Дайджест ИБ №243 за период с 8 по 19 августа 2022

Новости Законодательства  

•  В Госдуму внесли поправки об ответственности субъектов критической информационной инфраструктуры. Предлагается установить ответственность для субъектов критической информационной инфраструктуры за представление недостоверных сведений для внесения в реестр значимых объектов критической информационной инфраструктуры.

Новости ИБ  

• Минцифры хочет расширить взаимодействие с Генпрокуратурой в рамках системы «Антифишинг» для блокировки мошеннических сайтов. Пока система оперативно находит вредоносные ресурсы, но на блокировку через суд может уйти больше месяца, тогда как Генпрокуратура сможет выносить решение гораздо быстрее. По аналогичной схеме уже работает ЦБ.
• Эксперты «Лаборатории Касперского» обнаружили новые атаки Andariel, северокорейской кибергруппы, которая входит в состав Lazarus. В них используются модификации известного ПО DTrack, а также новая программа-вымогатель, Maui. В числе целей — крупные организации в США, Японии, Индии, Вьетнаме и России.
• Школьник из Италии создал три шифровальщика и разместил их в репозитории PyPI для программистов на Python. Это был его эксперимент – он создал их ради развлечения, чтобы посмотреть, как много людей попадется на его уловку. Один из трех файлов был скачан свыше 250 раз. Ключи дешифровки школьник раздает бесплатно.
• Исследователи безопасности обнаружили новые уязвимости AEPIC Leak и SQUIP в процессорах Intel и AMD, которые могут приводить к раскрытию информации. Уязвимость представляет собой ошибку в архитектуре процессоров, которая отличается от уязвимостей Spectre и Meltdown, преследовавших Intel и AMD в последние годы.
• Уязвимости в API-интерфейсах сети 5G могут предоставить любому человеку личные данные пользователя и доступ к его IoT-устройству. Изучив API-интерфейсы 5G-сети 10 операторов мобильной связи по всему миру, исследователи обнаружили во всех них общие, широко известные уязвимости API.
• В сети появился PoC-эксплоит для критической уязвимости, угрожающей таким продуктам VMware, как Workspace ONE Access, Identity Manager и vRealize Automation. Баг представляет собой обход аутентификации и позволяет злоумышленникам получить права администратора.
• Специалисты по кибербезопасности рассказали о новом векторе кибератаки, в ходе которой программируемые логические контроллеры (ПЛК) используются в качестве точки входа, позволяющей закрепиться на автоматизированных рабочих местах и позже — проникнуть в ОТ-сети. Этот вектор получил имя «Evil PLC».Group-IB обнаружила в июле этого года более 150 мошеннических ресурсов под популярную платформу дистрибуции компьютерных игр Steam. Для «угона» учетных записей геймеров злоумышленники используют недавно исследованную фишинговую технику Browser-in-the-browser, из-за чего фейки практически невозможно отличить от оригинальных страниц Steam. 
• Эксперт Positive Technologies обнаружил две уязвимости в контроллерах Mitsubishi серии MELSEC iQ-F — эти устройства применяются в пищевой и легкой промышленности, в деревообработке, типографиях, водном хозяйстве, судоходстве, для автоматизации инженерных систем зданий и в других сферах.
• CISA и ФБР предупредили организации США , что операторы программы-вымогателя Zeppelin могут многократно шифровать файлы. По наблюдениям ФБР, операторы Zeppelin несколько раз запускали свое вредоносное ПО в сети жертвы, что приводило к созданию разных идентификаторов или расширений файлов для каждой атаки. В результате жертве требовалось несколько уникальных ключей дешифрования.
• Аналитики из компании Checkmarx обнаружили новую порцию малвари в репозитории PyPi. На этот раз вредоносные пакеты оказались не совсем обычными: они не воруют учтенные данные или переменные среды, но атакуют серверы Counter-Strike.

Интересные посты русскоязычных блогов по ИБ  

• Эксперт Инфосистемы Джет поделился несколькими интересными киллчейнами. В этой статье он рассказал о последовательности шагов, которая привела к получению привилегий администратора домена в компании, в которой «почти все безопасно», без эксплуатации уязвимостей.
• Ростелеком Солар открыли серию постов с подборкой самых популярных запросов, с которыми к ним, как к сервис-провайдеру, приходят компании. В этой статье речь идет про тех, кто не понаслышке знает, что такое SIEM, возможно, работали в SOC и основная их цель – защита от киберугроз. Но они не так погружены в вопрос, что в итоге приводит к своеобразной постановке задач.
• Кузнецов Антон сделал разбор техники фишинга с использованием зловредного PDF вложения и подробно описал ход расследования подобного инцидента на примере лабораторного задания GetPDF с ресурса Cyberdefenders.

Интересные посты англоязычных блогов по ИБ  

• В конце 2021 года Фонд Open Web Application Security Project® (OWASP®) опубликовал пересмотренный список из 10 наиболее серьезных угроз безопасности для веб-приложений. Эксперты (ISC)² и F5 обсудили ключевые изменения в Топ-10 и то, как использовать этот список в качестве основы для защиты приложений.
• Wiz Research обнаружила множество связанных уязвимостей в предложениях PostgreSQL как услуги от GCP, Azure и других. В блоге основное внимание уделяется ранее нераскрытым техническим деталям исследования и впервые раскрывается исследование инфраструктуры другого крупного облачного провайдера, Google Cloud Platform (GCP), использующего тот же тип уязвимости для получения начального доступа к среде.
• Специалисты Quarkslab описали в своем блоге критическую уязвимость, которую они обнаружили в модуле безопасности Titan M, установленном в смартфонах Google Pixel, начиная с Pixel 3. Уязвимость позволяет злоумышленнику повышать привилегии, исполнять произвольный код и считывать любые данные с чипа.
• Антон Чувакин в своей статье рассуждает о спорных моментах так называемой Модели общей ответственности за безопасность облачных технологий. Статья продолжает дискуссию на тему: "Если ответственность общая, то кто ответственный?".

Исследования и аналитика

• В свежем исследовании экспертов «Лаборатории Касперского» проанализирована вредоносная кампания LofyLife. В конце июля в репозитории Node Package Manager обнаружили четыре вредоносных пакета. Помимо легитимной функциональности (обработка текстовых данных и подобное), они содержат обфусцированный вредоносный код, предназначенный для кражи токенов доступа к чат-сервису Discord и платежной информации.
• Sophos представили отчет о состоянии программ-вымогателей в сфере финансовых услуг The State of Ransomware in Financial Services 2022 . Проблема программ-вымогателей для сектора финансовых услуг продолжает расти. Уровень атак вырос по сравнению с прошлым годом, при этом киберпреступникам удалось зашифровать данные более чем в половине атак.
• Команда специалистов опубликовала исследование, описывающее первый вектор атаки по сторонним каналам, в котором задействована очередь планировщика в современных процессорах. В случае с CPU от AMD атаку назвали SQUIP. По данным отчета ExtraHop Benchmarking Cyber Risk and Readiness, значительный процент организаций выставляет небезопасные или высокочувствительные протоколы, включая SMB, SSH и Telnet, в общедоступный Интернет. Преднамеренное или случайное использование этих протоколов расширяет поверхность атаки на любую организацию, предоставляя злоумышленникам легкую точку входа в сеть.
• В Lolcads tech blog опубликовано исследование, посвященное разбору уязвимости Dirty Pipe и непосредственно эксплоита, позволяющего ею воспользоваться для локального повышения привилегий.
• Исторически программы-вымогатели были нацелены на ряд важных секторов в богатых странах. Недавние нападения на такие страны, как Коста-Рика , Южная Африка , Малайзия , Перу , Бразилия и Индия иллюстрируют возросшую угрозу для правительств, важнейших поставщиков национальной инфраструктуры и предприятий в странах со средним уровнем дохода и в развивающихся странах. 
• В отчете об угрозах Abnormal Security обнаружила увеличение количества атак по электронной почте на 48% за предыдущие шесть месяцев, и 68,5% этих атак включали фишинговую ссылку на учетные данные. Киберпреступники выдавали себя за известные 265 брендов в 15% фишинговых атак, при этом чаще всего выдавали себя за социальные сети и продукты Microsoft.
• Abnormal Security заметила снижение атак программ-вымогателей на протяжении всего второго квартала. Большая часть падения объема в первом квартале 2022 года может быть связана с исчезновением Pysa, одной из самых активных групп программ-вымогателей за последние несколько лет. Точно так же снижение числа атак программ-вымогателей во втором квартале было в основном вызвано уходом из среды программ-вымогателей другой крупной группы: Conti.
• В последнем отчете Ponemon Institute говорится, что 54% инцидентов, связанных с киберпреступностью, были вызваны кражей учетных данных. После нее в “топе” идут вымогательское ПО и DDoS-атаки. Кроме того, 59% организаций не аннулируют учетные данные, которые больше не нужны, тем самым делая их легкой добычей для хакеров.
• TrendMicro обнаружили вредоносное ПО группы APT Iron Tiger, компрометирующее серверы чат-приложения Mimi в ходе атаки на цепочку поставок. Расследование показало, что установщики чата MiMi были скомпрометированы для загрузки и установки образцов HyperBro для платформы Windows и образцов rshell для платформы Mac OS.

Громкие инциденты ИБ  

• Сайт парламента Финляндии был взломан и оказался недоступен. Власти страны подтвердили факт взлома.
• Китайские злоумышленники использовали широкий арсенал новых и старых вредоносных программ, эксплойт к старой уязвимости в Microsoft Office и системные утилиты Windows для вывода конфиденциальных данных с оборонных предприятий в Восточной Европе, России и Афганистане.
• Центр децентрализованных финансов (DeFi) Polkadot Acala в воскресенье подвергся крупной хакерской атаке на недавно запущенный пул ликвидности. После атаки стоимость стейблкоина Acala упала на 99% до 0,05 доллара.
• Британская компания South Staffordshire Water, ежедневно поставляющая 330 млн литров питьевой воды потребителям, опубликовала заявление, подтверждающее сбой в работе IT-инфраструктуры организации в результате кибератаки. Как поясняется в уведомлении, системы безопасности и распределения воды всё еще работают, поэтому сбой в работе ИТ-систем не влияет на снабжение безопасной водой ее клиентов или ее дочерних компаний, Cambridge Water и South Staffs WaterОдна из крупнейших площадок для продажи игровых скинов для CS:GO (Counter-Strike: Global Offensive), CS.MONEY, сообщила о взломе. Работа ресурса временно прекращена, так как злоумышленникам удалость похитить около 20 000 предметов, чья суммарная стоимость составила примерно 6 000 000 долларов США.
• Сотрудники Microsoft раскрыли внутренние учетные данные, загрузив их на площадку GitHub. Таким образом, у потенциальных злоумышленников появилась возможность проникнуть во внутренние системы корпорации. В беседе с Motherboard представители Microsoft подтвердили факт непреднамеренной утечки.
• Телефонные номера примерно 1900 пользователей Signal были раскрыты в результате утечки данных, от которой ранее в этом месяце пострадала компания Twilio, занимающейся разработкой и предоставлением облачных PaaS-услуг.
• Суд города Кордова в Аргентине отключила свои IT-системы и веб-портал после атаки программы-вымогателя Play, которая произошла 13 августа. В соответствии с ргламентом в случае непредвиденных обстоятельств кибератаки судебные органы привлекли Microsoft, Cisco, Trend Micro и местных специалистов для расследования атаки.
• У поставщика услуг электронной почты  MailChimp возникла брешь в системе безопасности, в результате чего были скомпрометированы более 200 учетных записей, в том числе некоторые из них принадлежат поставщику облачных услуг и VPN DigitalOcean.

Обзор событий предстоящих недель 22.08 – 02.09 

Оффлайн-конференции

• 22-24 августа, США, Лас-Вегас – Gartner Identity & Access Management Summit;
• 25-26 августа, Москва, LOFT HALL #2, 3 – Конференция OFFZONE 2022.

Вебинары

• 23 августа, 10:00 – Вебинар Софтлайн: Повысьте безопасность компании с помощью менеджера паролей Пассворк;
• 24 августа, 11:15 – Вебинар Cisoclub: Защита корпоративной сети 2022: возможности межсетевого экрана ИКС;24 августа, 14:00 – Вебинар Ростелеком Солар: Искусственный интеллект для категоризации веб-ресурсов;
• 25 августа, 11:00 – Вебинар Cisoclub: Как защитить корпоративные данные в 2022 году: кейсы и тренды;
• 25 августа, 11:00 – Вебинар Ростелеком Солар: Могут ли DLP защитить данные в покое?.