NCSC: Το UMBRELLA STAND malware στοχεύει FortiGate firewalls
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
NCSC: Το UMBRELLA STAND malware στοχεύει FortiGate firewalls
https://www.secnews.gr/651768/ncsc-umbrella-stand-malware-stoxeuei-fortigate-firewalls/
Jun 23rd 2025, 16:54
by Digital Fortress
Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) εξέδωσε επείγουσα προειδοποίηση για το «UMBRELLA STAND», ένα νέο κακόβουλο λογισμικό που στοχεύει συσκευές FortiGate 100D firewall της Fortinet. Πιστεύεται ότι το malware εκμεταλλεύεται ευπάθειες ασφαλείας για να αποκτήσει και να διατηρήσει πρόσβαση σε κρίσιμες υποδομές.
Το κακόβουλο λογισμικό υιοθετεί τεχνικές που παραπέμπουν στο παλαιότερο εργαλείο κατασκοπείας COATHANGER, με σαφείς βελτιώσεις στις μεθόδους obfuscation. Περιλαμβάνει κρυπτογραφημένες συμβολοσειρές (AES) και παραπλανητικά ονόματα αρχείων για να αποφεύγει την ανίχνευση από τα συστήματα ασφαλείας.
Δείτε επίσης: Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
Προηγμένα χαρακτηριστικά και ύποπτη δραστηριότητα δικτύου
Το UMBRELLA STAND έρχεται εξοπλισμένο με προηγμένα χαρακτηριστικά, μεταξύ των οποίων:
• Απομακρυσμένη εκτέλεση εντολών (remote shell)
• Configurable beacon frequencies
• Κρυπτογραφημένη επικοινωνία με command-and-control (C2) server
Μάλιστα, χρησιμοποιεί ψεύτικο TLS header στη θύρα 443 για να μιμηθεί νόμιμο traffic, χωρίς να ολοκληρώνει σωστά το handshake, κάτι που μπορεί να αξιοποιηθεί ως δείκτης κακόβουλης δραστηριότητας.
Η επικοινωνία με τον C2 διακομιστή πραγματοποιείται μέσω της IP 89.44.194.32 – με δυνατότητα τροποποίησης κατά την εκτέλεση.
Επιμονή και έλεγχος ακόμα και μετά από επανεκκίνηση
Ιδιαίτερη ανησυχία προκαλούν οι μηχανισμοί persistence μετά από επανεκκίνηση, καθώς το UMBRELLA STAND malware αξιοποιεί τεχνικές όπως το ldpreload και τροποποιήσεις στο FortiOS reboot process.
Επιπλέον, το malware χρησιμοποιεί τακτικές process injection και impersonation, μετονομάζοντας διεργασίες για να ενσωματωθούν σε τυπικές καταχωρίσεις συστημάτων Linux και καθιστώντας πιο δύσκολο για τους διαχειριστές να εντοπίσουν μη εξουσιοδοτημένη δραστηριότητα.
Δείτε επίσης: Banana Squad: Κακόβουλα GitHub repositories διανέμουν malware
UMBRELLA STAND malware: Συνδυάζει δημόσια εργαλεία με τεχνικές απόκρυψης
Σύμφωνα με το NCSC, το UMBRELLA STAND malware συχνά αναπτύσσεται μαζί με δημόσια διαθέσιμα εργαλεία όπως τα BusyBox, tcpdump, nbtscan και openLDAP, τα οποία του επιτρέπουν:
• Εκτέλεση shell commands
• Παρακολούθηση δικτυακής κυκλοφορίας
• Διεξαγωγή δραστηριοτήτων reconnaissance σε παραβιασμένα περιβάλλοντα
Κρυφοί κατάλογοι, όπως ο /data2/.ztls/, χρησιμοποιούνται για την απόκρυψη της παρουσίας του, εκμεταλλευόμενοι περαιτέρω τις εγγενείς προστασίες του FortiOS για να αποκρύπτουν τους κακόβουλους καταλόγους από τις παραδοσιακές μεθόδους εντοπισμού.
Το NCSC παρέχει ήδη δείκτες παραβίασης (IOCs) για την αναγνώριση της απειλής, περιλαμβάνοντας:
• Τη γνωστή IP διεύθυνση C2: 89.44.194.32
• Συγκεκριμένες διαδρομές αρχείων και κρυφούς καταλόγους
UMBRELLA STAND Indicators of Compromise (IOCs)
TypeDescriptionValues
IPv4C2 Infrastructure89.44.194.32
PathHidden Directory for Actor Tooling/data2/.ztls/
PathPaths Used by Actors/tmp/%d.sv, /data2/tmp/%s.ini
Επιπλέον, έχουν συμπεριληφθεί YARA rules που στοχεύουν encrypted strings και injection mechanisms, ώστε να επιτρέπεται η ανίχνευση ακόμη και σε περιβάλλοντα με προηγμένο obfuscation.
Δείτε επίσης: Το AntiDot malware έχει παραβιάσει πάνω από 3.775 συσκευές
NCSC: Ώρα για επαγρύπνηση και αναβάθμιση συστημάτων ασφαλείας
To UMBRELLA STAND malware απευθύνει ισχυρή σύσταση για ενίσχυση της επιτήρησης, εφαρμογή ενημερώσεων ασφαλείας και τακτικούς ελέγχους συστημάτων.
Η συγκεκριμένη απειλή καταδεικνύει πώς ακόμα και εξειδικευμένες συσκευές δικτύου μπορούν να γίνουν στόχος πολυεπίπεδων, στοχευμένων κυβερνοεπιθέσεων, δημιουργώντας νέες προκλήσεις για την ασφάλεια σε κάθε επίπεδο ψηφιακής υποδομής.
Δεδομένου ότι το UMBRELLA STAND malware εκμεταλλεύεται ευπάθειες για να μολύνει τα firewalls, η διατήρηση μιας στιβαρής στάσης ασφαλείας είναι ζωτικής σημασίας για την προστασία των συσκευών. Αυτό περιλαμβάνει την ενσωμάτωση πολλαπλών επιπέδων άμυνας, συμπεριλαμβανομένων των συστημάτων ανίχνευσης και πρόληψης εισβολής (IDPS), της τμηματοποίησης δικτύου και της συνεχούς παρακολούθησης για ύποπτες δραστηριότητες.
Επιπλέον, η επένδυση στην εκπαίδευση των εργαζομένων για την αναγνώριση προσπαθειών phishing και άλλων επιθέσεων social engineering μπορεί να μειώσει περαιτέρω την πιθανότητα παραβίασης συστημάτων.
Δίνοντας προτεραιότητα σε στρατηγικές προληπτικής άμυνας παράλληλα με την ταχεία επιδιόρθωση, οι οργανισμοί μπορούν να ενισχύσουν σημαντικά την ανθεκτικότητά τους έναντι τέτοιων απειλών και να προστατεύσουν την υποδομή τους από προηγμένες επιθέσεις στον κυβερνοχώρο.
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
NCSC: Το UMBRELLA STAND malware στοχεύει FortiGate firewalls
https://www.secnews.gr/651768/ncsc-umbrella-stand-malware-stoxeuei-fortigate-firewalls/
Jun 23rd 2025, 16:54
by Digital Fortress
Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) εξέδωσε επείγουσα προειδοποίηση για το «UMBRELLA STAND», ένα νέο κακόβουλο λογισμικό που στοχεύει συσκευές FortiGate 100D firewall της Fortinet. Πιστεύεται ότι το malware εκμεταλλεύεται ευπάθειες ασφαλείας για να αποκτήσει και να διατηρήσει πρόσβαση σε κρίσιμες υποδομές.
Το κακόβουλο λογισμικό υιοθετεί τεχνικές που παραπέμπουν στο παλαιότερο εργαλείο κατασκοπείας COATHANGER, με σαφείς βελτιώσεις στις μεθόδους obfuscation. Περιλαμβάνει κρυπτογραφημένες συμβολοσειρές (AES) και παραπλανητικά ονόματα αρχείων για να αποφεύγει την ανίχνευση από τα συστήματα ασφαλείας.
Δείτε επίσης: Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
Προηγμένα χαρακτηριστικά και ύποπτη δραστηριότητα δικτύου
Το UMBRELLA STAND έρχεται εξοπλισμένο με προηγμένα χαρακτηριστικά, μεταξύ των οποίων:
• Απομακρυσμένη εκτέλεση εντολών (remote shell)
• Configurable beacon frequencies
• Κρυπτογραφημένη επικοινωνία με command-and-control (C2) server
Μάλιστα, χρησιμοποιεί ψεύτικο TLS header στη θύρα 443 για να μιμηθεί νόμιμο traffic, χωρίς να ολοκληρώνει σωστά το handshake, κάτι που μπορεί να αξιοποιηθεί ως δείκτης κακόβουλης δραστηριότητας.
Η επικοινωνία με τον C2 διακομιστή πραγματοποιείται μέσω της IP 89.44.194.32 – με δυνατότητα τροποποίησης κατά την εκτέλεση.
Επιμονή και έλεγχος ακόμα και μετά από επανεκκίνηση
Ιδιαίτερη ανησυχία προκαλούν οι μηχανισμοί persistence μετά από επανεκκίνηση, καθώς το UMBRELLA STAND malware αξιοποιεί τεχνικές όπως το ldpreload και τροποποιήσεις στο FortiOS reboot process.
Επιπλέον, το malware χρησιμοποιεί τακτικές process injection και impersonation, μετονομάζοντας διεργασίες για να ενσωματωθούν σε τυπικές καταχωρίσεις συστημάτων Linux και καθιστώντας πιο δύσκολο για τους διαχειριστές να εντοπίσουν μη εξουσιοδοτημένη δραστηριότητα.
Δείτε επίσης: Banana Squad: Κακόβουλα GitHub repositories διανέμουν malware
UMBRELLA STAND malware: Συνδυάζει δημόσια εργαλεία με τεχνικές απόκρυψης
Σύμφωνα με το NCSC, το UMBRELLA STAND malware συχνά αναπτύσσεται μαζί με δημόσια διαθέσιμα εργαλεία όπως τα BusyBox, tcpdump, nbtscan και openLDAP, τα οποία του επιτρέπουν:
• Εκτέλεση shell commands
• Παρακολούθηση δικτυακής κυκλοφορίας
• Διεξαγωγή δραστηριοτήτων reconnaissance σε παραβιασμένα περιβάλλοντα
Κρυφοί κατάλογοι, όπως ο /data2/.ztls/, χρησιμοποιούνται για την απόκρυψη της παρουσίας του, εκμεταλλευόμενοι περαιτέρω τις εγγενείς προστασίες του FortiOS για να αποκρύπτουν τους κακόβουλους καταλόγους από τις παραδοσιακές μεθόδους εντοπισμού.
Το NCSC παρέχει ήδη δείκτες παραβίασης (IOCs) για την αναγνώριση της απειλής, περιλαμβάνοντας:
• Τη γνωστή IP διεύθυνση C2: 89.44.194.32
• Συγκεκριμένες διαδρομές αρχείων και κρυφούς καταλόγους
UMBRELLA STAND Indicators of Compromise (IOCs)
TypeDescriptionValues
IPv4C2 Infrastructure89.44.194.32
PathHidden Directory for Actor Tooling/data2/.ztls/
PathPaths Used by Actors/tmp/%d.sv, /data2/tmp/%s.ini
Επιπλέον, έχουν συμπεριληφθεί YARA rules που στοχεύουν encrypted strings και injection mechanisms, ώστε να επιτρέπεται η ανίχνευση ακόμη και σε περιβάλλοντα με προηγμένο obfuscation.
Δείτε επίσης: Το AntiDot malware έχει παραβιάσει πάνω από 3.775 συσκευές
NCSC: Ώρα για επαγρύπνηση και αναβάθμιση συστημάτων ασφαλείας
To UMBRELLA STAND malware απευθύνει ισχυρή σύσταση για ενίσχυση της επιτήρησης, εφαρμογή ενημερώσεων ασφαλείας και τακτικούς ελέγχους συστημάτων.
Η συγκεκριμένη απειλή καταδεικνύει πώς ακόμα και εξειδικευμένες συσκευές δικτύου μπορούν να γίνουν στόχος πολυεπίπεδων, στοχευμένων κυβερνοεπιθέσεων, δημιουργώντας νέες προκλήσεις για την ασφάλεια σε κάθε επίπεδο ψηφιακής υποδομής.
Δεδομένου ότι το UMBRELLA STAND malware εκμεταλλεύεται ευπάθειες για να μολύνει τα firewalls, η διατήρηση μιας στιβαρής στάσης ασφαλείας είναι ζωτικής σημασίας για την προστασία των συσκευών. Αυτό περιλαμβάνει την ενσωμάτωση πολλαπλών επιπέδων άμυνας, συμπεριλαμβανομένων των συστημάτων ανίχνευσης και πρόληψης εισβολής (IDPS), της τμηματοποίησης δικτύου και της συνεχούς παρακολούθησης για ύποπτες δραστηριότητες.
Επιπλέον, η επένδυση στην εκπαίδευση των εργαζομένων για την αναγνώριση προσπαθειών phishing και άλλων επιθέσεων social engineering μπορεί να μειώσει περαιτέρω την πιθανότητα παραβίασης συστημάτων.
Δίνοντας προτεραιότητα σε στρατηγικές προληπτικής άμυνας παράλληλα με την ταχεία επιδιόρθωση, οι οργανισμοί μπορούν να ενισχύσουν σημαντικά την ανθεκτικότητά τους έναντι τέτοιων απειλών και να προστατεύσουν την υποδομή τους από προηγμένες επιθέσεις στον κυβερνοχώρο.
Πηγή: gbhackers.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz