Kina-länkade hackare riktar in sig på amerikanska AI-experter med SugarGh0st Malware
Forskare vid Proofpoint har avslöjat en mycket riktad kampanj av en misstänkt kinesisk hotaktör, kallad "UNK_SweetSpecter", som syftar till att stjäla information från experter på artificiell intelligens i USA. Angriparna använde en anpassad variant av den ökända Gh0st RAT malware, kallad SugarGh0st, för att infektera systemen hos en utvald grupp individer som är associerade med en ledande USA-baserad AI-organisation. Kampanjen, som dök upp i maj 2024, involverade nätfiske-e-postmeddelanden med AI-tema som innehöll ett skadligt ZIP-arkiv. När den väl körts etablerade den skadliga programvaran kommunikation med en angriparkontrollerad kommando-och-kontrollserver, vilket möjligen gjorde det möjligt för hackarna att exfiltrera känslig data relaterad till generativ AI-teknik. Proofpoint föreslår att den här kampanjen kan vara ett svar på de senaste försöken från den amerikanska regeringen att begränsa kinesisk tillgång till generativ AI-teknik. Attackens målinriktade karaktär och dess fokus på AI-experter indikerar att hotaktörens mål sannolikt var att få icke-offentlig information om generativ artificiell intelligens för att främja Kinas utvecklingsmål inom detta område.Skydda dina e-postmeddelanden nu
CISA varnar för aktivt utnyttjade fel i NextGen Healthcare Mirth Connect
Den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) har utfärdat en brådskande varning om en kritisk säkerhetssårbarhet i NextGen Healthcare Mirth Connect, en dataintegrationsplattform med öppen källkod som ofta används inom hälsovårdsindustrin. Felet, spårat som CVE-2023-43208, möjliggör oautentiserad fjärrkörning av kod och tros vara aktivt utnyttjad i naturen. Sårbarheten härrör från en ofullständig korrigering för ett annat kritiskt fel, CVE-2023-37679, och är relaterat till den osäkra användningen av Java XStream-biblioteket för att demontera XML-nyttolaster. Forskare vid Horizon3.ai avslöjade först sårbarheten i oktober 2023, med ytterligare tekniska detaljer och en proof-of-concept-missbruk som släpptes i januari 2024. CISA har lagt till CVE-2023-43208 i sin katalog över kända exploaterade sårbarheter (KEV), vilket ger federala myndigheter i uppdrag att uppdatera sina system till Mirth Connect version 4.4.1 eller senare senast den 10 juni 2024. Även om byrån inte har lämnat några detaljer om det pågående attacker anses bristen vara lätt att exploatera och utgör en betydande risk för vårdorganisationer. Förutom Mirth Connect-sårbarheten har CISA också lagt till en nyligen avslöjad typförvirringsbugg som påverkar Google Chrome (CVE-2024-4947) till KEV-katalogen, eftersom den har erkänts av Google för att utnyttjas i verkliga attacker.City of Wichita inriktad på helgens Ransomware-attack
City of Wichita, Kansas, den största staden i delstaten och en av de 50 största städerna i USA, har avslöjat att den drabbades av en ransomware-attack under helgen. Incidenten, som inträffade söndagen den 5 maj, tvingade staden att stänga av delar av sitt nätverk för att förhindra spridningen av ransomware till andra enheter. I ett ovanligt genomskinligt drag bekräftade staden attacken på sin hemsida och uppgav att en grundlig granskning och bedömning av incidenten pågår, inklusive den potentiella påverkan på data. Som ett resultat av attacken är onlinebetalningssystem för staden, inklusive de för att betala vattenräkningar och domstolsförhandlingar och biljetter, för närvarande offline. Även om staden inte har avslöjat identiteten på gänget som ansvarade för attacken, har de rapporterat händelsen till lokala och federala brottsbekämpande myndigheter, som hjälper till med svaret. Det är ännu inte känt om någon data har stulits, även om det är vanligt att ransomware-gäng exfiltrerar data från komprometterade nätverk i dagar eller till och med veckor innan de distribuerar sina krypteringar. Trots attacken har Stad har försäkrat invånarna att räddningspersonal, inklusive polis och brandkårer, fortfarande tillhandahåller tjänster, efter att ha övergått till åtgärder för kontinuitet i verksamheten vid behov.Befästa Kritisk infrastruktur Försvars
Black Basta Ransomware riktar sig till över 500 organisationer globalt
Operationen Black Basta ransomware-as-a-service (RaaS) har riktat sig mot mer än 500 privata industri- och kritiska infrastrukturenheter i Nordamerika, Europa och Australien sedan dess uppkomst i april 2022, enligt en gemensam rådgivning publicerad av CISA, FBI , HHS och MS-ISAC. Hotaktörerna bakom Black Basta har krypterat och stulit data från minst 12 av 16 kritiska infrastruktursektorer, med hjälp av en modell för dubbel utpressning. Gruppens affiliates använder vanliga inledande åtkomsttekniker, såsom nätfiske och utnyttjande av kända sårbarheter, och ger offren en unik kod för att kontakta dem via en .onion-URL för betalningsinstruktioner för lösen. Black Basta har kopplats till 28 av de 373 bekräftade ransomware-attackerna i april 2024 och bevittnade en 41% ökning av aktiviteten kvartal över kvartal under Q1 2024. Gruppen tros ha kopplingar till cyberbrottsgruppen FIN7. Ransomware-landskapet genomgår förändringar, med en aktivitetsminskning på 18 % under Q1 2024 jämfört med föregående kvartal, främst på grund av brottsbekämpande åtgärder mot ALPHV (aka BlackCat) och LockBit. Nya ransomware-grupper, som APT73, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt och Shinra, har också dykt upp under de senaste veckorna. Trots den totala nedgången i ransomware-aktivitet har den genomsnittliga lösensumman ökat 5-faldigt under det senaste året, från $400,000 2 till $24 miljoner, enligt en Sophos-undersökning. Men offren vägrar i allt högre grad att betala det ursprungliga beloppet som krävdes, och endast XNUMX % av de tillfrågade betalade den ursprungliga begäran.Öka din cyberresiliens
SSL.com-meddelanden
SSL.com s S/MIME Certifikat kan nu integreras med ett LDAP-aktiverat nätverk
LDAP (Lightweight Directory Access Protocol) är ett industristandardprotokoll för åtkomst och hantering av kataloginformationstjänster. Det används vanligtvis för att lagra och hämta information om användare, grupper, organisationsstrukturer och andra resurser i en nätverksmiljö.
Integrera LDAP med S/MIME certifikat innebär att man använder LDAP som en katalogtjänst för att lagra och hantera användarcertifikat.
Genom att integrera LDAP med S/MIME certifikat kan organisationer centralisera certifikathantering, förbättra säkerheten och effektivisera processen för certifikathämtning och autentisering i olika applikationer och tjänster som utnyttjar LDAP som en katalogtjänst.
Kontakta oss sales@ssl.com för mer information om LDAP-integration.