Uhkamets‪ä‬ Jouni Mikkola & Juuso Myllylä

Tässä jaksossa käydään vähän rästejä läpi ja käsitellään 12 huonoa uutista! Tämä jakso onkin varmasti kaikille Uhkametsän huonojen uutisten faneille mieleinen! 

Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle!

Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä:

Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf

Palo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uez

Palo Alto SSL VPN osa 2:  https://www.theregister.com/2024/04/17/researchers_exploit_code_for/ 

TA544 uutisia: https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta544-targets-geographies-italy-japan-range-malware

WikiLoader IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_17.04.2024.txt

Tekoälyn kirjoittamaa PowerShelliä: https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/

Vadelmatipun uudet kujeet: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html?m=1

Taikurikärry: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor

Taikurikärry Darknet Diaries kuuntelusuositus: https://darknetdiaries.com/episode/52/
https://sansec.io/research/magento-xml-backdoor

Latrodectus lastaaja: https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignette

Latrodectus #2: https://www.hackread.com/latrodectus-downloader-malware-icedid-qbot/

SVG tiedostot: https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/

Kapeka haittaohjelma: https://therecord.media/sandworm-backdoor-malware-eastern-europe-kapeka 

Windowsin kuidut ja säikeet: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution

NordVPN typosquatting ja malvertising: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa

Tällä kertaa Uhkametsällä puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut läheisesti myös Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsemää henkilöä vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa.

Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso! 

Lähteet:
https://www.justice.gov/opa/media/1345141/dl?inline
https://home.treasury.gov/news/press-releases/jy2205
https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived
https://yle.fi/a/74-20081005
https://www.is.fi/digitoday/tietoturva/art-2000010319962.html
https://www.is.fi/digitoday/tietoturva/art-2000007867387.html
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa

Tässä jaksossa käydään vähän kevyemmin viime aikaisia uhkia läpi! Tällä kertaa juontajakaksikkoa puhututtaa TinyTurla sekä Strela infostealer. Käydään näistä läpi tuttuun tapaan hunttaus ideoita sekä päivitellään huonot uutiset. Eräässä suositussa pelissä ollut kenties jotain outoa kesken turnauksen?

Tervetuloa kuulolle!

Jakson lähdeluettelo:
https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/#google_vignette
https://threathunt.blog/dll-image-loads-from-suspicious-locations-by-regsvr32-exe-rundll32-exe/
https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/
https://blog.talosintelligence.com/tinyturla-full-kill-chain/
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa

Tämän päivän jaksossa puhutaan siitä kun menee metsään, eli ransomware operaattoreista, heidän yleisimmin käytetyistä taktiikoista, tekniikoista ja toimintatavoista. Lisäksi puhutaan siitä, että miten näitä erilaisia tekniikoita voidaan potentiaalisesti metsästää, havaita tai estää. Luvassa uhkiksen toistaiseksi pisin jakso ja paljon keskustelua ransomwaresta.

Lähteet:
https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/
https://adsecurity.org/?p=3458
https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm
https://any.run/malware-trends/exela
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa

Laiva on lastattu tällä kertaa Pokemoneilla ja toimitusjohtajamyrkytyksillä. Tässä jaksossa kertaa Uhkis käsittelee kahta laturia / lastaajaa ja näiden uusia kujeita. Käydään läpi myös konkreettiset ideat miten voidaan huntata sekä havaita ympäristöstä ja annetaan myös suojautumisvinkkejä pohdittavaksi.

Tervetuloa kuuntelemaan!

Lähteet:

Elasticin Pikabot artikkeli: https://www.elastic.co/security-labs/pikabot-i-choose-you
ZScalerin Pikabot artikkeli: https://www.zscaler.com/blogs/security-research/d-evolution-pikabot
Cryptlaemuksen twiitti Pikabot kampanjasta: https://twitter.com/Cryptolaemus1/status/1755655639370514595
SocGholish artikkeli: https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/
FakeUpdates IOC: https://threatfox.abuse.ch/browse/malware/js.fakeupdates/
Connectwise Screenconnect haavoittuvuus: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
Connectwise Screenconnect exploit / John Hammond: https://www.youtube.com/watch?v=AWGoGO5jnvY&t=5s
Lockbit uutisartikkeli: https://yle.fi/a/74-20075430
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa

Tämän kertaisessa jaksossa puhellaan ransuttajien rahulioperaatioista vuodelta 2023, sekä arvaillaan tekoälyn tulevaisuutta puolustavalla puolella. Lisäksi jutellaan Kiinalaisista uhkatoimijoista huonojen uutisten muodossa.

Lähteet:
https://www.chainalysis.com/blog/ransomware-2024/
https://www.paloaltonetworks.com/blog/2024/02/the-power-of-ai-in-cybersecurity/
https://www.bleepingcomputer.com/news/security/chinese-hackers-infect-dutch-military-network-with-malware/
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa