérhető az alábbi linken:

[1]https://www.waterisac.org/system/files/articles/%28U%29%20FBI%20FLASH%20...