Uhkametsä Jouni Mikkola & Juuso Myllylä
-
- Technologie
Uhkametsä on ajankohtaisiin kyberuhkiin keskittyvä, teknisesti asioista kertova podcast. Puhujina toimivat Juuso Myllylä ja Jouni Mikkola. Intro ja Outro musiikit ovat Ephmerixin tuotantoa, https://ephmerix.com/. Huikeat grafiikat ovat Panu Palmin tekemät, https://panupalm.fi/.
-
47: Majuri Poikkeama ja eläinystävät
Tällä kertaa metsällä puhutaan ensin Uhkametsän ominta omaa, eli käytänteitä! Fear not, ainakin puhumme sentään ensivasteen, eli Incident Responsen, käytännöistä ja enemmänkin siitä, että millaisia rooleja Majuri Poikkeamassa voi olla. Toki myös muutenkin viitataan käytäteisiin näiden roolien pohjalta. Tästä siirrytään kätevästi sitten huonoihin uutisiin jossa mm hienoa nallea, Lazaruksen rottaa ja myöskin hieman asiaa identiteettiä koskevasta uhkametsästyksestä!
Lähteet:
https://www.microsoft.com/en-us/security/blog/2023/12/11/new-microsoft-incident-response-team-guide-shares-best-practices-for-security-teams-and-leaders/
https://www.youtube.com/watch?v=0M55onu7mVI
https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html
https://securityaffairs.com/162333/cyber-crime/swedens-liquor-supply-ransomware-attack.html
https://www.scmagazine.com/brief/third-party-ransomware-attack-threatens-swedens-liquor-supply
https://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.html
https://blog.qualys.com/vulnerabilities-threat-research/2024/04/24/arcanedoor-unlocked-tackling-state-sponsored-cyber-espionage-in-network-perimeters
https://security.googleblog.com/2024/04/detecting-browser-data-theft-using.html
https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/hunting-in-azure-subscriptions/ba-p/4125875
https://twitter.com/Cryptolaemus1/status/1785423804577034362
https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa -
46: Meillä on teille huonoja uutisia
Tässä jaksossa käydään vähän rästejä läpi ja käsitellään 12 huonoa uutista! Tämä jakso onkin varmasti kaikille Uhkametsän huonojen uutisten faneille mieleinen!
Käydään läpi Sandwormia (kahteen kertaan), uusia lastaajia, haavoittuvuuksia sekä Windowsin tuntemattomampia ominaisuuksia. Tervetuloa kuulolle!
Jakson lähdemateriaali enemmän tai vähemmän järjestyksessä:
Mandiantin Sandworm raportti: https://services.google.com/fh/files/misc/apt44-unearthing-sandworm.pdf
Palo Alto SSL VPN haavoittuvuus: https://unit42.paloaltonetworks.com/cve-2024-3400/#post-133365-_vgezw6a4uez
Palo Alto SSL VPN osa 2: https://www.theregister.com/2024/04/17/researchers_exploit_code_for/
TA544 uutisia: https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta544-targets-geographies-italy-japan-range-malware
WikiLoader IOC: https://github.com/pr0xylife/WikiLoader/blob/main/WikiLoader_17.04.2024.txt
Tekoälyn kirjoittamaa PowerShelliä: https://www.bleepingcomputer.com/news/security/malicious-powershell-script-pushing-malware-looks-ai-written/
Vadelmatipun uudet kujeet: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html?m=1
Taikurikärry: https://www.darkreading.com/cloud-security/magecart-attackers-pioneer-persistent-ecommerce-backdoor
Taikurikärry Darknet Diaries kuuntelusuositus: https://darknetdiaries.com/episode/52/
https://sansec.io/research/magento-xml-backdoor
Latrodectus lastaaja: https://www.bleepingcomputer.com/news/security/new-latrodectus-malware-replaces-icedid-in-network-breaches/#google_vignette
Latrodectus #2: https://www.hackread.com/latrodectus-downloader-malware-icedid-qbot/
SVG tiedostot: https://cofense.com/blog/svg-files-abused-in-emerging-campaigns/
Kapeka haittaohjelma: https://therecord.media/sandworm-backdoor-malware-eastern-europe-kapeka
Windowsin kuidut ja säikeet: https://www.darkreading.com/application-security/sneaky-shellcode-windows-fibers-edr-proof-code-execution
NordVPN typosquatting ja malvertising: https://www.scmagazine.com/news/bing-ad-posing-as-nordvpn-aims-to-spread-sectoprat-malware
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa -
45: Seitsemän pientä hakkeria
Tällä kertaa Uhkametsällä puhutaan Kiinan valtion suorittamista kyberoperaatioista muita maita kohtaan. Jaksossa puhutaan siis APT31:n touhuista joka on liipannut läheisesti myös Suomea. Jakson perustana toimii Yhdysvaltain syyte seitsemää henkilöä vastaan jotka ovat syytteen mukaan olleet osallisina Kiinan suorittamissa operaatioissa.
Eli kyseessä on Juuson terminologian mukaan jälleenkin Teemajakso!
Lähteet:
https://www.justice.gov/opa/media/1345141/dl?inline
https://home.treasury.gov/news/press-releases/jy2205
https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived
https://yle.fi/a/74-20081005
https://www.is.fi/digitoday/tietoturva/art-2000010319962.html
https://www.is.fi/digitoday/tietoturva/art-2000007867387.html
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa -
44: Pienet varkaat
Tässä jaksossa käydään vähän kevyemmin viime aikaisia uhkia läpi! Tällä kertaa juontajakaksikkoa puhututtaa TinyTurla sekä Strela infostealer. Käydään näistä läpi tuttuun tapaan hunttaus ideoita sekä päivitellään huonot uutiset. Eräässä suositussa pelissä ollut kenties jotain outoa kesken turnauksen?
Tervetuloa kuulolle!
Jakson lähdeluettelo:
https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/#google_vignette
https://threathunt.blog/dll-image-loads-from-suspicious-locations-by-regsvr32-exe-rundll32-exe/
https://www.bleepingcomputer.com/news/security/apex-legends-players-worried-about-rce-flaw-after-algs-hacks/
https://blog.talosintelligence.com/tinyturla-full-kill-chain/
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa -
43: Metsään meni
Tämän päivän jaksossa puhutaan siitä kun menee metsään, eli ransomware operaattoreista, heidän yleisimmin käytetyistä taktiikoista, tekniikoista ja toimintatavoista. Lisäksi puhutaan siitä, että miten näitä erilaisia tekniikoita voidaan potentiaalisesti metsästää, havaita tai estää. Luvassa uhkiksen toistaiseksi pisin jakso ja paljon keskustelua ransomwaresta.
Lähteet:
https://www.wired.com/story/alphv-change-healthcare-ransomware-payment/
https://adsecurity.org/?p=3458
https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm
https://any.run/malware-trends/exela
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa -
42: Laiva on lastattu
Laiva on lastattu tällä kertaa Pokemoneilla ja toimitusjohtajamyrkytyksillä. Tässä jaksossa kertaa Uhkis käsittelee kahta laturia / lastaajaa ja näiden uusia kujeita. Käydään läpi myös konkreettiset ideat miten voidaan huntata sekä havaita ympäristöstä ja annetaan myös suojautumisvinkkejä pohdittavaksi.
Tervetuloa kuuntelemaan!
Lähteet:
Elasticin Pikabot artikkeli: https://www.elastic.co/security-labs/pikabot-i-choose-you
ZScalerin Pikabot artikkeli: https://www.zscaler.com/blogs/security-research/d-evolution-pikabot
Cryptlaemuksen twiitti Pikabot kampanjasta: https://twitter.com/Cryptolaemus1/status/1755655639370514595
SocGholish artikkeli: https://www.reliaquest.com/blog/new-python-socgholish-infection-chain/
FakeUpdates IOC: https://threatfox.abuse.ch/browse/malware/js.fakeupdates/
Connectwise Screenconnect haavoittuvuus: https://www.darkreading.com/remote-workforce/connectwise-screenconnect-mass-exploitation-delivers-ransomware
Connectwise Screenconnect exploit / John Hammond: https://www.youtube.com/watch?v=AWGoGO5jnvY&t=5s
Lockbit uutisartikkeli: https://yle.fi/a/74-20075430
Instagram: https://www.instagram.com/uhkametsa/
Linkedin: https://www.linkedin.com/company/uhkametsa/
X: https://twitter.com/uhkametsa