Дайджест ИБ №246 за период с 19 по 30 сентября 2022

Новости ИБ

• Киберпреступники начали применять новую технику для запуска кода на компьютере жертвы. Подход рассчитан на использование движений мыши в презентациях Microsoft PowerPoint. Согласно отчёту Cluster25, новый метод взяла на вооружение киберпреступная группировка APT28, также известная под именем “Fancy Bear“.

• Исследователи SentinelLabs обнаружили неизвестного ранее продвинутого злоумышленника, которого назвали «Метадор». Новая группа угроз, ответственная за взлом телекоммуникационных компаний на Ближнем Востоке, поставила исследователей в тупик относительно того, кто может стоять за этой кампанией и где еще они могут действовать.

• Старая уязвимость в языке Python, CVE-2007-4559, обнаруженная еще в 2007 году, снова оказалась в центре внимания. Выяснилось, что она затрагивает более 350 000  репозиториев и может приводить к выполнению произвольного кода.

• Как минимум, четыре ведомства Министерства обороны США, в совокупности потратили более $3,5 млн на малоизвестный инструмент мониторинга данных, который может предоставить доступ к огромным массивам данных электронной почты и веб-браузеров.

• Правительством принято решение создать центр по информационной безопасности в промышленности. Новая организация будет решать задачи: обнаружения, предупреждения, и ликвидаций последствий кибератак на информресурсы промышленных предприятий, установления причин инцидентов, а также сбора и анализа данных о состоянии ИБ информресурсов промышленных предприятий.

• Защита от несанкционированного доступа в Microsoft Defender для конечных точек корпоративных клиентов будет включена по умолчанию. Компания Microsoft принудительно включит защиту через месяц у тех, кто не сделает это сам.

Интересные посты русскоязычных блогов по ИБ

• Антон Кузнецов, автор блога на Хабр изучил свежий сэмпл малваря Loki (31.08), который содержится в Excel документе и используется для фишинговой рассылки. В своей статье основное внимание он уделил практической части поиска, извлечения и небольшого разбора поведения вредоноса.

• В корпоративном блоге R-Vision на Habr вышла публикация о расследовании атаки с применением руткита. В статье автор на примере лабораторного задания Seized с ресурса CyberDefenders детально осветил все этапы расследования инцидента, а также описал ход самой атаки на хост с закреплением и запуском вредоносной программы Rootkit.

• Ученые из Дьюкского университета США разработали новый метод кодирования и декодирования информации, который использует искусственный интеллект и бактерии. В блоге ua-hosting.company эксперты проанализировали доклад ученых и рассказали как бактерии помогают шифровать данные, какова задача ИИ в этом процессе, и насколько такое шифрование эффективно.

Интересные посты англоязычных блогов по ИБ

• Эксперты Numen Cyber Labs выпустили детальный обзор и анализ использования задокументированных уязвимостей Chrome в статье от утечки TheHole до Chrome Renderer RCE.

• Автор Leon Juranic опубликовал статью, в которой изложил все, что нужно знать об атаке Evil-Colon, актуальной, в основном, для Windows-серверов. Реализация атаки напоминает ныне не используемые атаки нулевого байта - Poison-NULL-Byte attacks.

• Автор блога Антон Чувакин посвятил пост доверию и прозрачности в обнаружении. По его мнению, эра непрозрачных обнаружений снова наступила и работники начинают уделять гораздо больше внимания способности понять, как машина обнаружения приняла решение, вместо того чтобы просто смотреть на результат. Автор объяснил два принципа-  интерпретируемость и объяснимость – и как выбрать подходящую модель обнаружения.

Исследования и аналитика

• Специалисты Лаборатории Касперского подготовили отчет об угрозах для систем промышленной автоматизации в России за первое полугодие 2022 года. По данным компании, выросла доля атакованных компьютеров АСУ ТП в нефтегазовой отрасли, а основными источниками угроз стали интернет, съемные носители и почтовые клиенты.

• Команда Perception Point опубликовала отчет о фишинговой кампании, в ходе которой злоумышленник заставляет пользователей воспроизвести вредоносное видео, приводящее к краже аккаунта. Цепочка атак начинается с электронного письма, содержащее счет от британской компании по обеспечению безопасности электронной почты Egress.

• По данным отчета  Dynatrace 2022 Global CIO Report, 71% ИТ-директоров говорят, что поток данных, создаваемых стеками облачных технологий, выходит за рамки человеческих возможностей. Их команды используют в среднем 10 инструментов мониторинга в своих технологических стеках, но у них есть возможность наблюдения только в 9% их среды.

• Infoblox  объявила о результатах исследования 20/20 Visibility Clarifies Network Security, которое показало, что ИТ-руководители во всем мире стремятся к большей прозрачности сети. Полученные данные подчеркивают сближение безопасности с сетью, которую руководители ИТ-решений сейчас считают недостающей стратегией, которая улучшит реагирование на проблемы безопасности, автоматизирует задачи соответствия и лучше управляет процессами и результатами.

• В новом отчете Атлантического совета рассматривается вопрос о том, повлияли ли изменения китайских законов о кибербезопасности, внесенные в 2021 году, на уязвимости ответственного раскрытия информации китайским исследовательским сообществом.

• Согласно отчету SpyCloud, примерно 90% компаний заявили, что в 2022 году они стали жертвой от программ-вымогателей, а 78% как минимум дважды. 82% пострадавших предприятий с более чем 25 000 сотрудников и 92% организаций с 1000 до 4999 сотрудников.

• Отчет APWG о тенденциях фишинговой активности показывает, что во втором квартале 2022 года APWG зарегистрировала 1 097 811 фишинговых атак — это худший квартал для фишинга, который когда-либо наблюдался экспертами APWG. Количество зарегистрированных фишинговых атак увеличилось в 4 раза с начала 2020 года, когда APWG наблюдала от 68 000 до 94 000 атак в месяц.

• Исследователи из Symantec , Cyderes и Stairwell недавно проанализировали новую версию инструмента для эксфильтрации данных Exmatter и обнаружили новую возможность: повреждение данных.

• Компания Anaconda, поставщик платформы для изучения данных, опубликовала свой ежегодный отчет 2022 State of Data Science report, в котором раскрываются широко распространенные тенденции, возможности и предполагаемые препятствия, с которыми сталкиваются отрасли науки о данных, машинного обучения и искусственного интеллекта. Глобальное исследование было нацелено на сообщество разработчиков с открытым исходным кодом, состоящее из трех групп ученых, профессионалов отрасли и студентов.

• Исследователи компании Gurucul объявили результаты опроса специалистов по безопасности Black Hat USA 2022. Респонденты указали, что инсайдерские угрозы были наиболее сложным типом атаки для аналитиков SOC, и что поведенческая аналитика была наиболее распространенной технологией, которой, по их мнению, не хватало и которую они планировали добавить в SOC в ближайшем будущем. 

Громкие инциденты ИБ

• Неизвестные злоумышленники скомпрометировали аккаунт одного из разработчиков криптовалютной биржи dYdX и внедрили вредоносный код в несколько пакетов npm, которые, помимо самой dYdX, используют как минимум 44 криптовалютных проекта.

• Телекоммуникационная компания Австралии Optus, заявила о том, что подверглась кибератаке. Компания пока не может точно сказать, сколько клиентов пострадали в результате инцидента, издание The Australian сообщило, что речь может идти о 9 млн.

• ФБР и американское агентство по кибербезопасности и защиты инфраструктуры (CISA) выпустили заявление, в котором указывается, что одна из киберпреступных групп Ирана, которая несет ответственность за проведение крупномасштабной кибератаки на правительственные IT-сети Албании в июле 2022 года, смогла скрываться в IT-инфраструктуре страны около 14 месяцев подряд.

• Криптовалютный маркетмейкер Wintermute объявил, что пострадал от хакерской атаки, в ходе которой злоумышленники похитили более $160 млн.

• В результате кибератаки на португальскую авиакомпанию TAP произошла утечка данных 1,5 млн ее клиентов. Злоумышленники атаковали компанию примерно месяц назад, им удалось получить данные о гражданствах, датах рождения, поле клиентов, а также их адреса электронной почты и номера телефонов. Эта информация появилась в продаже в даркнете.

• Финтех-компания Revolut подверглась кибератаке, в результате которой взломщики на короткий период времени получили доступ к данным 0,16% клиентов. Компания отправила всем пострадавшим уведомления.

• На теневом форуме выставили на продажу дампы базы данных очередной службы доставки еды из ресторанов - xarakiri.ru. Один из них содержит 101,549 зарегистрированных пользователей.

• Uber Technologies возложила ответственность за кибератаку на хакера, связанного с группировкой Lapsus$. Она уже известна своими атаками на Microsoft, Nvidia, Cisco, Samsung, Okta и другие компании.

Обзор событий предстоящих недель 03.10 – 14.10

Оффлайн-конференции

• 13 октября, Архангельск – Конференция Road Show SearchInform 2022: безопасность в новых реалиях.

Онлайн-конференции

• 5 октября, 11:00 – AMLive: Автоматизация информационной безопасности.

Вебинары

• 4 октября – Вебинар ДиалогНаука: Эволюция PAM-технологий и векторы развития Indeed Privileged Access Manager;

• 05 октября – Вебинар Secuteck: Новые возможности для борьбы с внутренними нарушителями;

• 06 октября – Вебинар Secuteck: Кибербезопасность цифрового предприятия: как сохранить непрерывность бизнеса;

• 12 октября – Вебинар Secuteck: Безопасный удаленный доступ. Эффективная защита в период массивных кибератак;

• 13 октября – Вебинар Secuteck: Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры в новой реальности;

• 14 октября – Вебинар Secuteck: Защита персональных данных с учетом новых требований.