Μια νέα ομάδα από hackers (στους οποίους έχει δοθεί το όνομα TAG-100) χρησιμοποιούν εργαλεία ανοιχτού κώδικα για μια εκστρατεία κυβερνοκατασκοπείας, που στοχεύει κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες σε όλο τον κόσμο.
Ερευνητές της Recorded Future παρακολουθούν τη δραστηριότητα, σημειώνοντας ότι οι επιτιθέμενοι πιθανότατα παραβίασαν οργανισμούς σε τουλάχιστον δέκα χώρες σε όλη την Αφρική, την Ασία, τη Βόρεια Αμερική, τη Νότια Αμερική και την Ωκεανία.
Επίσης, από τον Φεβρουάριο του 2024 οι hackers έχουν παραβιάσει διπλωματικές και κυβερνητικές υπηρεσίες, εφοδιαστικές αλυσίδες εταιρειών ημιαγωγών, καθώς και μη κερδοσκοπικές και θρησκευτικές οντότητες που βρίσκονται στην Καμπότζη, το Τζιμπουτί, τη Δομινικανή Δημοκρατία, τα Φίτζι, την Ινδονησία, την Ολλανδία, την Ταϊβάν, το Ηνωμένο Βασίλειο, τις ΗΠΑ και το Βιετνάμ.
Δείτε επίσης: Οι hackers FIN7 διαφημίζουν το ισχυρό εργαλείο AvNeutralizer σε hacking forums
“Οι hackers TAG-100 χρησιμοποιούν open-source remote access δυνατότητες και εκμεταλλεύονται διάφορες συσκευές για την απόκτηση αρχικής πρόσβασης“, δήλωσε η εταιρεία κυβερνοασφάλειας. “Η ομάδα χρησιμοποίησε και open-source Go backdoors“.
Οι επιθέσεις περιλαμβάνουν την εκμετάλλευση γνωστών ευπαθειών ασφαλείας που επηρεάζουν διάφορα προϊόντα, συμπεριλαμβανομένων των Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances ASA), Palo Alto Networks GlobalProtect και Fortinet FortiGate.
Οι ερευνητές παρατήρησαν και δραστηριότητα reconnaissance σε internet-facing συσκευές, που ανήκουν σε οργανισμούς σε τουλάχιστον δεκαπέντε χώρες, συμπεριλαμβανομένης της Κούβας, της Γαλλίας, της Ιταλίας, της Ιαπωνίας και της Μαλαισίας. Τέτοιες επιθέσεις στόχευσαν, επίσης, πρεσβείες της Κούβας που βρίσκονται στη Βολιβία, τη Γαλλία και τις Η.Π.Α.
Από τα μέσα Απριλίου, οι hackers AG-100 στόχευσαν συσκευές GlobalProtect της Palo Alto Networks που ανήκουν σε αμερικανικές εταιρείες, στους τομείς της εκπαίδευσης, των οικονομικών, της τοπικής αυτοδιοίκησης, της νομικής επιστήμης και των υπηρεσιών κοινής ωφελείας.
Δείτε επίσης: Οι hackers χρησιμοποιούν PoC exploits 22 λεπτά μετά την κυκλοφορία τους!
Αυτές οι επιθέσεις συνέπεσαν με τη δημόσια κυκλοφορία ενός proof-of-concept (PoC) exploit για την ευπάθεια CVE-2024-3400 που επηρεάζει τα GlobalProtect firewalls της Palo Alto Networks.
Η επιτυχής αρχική πρόσβαση ακολουθείται από την ανάπτυξη των Pantegana, Spark RAT και Cobalt Strike Beacon σε παραβιασμένους κεντρικούς υπολογιστές.
Οι ερευνητές παρατήρησαν πώς τα PoC exploits μπορούν να συνδυαστούν με προγράμματα ανοιχτού κώδικα για την πραγματοποίηση επιθέσεων.
Για την καταπολέμηση αυτών των επιθέσεων, οι οργανισμοί πρέπει να είναι προσεκτικοί και να παρακολουθούν συνεχώς τα δίκτυα και τα συστήματά τους για οποιαδήποτε ύποπτη δραστηριότητα. Θα πρέπει επίσης να διασφαλίζουν ότι οι υπάλληλοί τους εκπαιδεύονται σχετικά με τους κινδύνους που συνδέονται με τη χρήση εργαλείων ανοιχτού κώδικα και να εφαρμόζουν αυστηρά πρωτόκολλα ασφαλείας κατά τη χρήση τους.
Δείτε επίσης: Hackers λένε ότι παραβίασαν βάση δεδομένων της KFC
Είναι σημαντικό οι οργανισμοί και τα άτομα να γνωρίζουν τους κινδύνους και να λαμβάνουν τις απαραίτητες προφυλάξεις για να προστατευθούν από πιθανές επιθέσεις. Παραμένοντας ενημερωμένοι και εφαρμόζοντας ισχυρά μέτρα ασφαλείας, μπορούμε να συνεχίσουμε να αξιοποιούμε τα οφέλη της τεχνολογίας ελαχιστοποιώντας παράλληλα τις πιθανές απειλές. Ως εκ τούτου, είναι ζωτικής σημασίας για την κοινότητα της κυβερνοασφάλειας να συνεργάζεται και να παρακολουθεί συνεχώς τις νέες τάσεις, προκειμένου να παραμείνει ένα βήμα μπροστά από τους παράγοντες απειλών.
Πηγή: thehackernews.com
 χρησιμοποιούν εργαλεία ανοιχτού κώδικα για μια εκστρατεία κυβερνοκατασκοπείας){kind=link}