Great teardown of the Notepad++ breach by Rapid7: https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Definitely worth checking your logs for these IoCs. Stealth level is high. Standard AV is unlikely to detect.

#malware #stateactor #lotusblossom #notepadplusplus

63,000 Dutch police officers' sensitive data was exposed in a shocking cyberattack by a Russian-backed group. How did this breach reveal such critical vulnerabilities in government cybersecurity?

https://thedefendopsdiaries.com/the-dutch-police-breach-a-case-study-in-cybersecurity-vulnerabilities/

#dutchpolicebreach
#voidblizzard
#cybersecurity
#stateactor
#databreach

Duiding en Mitre ATT&CK mapping TK brief PolitieHack

"Zoals gemeld in mijn brief van 27 september"

• 2024-09-27 First reported

"is een politieaccount gehackt"

• Credential Access TA0006 https://attack.mitre.org/tactics/TA0006/
• Initial Access > Valid Accounts T1078 https://attack.mitre.org/techniques/T1078/

"Het lijkt te gaan om de global address list"

• Collection TA0009 https://attack.mitre.org/tactics/TA0009/
• Exfiltration TA0010 https://attack.mitre.org/tactics/TA0010/

"De AIVD en MIVD hebben de politie geïnformeerd over het cyberincident"

• Lijkt er op te duiden dat er geen (of te laat) eigen detectie was.

"[AIVD & MIVD] achten het zeer waarschijnlijk dat een statelijke actor verantwoordelijk is"

• "Zeer waarschijnlijk" is het hoogste niveau van waarschijnlijkheid van de diensten. Uit een recent stuk "Anti institutioneel extremisme in Nederland" (https://www.aivd.nl/onderwerpen/extremisme/documenten/publicaties/2023/05/25/anti-institutioneel-extremisme-in-nederland-een-ernstige-dreiging-voor-de-democratische-rechtsorde):

De AIVD geeft de onzekerheden in deze inschattingen aan door gebruik te maken van ‘waarschijnlijkheidstermen’. Van minst tot meest waarschijnlijk zijn dit: ‘onwaarschijnlijk’, ‘twijfelachtig’, ‘mogelijk’, ‘waarschijnlijk’ en ‘zeer waarschijnlijk’.

Next steps

Concrete duidelijkheid over alle punten waar we nu alleen de algemene "TA" duiding hebben, is relevant voor verdere detectie bij eventuele andere, en toekomstige slachtoffers.

Mitre ATT&CK (https://attack.mitre.org/tactics/enterprise/) heeft voor zover ik kan nagaan zwakke of geen goede adversary technieken en/of mitigatie technieken voor dit type aanval. Die stappen toevoegen gaat het model ook verder helpen.

Bronnen:

• Tweede Kamer brief: https://open.overheid.nl/documenten/dpc-6bb8e12115dcff7c81a03663a4e340f79fb2ec2f/pdf
• Interview met Corpschef Nationale Politie: https://npo.nl/start/serie/nieuwsuur/seizoen-2024/nieuwsuur_4863/afspelen

#infosec #dataleak #politiehack #StateActor #mitreattack

Excellent #infographic on #phishing techniques released by #CISA

https://www.cisa.gov/sites/default/files/publications/phishing-infographic-508c.pdf

#infosec #security #hacking #blackhat #stateactor

Holla!
„USA: Betrieb von Ölpipeline nach Hackerangriff eingestellt”

Die größte Pipeline der USA versorgt etwa 50 Millionen Verbraucher.

Laut CNBC wohl #Ransomware und kein #stateactor, aber könnte noch spannend werden. 😕

https://www.deutschlandfunk.de/usa-betrieb-von-oelpipeline-nach-hackerangriff-eingestellt.1939.de.html?drn:news_id=1257056
https://www.cnbc.com/2021/05/08/colonial-pipeline-shuts-pipeline-operations-after-cyberattack.html

#colonial #hack