Дайджест ИБ №238 за период с 30 мая по 10 июня 2022

Новости законодательства

• ФСТЭК сообщило о разработке новой тестовой версии Банка данных угроз безопасности информации, который включает и средство автоматизации моделирования угроз.

Новости ИБ

• Исследователи из HP зафиксировали спам-рассылки, нацеленные на засев троянского загрузчика, которому было присвоено кодовое имя SVCReady. Зловред примечателен тем, что его цепочка заражения включает шелл-код, спрятанный в свойствах вложенного файла.
• В GitLab устранили критическую уязвимость CVE-2022-1680, эксплуатация которой могла привести к захвату учетной записи. Суммарно в продуктах Community и Enterprise Edition были исправлены 8 уязвимостей.
• Разработчики Atlassian предупредили, что Confluence Server и Data Center подвержены критической уязвимости, которую несколько хакерских групп уже используют для установки веб-шеллов. Патчей для свежего бага пока нет.
• Специалисты компании Check Point выявили уязвимость в смартфонах на базе чипсета UNISOC, которая может быть использована для сброса настроек модема смартфона с помощью неправильно сформированного пакета. Её критичность оценили в 9,4 балла по шкале CVSS.
• Исследователи обнаружили серьезную уязвимость Follina в продуктах Microsoft, потенциально позволяющую злоумышленникам выполнить произвольный код. Патча пока нет, а уязвимость уже активно эксплуатируется злоумышленниками.
• Банда вымогателей взламывает корпоративные веб-сайты, чтобы публично демонстрировать заметки о выкупе. Эта новая стратегия вымогательства осуществляется Industrial Spy, бандой по вымогательству данных, которая недавно начала использовать программы-вымогатели как часть своих атак.
• В сети обнаружена новая 0-day уязвимость в Windows Search. Она позволяет автоматически после открытия документа Word запустить окно поиска, которое содержит удаленно размещенные исполняемые файлы вредоносного ПО.
• По данным Минцифры РФ, программу по созданию штабов по обеспечению кибербезопасности реализовали уже 99% субъектов Федерации и 85% органов власти.
• Специалисты компании Red Canary рассказали об опасном вирусе ChromeLoader, который чаще всего маскируется под файл с именем CS_Installer с расширением iso. После его запуска опасное ПО декодирует команду PowerShell, извлекает архив с сервера и загружает его как расширение для браузера Google Chrome.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий описал 7 стратегий в условиях приостановки деятельности иностранных ИБ-вендоров.
• Эксперты T.Hunter выделили топ самых интересных CVE за май 2022 года. Автор выделил уязвимости: VMware, Laravel, F5 BIG-IP, Zyxel, SonicWall, Visual Studio, Vim, Zoom и др.
• RUVDS.com представили детальный анализ вредоносного ПО, замаскированного под NOTEPAD++. Троян реализует четыре действия, в том числе скачивает и исполняет файл .exe или .dll, загружает PE в память процессов и исполняет шелл-код.

Интересные посты англоязычных блогов по ИБ

• Zeljka Zorz рассказала про уязвимость приложений Microsoft Office для атак с использованием гомографов, основанных на интернационализированных доменных именах (IDN).
• Randy Ellis привел анализ ситуации в области кибербезопасности в 2022 году от нескольких CISO. Группа экспертов предложила избегать импульсивных реакций и паники в нынешнее время – устойчивость и восстановление являются ключевыми для специалистов по безопасности.
• Paul Ducklin описал сценарий активного противника на основе данных отчета Sophos – что действительно работает для киберпреступников, когда они инициируют атаку и что они делают после того, как проникли внутрь, а также как долго они обычно остаются в сети после того, как создали плацдарм.

Исследования и аналитика

• Исследователи Лаборатории Касперского обнаружили, что для распространения малвари WinDealer хакерская группировка LuoYu способна проводить атаки типа man-on-the-side. Такие атаки доступны лишь наиболее «ресурсным» злоумышленникам и подразумевают, что вредоносное ПО внедряется в легитимный сетевой трафик жертвы.
• Truecaller представил результаты исследования, проведенного в сотрудничестве с The Harris Poll в марте 2022 года, и в его результатах подробно излагаются тенденции и выводы о влиянии спама и телефонного мошенничества, которые все больше проникают в США за последние 12 месяцев. По оценкам исследования, в прошлом году из-за телефонных мошенничеств было потеряно $39,5 млрд.
• По словам исследователей Cyble, киберпреступники переключились с коммерческого сектора на правительства малых стран и поставили под угрозу государственный аппарат. На данный момент, 48 госучреждений из 21 страны пострадали от 13 вредоносных атак в 2022 году.
• Специалисты Vedere Labs ИБ-компании Forescout Technologies представили новую PoC-атаку с использованием вымогательского ПО на IoT- и OT-оборудование. С помощью IP-камеры гипотетический хакер взламывает IT-инфраструктуру организации и использует полученный доступ для отключения операционно-технологического оборудования.
• Исследователи Shadowserver просканировали Интернет в поисках уязвимых для атак серверов MySQL и сообщили, что в ответ на запросы о подключении к порту 3306/TCP удалось получить более 2,3 миллиона IPv4 и 1,3 миллиона IPv6 адресов. По словам специалистов, это указывает на открытость огромного количества серверов для хакерских атак.
• Recordedfuture представила отчет Chinese Cybercrime in Neighboring Countries, в котором рассматриваются киберпреступления, совершенные китайскоязычными злоумышленниками в соседних с Китаем странах за последний год. В частности, это относится к краже и продаже информации, позволяющей установить личность, мошенничеству в сфере электронной коммерции и APT.
• Отчет Sophos The State of Ransomware in Healthcare 2022демонстрирует растущую частоту атак программ-вымогателей на здравоохранение. Исследование также фокусируется на быстро развивающейся взаимосвязи между программами-вымогателями и киберстрахованием в сфере здравоохранения, подчеркивая, как часто и в каком размере выплачивался выкуп поставщиками страховых услуг против претензий со стороны здравоохранения.
• По информации исследователей Symantec, вредонос Clipminer принес не менее $1,7 млн, перехватывая чужие транзакции и добывая криптовалюту на зараженных машинах. Исследователи рассказывают, что Clipminer основан на исходном коде другого трояна, KryptoCibule, то есть может являться либо подражателем, либо более продвинутой версией последнего. 
• EfficientIP объявила о результатах своего восьмого ежегодного отчета о глобальных угрозах DNS за 2022 год, подготовленного IDC, в котором раскрывается разрушительное влияние атак системы доменных имен (DNS) на деятельность глобальных организаций за последние 12 месяцев. Результаты показывают, что 88% организаций подверглись одной или нескольким DNS-атакам на свой бизнес. Каждая успешная атака обходится бизнесу в среднем в $ 942 000.
• Опубликован опрос Intigriti Ethical Hacker Survey 2022, в котором подчеркивается, что этическое хакерство продолжает расти – 73% опрошенных респондентов моложе 30 лет, 96% этичных хакеров хотели бы в будущем уделять больше времени поиску ошибок, а 66% рассматривают это как карьера на полную ставку.
• Согласно отчету Armorblox 2022 Email Security Threat Report, атаки на основе языка стали новой нормой для компрометации деловой электронной почты (BEC), при этом 74% этих атак используют язык в качестве основного вектора атаки.
• Отчет Zscaler о вымогателях ThreatLabZ 2022 показывает рекордное количество атак и почти 120% рост числа атак с двойным вымогательством. Производители становятся наиболее уязвимыми второй год подряд, в здравоохранении наблюдается самый большой скачок в атаках вымогателей - почти на 650% больше.
• В выпуске Verizon Data Breach Investigations Report (DBIR) за этот год представлен еще один набор данных о корпоративных нарушениях и разоблачениях. По данным DBIR, до 13% нарушений вызваны какой-либо ошибкой или событием неправильной настройки, причем лидируют неправильно сконфигурированные экземпляры облачных хранилищ.

Громкие инциденты ИБ

• Сайты двух крупнейших медиаактивов правительства Ханты-Мансийского автономного округа не работают из-за хакерских атак – портал «Новости Югры» и сайт телерадиокомпании «Югра».
• Эксперт из компании Dvuln продемонстрировал, что цифровые водительские права, которые с 2019 года используются в австралийском штате Новый Южный Уэльс, легко скомпрометировать и подменить данные.
• Объекты системы здравоохранения стали целью новой кибератаки в Коста-Рике. Нападение коснулось около 1200 больниц и клиник, после чего CCSS отключил свою компьютерную систему, и национальная платформа здравоохранения перестала функционировать.
• Приложение Mirror Protocol, работавшее на платформе Terra Classic, стало жертвой злоумышленников. Кража была обнаружена только через полгода.
• Группировка Anonymous провела массированную атаку на правительственные сайты Белоруссии.
• Центральная городская больница в Екатеринбурге подверглась хакерской атаке. Из-за действий злоумышленников пострадал отдел бухгалтерии.

Обзор событий предстоящих недель 13.06 – 24.06

Вебинары

• 15 июня, 16:00 – Вебинар АИС: Как защитить объекты КИИ в условиях жёсткого импортозамещения;
• 21 июня, 11:00 – Вебинар Гротек: PSIM: трансформация комплексных систем безопасности в условиях санкций и решения задач импортозамещения;
• 21 июня, 11:00 – Вебинар Ростелеком-Солар: Разговоры об импортозамещении: защита мобильных устройств на базе решения SafePhone;
• 23 июня, 11:00 – Вебинар Ростелеком-Солар: Как внедрить DLP-систему в геораспределенной компании.