Вернуться назад

Дайджест информационной безопасности №211 за период с 26 апреля по 14 мая 2021

14.05.2021

Новости ИБ

Новая вредоносная кампания поразила пользователей мобильной операционной системы Android. Участвующий в атаках зловред Flubot крадёт пароли, данные банковских приложений и другую конфиденциальную информацию. Жертвам приходит сообщение с предложением установить программу по отслеживанию посылок, которая и является трояном. По словам экспертов, Flubot заразил уже 60 тыс. устройств и угрожает российским пользователям.
Специалисты компании Apple выпустили обновление безопасности для операционной системы macOS, устраняющее уязвимость нулевого дня (CVE-2021-30657). Ее эксплуатация позволяла обойти все меры безопасности ОС и запускать произвольное программное обеспечение на компьютерах под управлением macOS.
Операторы шифровальщика Babuk заявили, что намерены прекратить работу. На сайте группировки появилось новое сообщение, озаглавленное «Hello World 2», где преступники пишут, что достигли поставленных целей и решили свернуть свои операции.
Администрация менеджера пакетов для PHP Composer распространили обновление для устранения критической уязвимости. Она может позволить злоумышленнику выполнять произвольные команды и скрыть каждый пакет PHP, что приводит к атаке на цепочки поставок.
Компания Google анонсировала выпуск Chrome 90.0.4430.212 для Windows, macOS и Linux. Новая сборка браузера содержит патчи для 19 уязвимостей. Степень опасности 13 из них оценена как высокая.
Adobe выпустила большой патч безопасности Patch Tuesday, в котором исправлены уязвимости в двенадцати различных приложениях, включая одну активно эксплуатируемую уязвимость Adobe Reader.
Специалисты компании Pradeo предупредили о новом вредоносном ПО для Android, выдаваемом злоумышленниками за приложение Google Chrome. Киберпреступники используют фишинг для похищения учетных данных пользователей. По словам специалистов, за последние несколько недель поддельный Google Chrome был установлен на сотни тысяч Android-устройств.
Компания Microsoft выпустила инструмент с открытым исходным кодом Counterfit, который помогает разработчикам тестировать безопасность систем искусственного интеллекта.

Интересные посты русскоязычных блогов по ИБ

В блоге VDSina рассказывается про New IP — следующий этап развития Интернета или ужесточение контроля над пользователями. Аналогично принципу ранжирования пользователей интернета в Китае, компания Huawei разработала новый стек протоколов, с которым провайдеры могут блокировать доступ в сеть любого пользователя с низким рейтингом.
При проведении теста на проникновение внутренней сети предприятия, одним из первых рассматриваемых векторов атак на сети Windows является поиск и компрометация неподдерживаемых ОС. Пользователь Хабра поделился свои кейсом поиска неподдерживаемых ОС Windows в локальной сети предприятия с числом хостов более 10 000, предположительно имеющих публичные эксплойты SMB.
Для обеспечения безопасности приложений используются такие механизмы как аутентификация и авторизация. Пользователь DDtKey в статье на Хабре сфокусировался на понятии авторизации и связанных с ней моделях контроля доступом.
Saipr5 рассказал про инфраструктуру открытых ключей на базе российской криптографии GnuTLS. По аналогии с утилитой openssl в проекте OpenSSL, в проекте GnuTLS имеется утилита certtool, которая по своим функциональным возможностям не уступает утилите openssl.
Эксперты R‑Vision и RST Cloud посвятили пост источникам Threat Intelligence. В статье объясняется, какие могут быть сложности при сборе индикаторов из открытых источников, от чего зависят структура и формат фидов и какие метрики помогают оценить их полезность, а также на реальном примере показано показано, что можно узнать из фида.

Интересные посты англоязычных блогов по ИБ

Компания CyberSaint выделила 5 шагов, которые необходимо предпринять для совершенствования системы управления рисками корпоративной компании и повышения уровня зрелости.
Shiela Pulido рассказала о связи переводов текстов и конфиденциальности данных. Для перевода критически важных документов, электронных писем, а также информации о компании и состоянии здоровья сотрудников важно привлекать надежную компанию, которая сможет обеспечить безопасность данных.
Grayson Milbourne в своем посте говорит о плачевном состоянии кибербезопасности в критической инфраструктуре США и предлагает свое видение методов повышения киберустойчивости.

Исследования и аналитика

Qrator Labs представила исследование, в котором изучила масштаб киберугроз и, в частности, угрозы DDoS-атак в российском финансовом секторе, а также оценить динамику бюджетов организаций на ИБ. Наиболее существенные последствия от инцидента ИБ – в первую очередь финансовые, считают 82% опрошенных. При этом на втором месте находятся последствия от утечек пользовательских данных (71%).
Исследователи из Microsoft выявили схожие уязвимости в двух десятках прошивокподключенных к интернету устройств, используемых в промышленном производстве, медицинских учреждениях, корпоративных и домашних сетях. Проблемы, объединенные под общим именем BadAlloc, позволяют обойти защиту и удаленно выполнить вредоносный код в целевой системе.
Согласно новому исследованию (ISC)², при составлении требований к вакансиям в сфере кибербезопасности существуют нереалистичные ожидания. Должностные инструкции либо перегружаются слишком большим количеством обязанностей, либо устанавливаются нереалистичные требования к опыту для начального и даже среднего звена.
В новом отчете Check Point о безопасности за 2021 год можно узнать о последних угрозах, нацеленных на общедоступные облака, и о том, как их можно уменьшить. В отчете рассказывается, как хакеры и преступники использовали пандемию COVID-19 в 2020 году для атаки на все секторы бизнеса, и описываются используемые ключевые тактики, начиная от облачных эксплойтов до фишинга и программ-вымогателей.
Apple удалось пресечь потенциально мошеннические транзакции в App Store на общую сумму в размере более $1,5 млрд в 2020 году. Такие данные приводятся во вторник на официальном сайте компании.
Отчет Flurry показывает, что пользователи iPhone и iPad активно отказывают практически всем сторонним приложениям в слежке. В исследовании говорится, что лишь 11% пользователей айфонов по всему миру разрешили приложениям отслеживать их данные. В США этот процент совсем ничтожный — 4%.
Компания Splunk опубликовала отчет по вредоносному ПО в мае 2021. В отчете рассматриваются наиболее распространенные типы вредоносных программ, а также даются советы по защите данных. В том числе авторы выделили несколько угроз и субъектов угроз, о которых необходимо знать.
Согласно отчету Synack Signals in Security Report, рентабельность инвестиций в безопасность (ROI) и способность команды безопасности оставаться в рамках бюджета стали для руководителей более важными показателями в этом году. При этом важность общих операционных метрик, такие как количество и серьезность обнаруженных уязвимостей, степень эффективности команд в устранении проблем и длительность проблем в ИТ-среде, снизилась.
СISA выпустила отчеты о новом вымогателе FiveHands. В отчётах описаны техники, тактики и процедуры, которые используют злоумышленники во время атаки. Кроме того, эксперты CISA рассказали об индикаторах компрометации и потенциальных мерах по защите, обнаружению и реагированию на такие типы атак.
Лаборатория Касперского выпустила отчет DDoS-атаки в I квартале 2021 года. В первом квартале 2021 года появились два новых ботнета: FreakOut и Matryosh, а также очередной вариант Mirai. Кроме того, за первый квартал 2021 года злоумышленники нашли сразу несколько новых инструментов амплификации DDoS-атак.
В отчете Лаборатории Касперского Спам и фишинг в I квартале 2021 года говорится о продолжении трендов 2020 года. Злоумышленники все так же активно используют тему COVID-19 и вакцинации для привлечения внимания потенциальных жертв. А фишеры, специализирующиеся на личных учетных записях, по-прежнему активно подделывают страницы онлайн-магазинов, популярность которых возросла из-за связанных с пандемией ограничений.
Dr.Web опубликовали обзор вирусной активности в апреле 2021 года. В апреле анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 1,73% по сравнению с мартом. При этом количество уникальных угроз снизилось на 35,6%. Большинство детектирований по-прежнему приходится на долю рекламных программ и нежелательных приложений.
Второй обзор Dr.Web касается вирусной активности для мобильных устройств в апреле 2021 года. Компания сообщила об обнаружении трояна Android.Triada.4912, встроенного в одну из версий клиентского приложения популярного стороннего каталога Android-программ APKPure. В то же время в официальном каталоге Google Play вновь были выявлены очередные трояны из семейства Android.FakeApp. Они распространялись под видом полезных программ и загружали различные мошеннические сайты.

Громкие инциденты ИБ

Группа хакеров, похитившая более 250 гигабайт данных у полиции в Вашингтоне, опубликовала в интернете 22 документа с личными данными офицеров и заявление, что выдаст пароли, если выкуп не будет выплачен.
Жертвой шифровальщика DarkSide стала американская компания Colonial Pipeline, которая является крупнейшим в США оператором трубопроводов и занимается транспортировкой топлива. Из-за атаки возникли проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в ряде штатов, в результате чего был введен региональный режим ЧС.
В прошлом месяце организация Water Action Response Network, в которую входят коммунальные предприятия, сообщила о том, что две системы водоснабжения подверглись кибератаке. Хакеры установили в сетях предприятий web-оболочку для удаленного доступа к ним.
Группа хакеров получила доступ к конфиденциальным и учетным данным, связанным с десятками миллионов клиентов, водителей и сотрудников испанского приложения доставки Glovo.
Суд штата Риу-Гранди-ду-Сул в Бразилии атаковали с помощью программы-вымогателя REvil. В ходе атаки были зашифрованы файлы сотрудников, а суд был вынужден отключить свою сеть.
Ростелеком-Солар, совместно с НКЦКИ выявили серию целенаправленных атак профессиональной кибергруппировки на российские органы государственной власти. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.