NPM Supply Chain napad: Kompromitiran avtor paketov z 2 milijardama tedenskih prenosov
Danes zjutraj je kibernetska skupnost doživela resen pretres – kompromitiran je bil razvijalec qix, avtor izjemno priljubljenih paketov chalk in debug-js, ki skupaj beležita več kot 2 milijardi prenosov na teden.
Kako se je napad začel?
Vse se je začelo z ciljanim phishing e-mailom, ki je prihajal iz lažne domene npmjs[.]help. Napadalcem je uspelo ukrasti prijavne podatke in 2FA dostop, nato pa so v vse njegove pakete vgradili zlonamerno kodo.
Kaj je počel malware?
Zlonamerna koda je bila zasnovana kot crypto-stealer, ki je izvajal naslednje aktivnosti:
“Hook”-al window.ethereum in Solana API-je
Preusmerjal Ethereum transakcije na naslov 0xFc4a4858…
Zamenjeval kripto naslove v JSON odgovorih s 280 hardkodiranimi naslovi
Kolikšna je bila škoda?
Finančni izkupiček napadalcev je bil presenetljivo majhen – nekaj centov v ETH in približno 20 USD v memecoin-ih. Toda prava škoda se meri drugače:
Ogroženi milijoni končnih uporabnikov
Tisoče ur izgubljenega inženirskega dela
Še višji varnostni stroški za podjetja in razvijalce
Kaj lahko storite, če uporabljate npm?
Če uporabljate npm, priporočamo naslednje korake:
Preverite node_modules za sumljivo kodo (grep -R 'checkethereumw').
Počistite npm cache z ukazom npm cache clean --force.
Dvakrat preverite naslove transakcij, ki jih podpisujete.
Orodja za preverjanje
Za pomoč pri preverjanju lahko uporabite naslednji skripti:
HTTP/1.1 mora umreti: zakaj desinhronizacija ubija varnost in zakaj je čas za HTTP/2
1) Zakaj je HTTP/1.1 tako ranljiv
HTTP/1.1 trpi zaradi “dvoumnih” zahtevkov: različne naprave (CDN-ji, WAF-i, reverse proxyj-i, aplikacijski strežniki) lahko različno razčlenjujejo glave in telo (Content-Length vs. Transfer-Encoding, presledki, CR/LF odstopanja). Napadalci to izkoristijo za request smuggling/desync – prisilijo “front-end” in “back-end” v nesoglasje o tem, kje se en zahtevek konča in začne naslednji, kar odpre vrata za zastrupljanje predpomnilnikov, krajo sej, SSRF in obvode WAF-a. PortSwigger je letos pokazal nove razrede teh napadov in jasno sporočilo z Black Hat: desync je še vedno povsod, še posebej tam, kjer se HTTP/2 potiho pretvarja v HTTP/1.1 zadaj.
Dodaten problem je “nevidno zniževanje protokola”: mnogi robni sistemi sprejemajo HTTP/2 od brskalnika, nato pa tiho pretvorijo promet v HTTP/1.1 proti aplikaciji. Ta dodatna plast kompleksnosti spet odpre stara vrata za desync, če parserji na poti niso popolnoma skladni.
Opomba: tudi HTTP/2 ni čarobna krogla – v 2023 smo videli Rapid Reset (CVE-2023-44487), kjer napadalec zlorabi multiplexing in s hitrim pošiljanjem/preklicevanjem streamov povzroči nesorazmeren porast porabe CPU (DoS). To je treba zakrpati in omejevati, a ranljivost je drugačnega tipa kot klasični desync v HTTP/1.1.
2) Kako napadalci pristopijo (na visoki ravni – za modre ekipe)
Iščejo neskladja parserjev: primerjajo, kako rob (CDN/reverse proxy) in aplikacijski strežnik obravnavata CL/TE, neobičajne presledke, glave “TE: trailers” ipd. Razlike nakazujejo potencial za desync.
Izrabljajo “HTTP/2 → HTTP/1.1” znižanja: ciljajo poti, kjer front-end sprejme h2, back-end pa pričakuje h1. Če se pravila razmejitve razlikujejo, lahko s “fantomskim” delom zahteve manipulirajo naslednji zahtevek žrtve.
Posledice uspešnega desynca: zastrupljanje cache-a (stran A vrne vsebino B), kraja sej ali prijavnih tokov, obvoz WAF-a in interni “pivot” (SSRF).
Za DoS na h2: poskušajo “Rapid Reset” – množično odpiranje in takojšnje resetiranje streamov, kar ceneje izčrpava strežnik. Obramba: posodobitve in omejitve stopnje/streamov.
3) Remediacija: prehod na HTTP/2 + varne nastavitve (Apache & Nginx)
Ključna načela
TLS + ALPN: za brskalnike se HTTP/2 pogaja prek ALPN pri TLS; ne zanašajte se na Upgrade: h2c. Onemogočite h2c (cleartext).
Doslednost na poti: zmanjšajte ali odstranite “nevidna znižanja” (CDN/reverse proxy → origin). Če znižanje ostane, poskrbite za enoten, strogo skladen parsing na vseh točkah.
Posodobitve: namestite popravke proti CVE-2023-44487 in uvedite omejitve (rate limiting, max concurrent streams, request buffering).
Apache (2.4+)
Omogočite module in ALPN h2 v TLS vhostu (443):
a2enmod http2 ssl headers
<VirtualHost *:443>
ServerName example.com
SSLEngine On
SSLCertificateFile /pot/do/fullchain.pem
SSLCertificateKeyFile /pot/do/privkey.pem
# HTTP/2 prek ALPN, brez h2c
Protocols h2 http/1.1
# (priporočeno) MPM event + PHP-FPM namesto prefork+mod_php
# in redni varnostni headerji ...
</VirtualHost>
Za stabilnost/zmogljivost preklopite na mpm_event + PHP-FPM (HTTP/2 in prefork se slabše razumeta). Uradna dokumentacija: mod_http2 in vodič za HTTP/2.
Dodatno:
Onemogočite h2c, zanašajte se na h2 (TLS/ALPN).
Če uporabljate posrednike, testirajte CL/TE skladnost (desync) na stagingu.
Nginx
V strežniškem bloku za HTTPS dodajte http2 (in uporabite veljaven certifikat):
To omogoči HTTP/2 na robu. Poskrbite za TLS in redno posodabljajte Nginx na izdaje, ki naslovijo h2 DoS (Rapid Reset).
Opomba: nekateri reversni proxyji/CDN-ji lahko še vedno govorijo HTTP/1.1 proti originu. Kjer je to mogoče, izberite pot, ki ne uvaja skrite pretvorbe ali zagotovite identična pravila razčlenjevanja ter testirajte desync scenarije (PortSwigger priporočila)
Povzetek
Ključ do varnosti je doslednost na vseh sklopih (edge ↔ origin), izklop h2c, redne posodobitve in preizkusi desync na stagingu.
HTTP/1.1 je nagnjen k desyncu zaradi zgodovinskih dvoumnosti.
HTTP/2 prinaša varnejše ograje (in boljšo zmogljivost), a zahteva pravilno ALPN/TLS nastavitev in popravke (npr. Rapid Reset).
Datum: 31. avgust 2025 Grožnja: Lumma Stealer (aka LummaC2 / LummaC) – Windows infostealer (MaaS) Vrsta indikatorja: Domena (C2) Indikator:larpfxs[.]top Zanesljivost: Visoka
Na kratko (TL;DR): Blokirajte larpfxs[.]top na ravni DNS/HTTP(S)/EDR. Preiščite zadnje razreševanje ali povezave, rotirajte poverilnice/žetone za prizadete uporabnike ter poiščite artefakte infostealerja in morebitne kasnejše naloge (follow-on payloads).
Kaj je Lumma Stealer?
Lumma Stealer je na Windows usmerjen malware-as-a-service (MaaS) infostealer, ki ga od leta 2022 naprej upravlja več povezanih akterjev. Specializira se za pridobivanje visoko vrednih podatkov – shranjenih poverilnic v brskalnikih, piškotkov in sejnih žetonov, podatkov iz AutoFill/kreditnih kartic, artefaktov kripto denarnic in prstnih odtisov gostitelja – ter njihovo eksfiltracijo na C2 panele pod nadzorom napadalcev. Pogoste dostavne poti vključujejo phishing, malvertising in lažne installerje/cracke, ki jih širijo prek TDS (traffic distribution systems) in vabnih strani (npr. fake CAPTCHA). Ker povezani akterji infrastrukturo pogosto rotirajo, naj bodo obramba in detekcije na vedenjski osnovi prednostna naloga, ob boku IoC-jem.
Kaj se je zgodilo
Viri groženj so označili larpfxs[.]top kot aktivno C2 infrastrukturo Lumma Stealer, z ruskojezično prijavo, značilno za Lumma C2 panele, in s svežo aktivnostjo na 31. avgust 2025.
Zakaj je pomembno
Kompromisi z infostealerji so pogosto prva domina v širšem vdoru: ukradene poverilnice in sejni žetoni omogočajo lateralno gibanje, prevzem SaaS računov in finančne zlorabe. Zaradi povezanega modela in hitre rotacije infrastrukture Lumma ohranja pritisk na ekipe za detekcijo in odziv – blokada ene domene ni dovolj brez širšega lova na vedenje infostealerja in naknadne beacon komunikacije.
Povzetek indikatorja
Polje
Vrednost
Vrsta
Domena
Indikator
larpfxs[.]top
Grožnja
Lumma Stealer C2
Prvič viden (UTC)
2025-08-31 20:26:53
Zanesljivost
Visoka
Vir
Skupnostni threat intel
Takojšnji ukrepi (najprej naredite to)
Blokirajtelarpfxs[.]top na DNS resolverju, varnem spletnem prehodu/proxyju ter v EDR/požarnem zidu na odjemalcih.
Poiščite in zajezite vse naprave, ki so od 2025-08-24 (min. 7-dnevni pogled nazaj) razrešile ali kontaktirale to domeno.
Ponastavite/rotirajte poverilnice prizadetih uporabnikov; prekličite in ponovno izdajte SSO/oblačne/SaaS žetone.
Lovite artefakte infostealerja: dokazi o masovnem dostopu do podatkov brskalnika, izvoz poverilnic ter naknadni payloadi (loaderji/RAT-i).
Vodič za detekcijo in threat hunting
Prilagodite imena polj svoji shemi SIEM/EDR. Spodaj so izhodišča.
1) DNS / Proxy
Splunk (proxy/web):
index=proxy (dest_host="larpfxs.top" OR url="*://larpfxs.top/*")
| stats values(user) values(src_ip) values(http_user_agent) min(_time) max(_time) by dest_host
Splunk (DNS, vklj. Sysmon Event ID 22):
(index=dns OR source="Microsoft-Windows-Sysmon/Operational")
(query="larpfxs.top" OR QueryName="larpfxs.top")
| stats values(Computer) values(User) values(src_ip) min(_time) max(_time) by QueryName
Elastic (ECS):
dns.question.name : "larpfxs.top" or url.domain : "larpfxs.top"
2) Odjemalec / EDR
Iščite:
Procese, ki berejo shranjene datoteke brskalnikov: Login Data, Cookies, Web Data (Chromium/Firefox profili).
Neobičajne vzorce dostopa, ki jim sledi odhodni HTTPS na nepreverjene domene (vklj. larpfxs.top).
Tipične procesne verige infostealerjev z zlorabo LOLBIN orodij (mshta, rundll32, powershell) tik pred omrežno eksfiltracijo.
Preventivni ukrepi
Egress kontrola: privzeto zavrnitev; dovolilni seznami poslovnih domen; “sink-hole” znanih zlonamernih domen.
Utrjevanje (hardening): obvezni upravljalniki gesel + strojni varnostni ključi; onemogočite shranjevanje gesel v brskalnikih za skrbnike.
Kontrola aplikacij: omejite interpreterje skript in blokirajte neznane razširitve brskalnikov.
E-pošta/splet: peskovnik (sandbox) za priponke; omejite prenose izvršljivih datotek iz rizičnih kategorij.
Telemetrija: omogočite DNS beleženje (odjemalec in resolver), proxy dnevnike, Sysmon (vklj. DNS) in hranite forenziko brskalnikov.
Pravila Sigma (primeri)
DNS poizvedba za larpfxs.top (Sysmon/EDR DNS)
title: DNS Query for Lumma C2 Domain larpfxs.top
id: 0e2f1c4c-43a1-4bc1-9c18-7c4a3f1c9c21
status: experimental
logsource:
product: windows
service: sysmon
category: dns_query
detection:
selection:
QueryName|endswith: "larpfxs.top"
condition: selection
fields:
- Image
- QueryName
- User
- ComputerName
falsepositives:
- Unlikely
level: high
tags:
- attack.T1041
- attack.T1071.001
Spletna zahteva na larpfxs.top (proxy/ECS)
title: Web Request to Lumma C2 Domain larpfxs.top
id: 7b7f0a3e-a8e0-4e93-bad5-9f5a26d62255
status: experimental
logsource:
product: webserver
category: webserver
detection:
selection:
http.hostname|endswith: "larpfxs.top"
condition: selection
level: high
Suricata (omrežni senzor)
Ujemanje TLS SNI
alert tls any any -> any any (
msg:"Lumma C2 SNI: larpfxs.top";
tls.sni; content:"larpfxs.top"; nocase;
priority:1; classtype:trojan-activity; sid:42002501; rev:1;
)
Forenzični in triažni kontrolni seznam
Plen iz brskalnika: pregled shrambe poverilnic (Chrome/Edge/Firefox), piškotkov, sejnih žetonov; pozorni bodite na masovni dostop.
Persistenca: preverite Run ključe, Startup mape, Scheduled Tasks in poti odlaganja v slogu %AppData%\Roaming, ki jih pogosto zlorabljajo stealerji.
Naknadni payloadi: povezani akterji pogosto po eksfiltraciji uvajajo loaderje/RAT-e – preglejte za sekundarne beacon-e ali implante.
Kako si lahko pomagate s ThreatSonarjem (TeamT5)
Kaj je ThreatSonar (na kratko): ThreatSonar je orodje za proaktivni threat hunting/compromise assessment, namenjeno hitremu odkrivanju latentnih groženj in povezovanju sledi napadalcev. Sorodni izdelek ThreatSonar Anti-Ransomware deluje kot EDR s funkcijami stalnega nadzora, vizualizacije incidentov ter izolacije končnih točk.
1) Hiter “Compromise Assessment” po vseh endpointih
Zaženite široki pregled (scan) čez vse končne točke in strežnike, da preverite morebitne indikatorje kompromisa in nenavadno vedenje. ThreatSonar je zasnovan za kompromisne ocene in odzive na incidente, kar MSSP/SOC ekipam omogoča hitrejše ugotavljanje “zdravja” okolja.
2) Specifičen IOC watch za larpfxs[.]top
V ThreatSonarju nastavite watchlist in detekcije za to domeno:
DNS: ujemanje poizvedb za larpfxs.top (client DNS telemetry).
Spletni promet: ujemanje HTTP Host / TLS SNI za larpfxs.top.
Časovna korelacija: povezava omrežnih dogodkov s procesi, ki dostopajo do datotek brskalnikov (npr. Login Data, Cookies, Web Data). V EDR modulu ThreatSonar Anti-Ransomware lahko takšno vedenje povežete v incident z vizualizacijo poti napada.
3) Avtomatiziran odziv in zajezitev
Za pozitivne zadetke konfigurirajte samodejne akcije:
Isolate endpoint (omrežna izolacija) in on-demand rescan.
Samodejno ustvarjanje povzetkov incidenta z mapiranjem na MITRE ATT&CK taktike/tehnike za hitrejšo triažo. Ti koraki skrajšajo čas odziva in zmanjšajo širjenje grožnje po notranjem omrežju.
4) Lov na vedenjske TTP-je (onkraj ene domene)
Poleg same domene larpfxs[.]top v ThreatSonarju lovite vedenje značilno za infostealerje: masovni dostop do shrambe brskalnikov, eksfiltracija prek HTTPS kratek čas po takih aktivnostih, ter verige LOLBIN (npr. mshta, rundll32, powershell). Detekcije naj temeljijo na kombinaciji procesnih/omrežnih sledi in naj sprožijo vizualiziran incident za nadaljnje vertikalne premike (pivot).
5) Poročanje, ponovljivost in integracije
Za MSSP-je: standardizirajte “intake → scan → triage → response → report” tok, da skrajšate “time-to-value” pri več strankah.
Uporabite auto-generiran povzetek incidenta kot uradni artefakt za ticketing/IR poročila.
Načrtujte periodične preglede poročil (tedensko/mesečno) in integracijo z vašim SIEM/SOAR za korelacije na ravni podjetja.
Opozorila o izkoriščanju SAP NetWeaver: CVE-2025-31324
Kibernetsko obveščanje o grožnjah
Naslednji blog zapis temelji na poročilu May H1 Vulnerability Insights Report ekipe TeamT5 Vulnerability Research Team. Za več informacij o tej ranljivosti, podrobnejše smernice za odziv ter pomoč pri zaščiti in krepitvi kibernetske varnosti vaših informacijskih sistemov nas lahko kontaktirate na info@cyber-sec.si. Naša ekipa strokovnjakov vam lahko pomaga pri izvedbi varnostnih pregledov, odkrivanju morebitnih kompromitacij, implementaciji zaščitnih ukrepov ter vzpostavitvi dolgoročne strategije za zmanjšanje kibernetskih tveganj.
Aktivno izkoriščanje CVE-2025-31324 v SAP NetWeaver
TeamT5 je zaznal, da je kritična ranljivost (CVE-2025-31324) v SAP NetWeaver aktivno izkoriščena s strani kitajske APT skupine Amoeba (znana tudi kot APT41). Najzgodnejši zaznani primer izkoriščanja s strani Amoeba sega v maj 2025, medtem ko javna poročila kažejo, da je bilo izkoriščanje ničelnega dne zaznano že januarja 2025. Napadalci so po uspešni zlorabi ranljivosti namestili webshell in zlonamerno programsko opremo, kot sta vshell in CobaltStrike Beacon.
Poleg tega je nadaljnja preiskava pokazala, da je bilo prizadetih več velikih ponudnikov storitev v oblaku. Več kot 100 subjektov, vključno z Google Cloud, Microsoft Azure in Amazon Web Services, je bilo kompromitiranih z webshell-om. Žrtve so bile v Tajvanu, Južni Koreji, Kitajski, Indiji, ZDA, Španiji, Turčiji, Rusiji, Nemčiji, Gvatemali, Saint Barthélemyju in Čilu, med sektorji pa so bili izobraževanje, proizvodnja, avtomobilska industrija, reciklaža, turizem, IT, prehrana in pijača…
Povzetek za vodstvo
Ocenjujemo, da je resnost ranljivosti CVE-2025-31324 kritična, in pozivamo stranke, naj uporabijo to poročilo za zmanjšanje vpliva. CVE-2025-31324 je ranljivost za neavtoriziran prenos datotek v SAP NetWeaver Visual Composer Metadata Uploader. S CVSS oceno 9.8 omogoča uspešno izkoriščanje ranljivosti neavtoriziranemu napadalcu nalaganje webshell-a in namestitev zlonamerne programske opreme.
SAP je ranljivost odpravil v varnostnem opozorilu, izdanem maja 2025. Kljub temu so bila javna poročila in Proof-of-Concept (PoC) za CVE-2025-31324 objavljena že od aprila 2025, medtem ko poročila kažejo, da se je ranljivost aktivno izkoriščala kot napad ničelnega dne že januarja 2025.
Na podlagi preiskave in trenutnega stanja izkoriščanja CVE-2025-31324 smo v tem poročilu prikazali forenzične artefakte, v Prilogi I navedli zlonamerno programsko opremo, v Prilogi II pa kazalnike kompromitacije (IoC). Najpomembneje je, da smo pripravili obsežen nasvet za omilitev in odziv za naše stranke.
Povzetek stanja izkoriščanja
Poleg APT dejavnosti je preiskava pokazala, da so bili kompromitirani tudi veliki ponudniki storitev v oblaku (Google Cloud, Microsoft Azure, AWS) z več kot 100 prizadetimi organizacijami.
CVE-2025-31324 izkorišča kitajska APT skupina Amoeba od maja 2025.
Amoeba je ranljivost uporabila v napadih proti Indiji, Nemčiji, Turčiji, Španiji, ter v sektorjih reciklaže, avtomobilske industrije in turizma.
Kot začetno nalogo so napadalci naložili webshell, nato pa namestili CobaltStrike Beacon in vshell.
C2 strežniki zlonamerne programske opreme: 43.133.196.194 in 101.32.26.154.
Prizadeti izdelki
Izdelek: SAP NetWeaver (Visual Composer razvojni strežnik)
Verzija: VCFRAMEWORK 7.50
Navodila za omilitev in odziv
Uradne informacije
Uspešno izkoriščanje omogoča neavtoriziranemu napadalcu nalaganje webshell-a in nameščanje zlonamerne programske opreme.
Vnos pri izkoriščanju: ATTACKER_IP : POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 HTTP/1.1 200
Vnos pri dostopu do webshell-a: ATTACKER_IP : GET /irj/helper.jsp?cmd=COMMAND HTTP/1.1 200
Tabela zlonamerne programske opreme
Ime
Tip
Opis
vshell
RAT
Odprtokodni RAT z možnostjo tuneliranja, prikritih kanalov in simulacij APT taktik. Uporablja se v vajah rdeče-modrih ekip.
CobaltStrike Beacon
RAT
Plačljivo orodje za penetracijsko testiranje, ki ga pogosto zlorabljajo napadalci. Omogoča keylogging, prenos datotek, proxy SOCKS, eskalacijo privilegijev, uporabo Mimikatz ipd.
Kitajsko-povezana APT skupina izkorišča ranljivost v Ivanti Connect Secure VPN za vdor v več organizacij
Kibernetsko-obveščevalne grožnje
Naslednji blog zapis temelji na poročilu ekipe TeamT5 Vulnerability Research Team. Za več informacij o tej ranljivosti, podrobnejše smernice za odziv ter pomoč pri zaščiti in krepitvi kibernetske varnosti vaših informacijskih sistemov nas lahko kontaktirate na info@cyber-sec.si. Naša ekipa strokovnjakov vam lahko pomaga pri izvedbi varnostnih pregledov, odkrivanju morebitnih kompromitacij, implementaciji zaščitnih ukrepov ter vzpostavitvi dolgoročne strategije za zmanjšanje kibernetskih tveganj.
V poznem marcu je bilo zaznano, da je kitajsko-povezana APT skupina izkoristila kritično ranljivost v napravah Ivanti Connect Secure VPN za vdor v več organizacij po vsem svetu. Med žrtvami je skoraj dvajset različnih industrij v dvanajstih državah. Menimo, da je napadalec v času analize še vedno ohranjal nadzor nad omrežji žrtev.
Žrtve
Med prizadetimi državami so Avstrija, Hrvaška, Avstralija, Francija, Španija, Japonska, Južna Koreja, Nizozemska, Singapur, Tajvan, Združeni arabski emirati, Združeno kraljestvo in Združene države Amerike. Targetirane industrije vključujejo avtomobilsko industrijo, kemijsko industrijo, skupine podjetij, gradbeništvo, informacijsko varnost, izobraževanje, elektroniko, finančne institucije, igralništvo, vlado, medvladne organizacije (IGO), informacijsko tehnologijo, odvetniške pisarne, proizvodnjo, materiale, medije, nevladne organizacije (NVO), raziskovalne inštitute ter telekomunikacije.
Podrobnosti grožnje
Analiza z visoko stopnjo zaupanja ocenjuje, da je napadalec izkoriščal ranljivosti v napravah Ivanti Connect Secure VPN za izvajanje napadov po vsem svetu. Verjetno je izkoristil ranljivosti CVE-2025-0282 ali CVE-2025-22457 za pridobitev začetnega dostopa.
Tako CVE-2025-0282 kot CVE-2025-22457 sta ranljivosti tipa “stack buffer overflow” v Ivanti Connect Secure VPN z oceno CVSS 9,0. Uspešno izkoriščanje omogoča napadalcu oddaljeno izvajanje kode, kar vodi v vdor v notranje omrežje in namestitev zlonamerne programske opreme.
V napadu je napadalec uporabil skupno orožje, ki ga uporabljajo kitajske grožbene skupine, imenovano SPAWNCHIMERA. SPAWNCHIMERA je razvit posebej za Ivanti Connect Secure VPN in vsebuje vse funkcionalnosti razvpite družine SPAWN, vključno z:
SPAWNANT (namestitveni program),
SPAWNMOLE (SOCKS5 tuneler),
SPAWNSNAIL (SSH stranska vrata),
SPAWNSLOTH (brisalec dnevnikov).
Poleg tega še nakazuje, da bi lahko tudi drugi napadalci pridobili informacije o ranljivosti in začeli lastne kampanje proti napravam Ivanti VPN. Od aprila opažamo množične poskuse izkoriščanja naprav Ivanti VPN. Čeprav je večina poskusov spodletela, je veliko naprav Ivanti VPN postalo neodzivnih in nestabilnih.
Močno priporočamo, da prizadete organizacije izvedejo temeljito preiskavo incidenta. Glede na raznolike TTP-je napadalca, kot so večplastna C2 infrastruktura, izogibanje mehanizmom nadzora in uporaba brisalcev dnevnikov, bo brez dodatne tehnične podpore izziv zaznati zlonamerne sledi napadalca v omrežju.
UPRAVLJANJE SOGLASIJ
Za zagotavljanje najboljše izkušnje uporabljamo tehnologije, kot so piškotki, za shranjevanje in/ali dostop do informacij na napravi. S privolitvijo za uporabo teh tehnologij nam omogočite obdelavo podatkov, kot so vedenje pri brskanju ali enolični identifikatorji na tem spletnem mestu. Če ne podate privolitve ali jo prekličete, lahko to negativno vpliva na določene funkcije in lastnosti.
Funkcionalnosti
Always active
Tehnično shranjevanje ali dostop je nujno potreben za zakonit namen omogočanja uporabe določenega servisa, ki ga naročnik ali uporabnik izrecno zahteva, ali izključno za namen izvajanja prenosa komunikacije preko elektronskega komunikacijskega omrežja.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistika
The technical storage or access that is used exclusively for statistical purposes.Tehnično shranjevanje ali dostop, ki se uporablja izključno za anonimne statistične namene. Brez sodnega poziva, prostovoljne skladnosti vašega ponudnika internetnih storitev ali dodatnih zapisov tretjih oseb, informacij, shranjenih ali pridobljenih izključno za ta namen, običajno ni mogoče uporabiti za vašo identifikacijo.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
![IOC Opozorilo: Prepoznana Lumma Stealer C2 domena – larpfxs[.]top](https://cyber-sec.si/wp-content/uploads/2025/09/LummaStealer.png)
