Дайджест ИБ №247 за период с 3 по 14 октября 2022

Новости ИБ

• Аналитики ИБ-компании Mandiant обнаружили PhaaS-сервис под названием «Caffeine», который позволяет любому злоумышленнику проводить собственные фишинговые кампании. Он предлагает открытый процесс регистрации и не требует приглашений или рефералов, а также не требует от пользователей получить одобрение администратора.

• Разработчики Fortinet предупредили администраторов о необходимости обновить брандмауэры FortiGate, веб-прокси FortiProxy, а также FortiSwitch Manager до последних версий, которые устраняют критическую уязвимость в продуктах компании. Свежая проблема представляет собой обход аутентификации и уже используется злоумышленниками. Уязвимость получила идентификатор CVE-2022-40684 и оценивается на 9,6 балла из 10 возможных по шкале CVSS.

• Злоумышленники распространяют вредоносное ПО через NFT-дропы. При открытии информации о NFT жертва видит уведомление от "разработчиков" криптокошелька, в котором говорится, что выпущено новое обновление безопасности и для его загрузки необходимо как можно скорее перейти по ссылке.

• Исследователям удалось разработать основанную на искусственном интеллекте систему «ThermoSecure», которая может угадывать пароли от компьютеров и смартфонов за считаные секунды. Принцип ее работы строится на анализе тепловых следов, которые оставляют пальцы пользователя на клавиатуре или дисплее.

• Эксперты предупреждают, что RCE-уязвимость в Zimbra Collaboration Suite, получившая 9,8 балла по шкале оценки уязвимостей CVSS, уже находится под атаками. Баг позволяет злоумышленникам загружать произвольные файлы и выполнять вредоносные действия на уязвимых установках ZCS.

• Эксперты ИБ-компании DCSO CyTec обнаружили зловреда, умеющего открывать бэкдор на компьютерах с СУБД SQL Server разработки Microsoft. Сканирование интернета показало, что Maggie уже скомпрометировал 285 серверов в разных странах, включая Россию.

• Минцифры завершило доработку новой версии законопроекта об оборотных штрафах за утечку персональных данных. В новой редакции предусмотрена ответственность не только для юридических, но и для должностных лиц. Например, для руководителей компании штраф составит 200 000–400 000 руб., для ИП и юрлиц – 0,02% от оборота, но не менее 1 млн руб.

• Специалисты компании Avast создали дешифратор для жертв шифровальщика MafiaWare666, где была найдена уязвимость, которая позволяет вернуть файлы жертвы без уплаты выкупа. Инструмент бесплатный и находится в открытом доступе.

• Google выплатит $85 млн штату Аризона за незаконный сбор данных о пользователях. Компания собирала данные о местоположении с помощью других настроек после того, как пользователи отключали функцию, которая записывает историю геолокации устройств.

Интересные посты русскоязычных блогов по ИБ

• Реальную историю о том, что может сделать злоумышленник, зная пароль от Госуслуг и как обезопасить свои данные рассказал автор блога на Хабр.

• Компания «Перспективный мониторинг» в своём блоге на Хабр поделилась исследованием трафика телеметрической информации, передаваемого Android-смартфоном на ресурсы Samsung, Google и Яндекс. 

• В новой статье на Хабр, специалист компании «Бастион» рассказал о том, как загрузил 4000 вирусов в десять популярных облачных хранилищ и проанализировал реакцию их систем защиты. Выяснилось, что половина хранилищ не зафиксировали ни одного опасного файла за все время эксперимента.

• Специалист по тестированию безопасности операционной системы из компании Astra Linux в статье на Хабр подробно описал процесс фаззинг-тестирования с помощью инструмента Crusher.

Интересные посты англоязычных блогов по ИБ

• Эксперты компании Snyk в своем блоге рассказали, как они обнаружили новую вредоносную библиотеку PyPI  под названием Raw-Tool, которая во время установки запускает неизвестные двоичные файлы и обращается к подозрительному домену.

• Carol Williams в блоге компании Navex описала 6 шагов, необходимых для построения в компании риск-культуры ориентированной на повышение производительности. Автор утверждает, что успех любых усилий по интеграции рисков в процессе принятия стратегических решений зависит не от конкретного стандарта или процесса, а от самой культуры компании.

• В блоге компании Check Point вышла статья о подключенных к сети Интернет камерах, которые на сегодняшний день являются для хакеров одним из самых предпочтительных способов проникновения в корпоративные сети.

• Автор статьи Mary Pratt считает, что устаревшие технологии (legacy tech) являются препятствием для внедрения zero-trust модели. Как показало исследование компании General Dynamics, больше половины опрошенных ИТ-менеджеров назвали устаревшие системы, не поддерживающие технологии zero-trust, главным фактором, мешающим развитию этой стратегии.

Исследования и аналитика

• Исследователи  Лаборатории Касперского раскрывают TTP ближневосточной DeftTorero. Проведенный анализ вторжений в целом показывает потенциальное изменение злоумышленником TTP в сторону использования LOLBINS-методов и популярных наступательных инструментов, что объясняет текущие пробелы в обнаружении отличительной активности, слившейся к настоящему времени с другими угрозами.

• Еще одно исследование Лаборатории Касперского посвящено кампании по распространению шпионских версий браузеров Tor через популярный китайский канал YouTube. Программа-шпион под названием OnionPoison собирала историю посещений, идентификаторы учетных записей социальных сетей и идентификаторы сетей Wi-Fi.

• Positive Technologies вновь провела опрос среди экспертов по ИБ, чтобы выяснить, как построен процесс управления уязвимостями в российских организациях и что изменилось в нем с 2020 года . В последние месяцы отечественные компании оказались в эпицентре кибератак – это влияет и на то, как организации защищают свою инфраструктуру. С февраля 74% специалистов изменили свой подход к обновлению программного обеспечения: четверть опрошенных решили приостановить установку обновлений, а еще четверть увеличили сроки тестирования ПО.

• Еще одно исследование специалистов Positive Technologies посвящено анализу публикации на киберпреступную тематику в каналах и чатах Telegram. Выяснилось, что большинство сообщений в мессенджере посвящены компрометации пользовательских данных, в том числе их покупке и продаже. Рекордное число сообщений на хакерскую тематику эксперты зафиксировали во II квартале 2022 года.

• Согласно новому отчету Varonis, компания, которая хранит данные в облаке сталкивается с риском утечки данных в размере $28 млн. В отчете Great SaaS Data Exposure рассматриваются проблемы, с которыми сталкиваются директора по информационной безопасности при защите данных в растущем портфеле приложений и служб SaaS, таких как Microsoft 365, Box, и Okta. Каждая десятая запись в облаке становится доступной для всех сотрудников, что увеличивает ущерб во время атаки программы-вымогателя. 

• Cequence Security выпустила свой отчет за первую половину 2022 года под названием API Protection Report: Shadow APIs and API Abuse Explode. Главным среди обнаруженных фактов было около 5 млрд вредоносных транзакций, нацеленных на неизвестные, неуправляемые и незащищенные API. Они обычно называются теневые API, что делает эту угрозу главной для отрасли.

• Red Canary обновила статистику по основным угрозам, которые они зафиксировали в отчете Intelligence Insights: September 2022. В списке фиксируются основные фреймворки: Cobalt, Mimikatz, Impacket, BloodHoud. С точки зрения вредоносов по-прежнему используются основные техники: Scheduled Tasks, Signed Binary Proxy Execution, PowerShell, CommandLine, UAC Bypass.

• Secureworks опубликовала отчет о  ландшафте угроз 2022 года . Среди результатов можно выделить сокращение времени ожидания групп вымогателей до 11 дней в этом году с 22 дней в прошлом году. Ландшафт загрузчиков развивается, и есть свидетельства тесного сотрудничества между группами, эксплуатирующими разные загрузчики. Также наблюдается переход к легким одноразовым загрузчикам вместо сложных ботнетов, таких как TrickBot или Emotet.

• В отчете Trend Micro исследователи заявили, что обнаружили нового злоумышленника Water Labbu, который взламывает уязвимые мошеннические сайты с криптовалютами, чтобы заменить адреса кошельков мошенников своими собственными.

• Компания BitSight выпустила отчет, в котором опубликовала сведения о том, что они отследили до 51 500 систем, зараженных  вредоносным ПО PseudoManuscrypt,  пока его операторы не изменили свою инфраструктуру управления и контроля. С тех пор количество зараженных систем в ботнете сократилось примерно до 7000 в день.

Громкие инциденты ИБ

• Intel подтвердила факт утечки части исходных кодов BIOS и внутренней документации по Alder Lake. Часть информации из утечки эксперты разместили в репозитории на GitHub под названием ICE_TEA_BIOS.

• Хакерская группировка RansomHouse опубликовала данные тайваньской компании ADATA. Злоумышленники заявили, что похитили у производителя документы общим объемом 1 Тб.

• Одна из крупнейших некоммерческих систем здравоохранения в США CommonSpirit Health заявила , что отключила некоторые из своих IT-систем из-за кибератаки, которая затронула несколько учреждений.

• Эксперты Data Leakage & Breach Intelligence предупредили, что в сеть попал частичный дамп с информацией о покупателях магазина электроники DNS. Утечка содержит 16 524 282 записи.

• В ходе одного из последних инцидентов с использованием программы-вымогателя была совершена кибератака на поставщика электроэнергии Ганы – компанию ECG. В результате чего жители страны на несколько дней остались без электричества.

• Австралийская телекоммуникационная компания Telstra сообщила об утечке данных 30 000 сотрудников. Компания пояснила, что инцидент касался только личных данных работников, которые были в компании еще в 2017 году.

• PlayStation 5 была взломана. Хакеры выпустили джейлбрейк для актуальной консоли Sony, что позволяет устанавливать игры в обход системы. Эксплойт доступен на GitHub, и это первый крупный взлом PS5 с момента ее запуска в 2020 году.

Обзор событий предстоящих недель 17.10 – 28.10

Оффлайн-конференции

• 18 октября, Москва – Конференция Road Show SearchInform 2022: безопасность в новых реалиях;

• 20 октября, Санкт-Петербург – Конференция Road Show SearchInform 2022: безопасность в новых реалиях.

Онлайн-конференции

• 19 октября, 11:00 – Конференция Anti-Malware: Red Teaming в условиях глобальных кибератак.

Вебинары

• 14 октября – Вебинар Secuteck: Защита персональных данных с учетом новых требований;

• 18 октября, 11:00 – Вебинар ДиалогНаука: Масштабные изменения в 152-ФЗ «О персональных данных». Как действовать операторам?;

• 20 октября, 11:00 – Вебинар Ростелеком-Солар: Как аналитика поведения пользователей предотвращает кражу данных;

• 25 октября, 11:00 – Вебинар ДиалогНаука: Обзор нормативных требований Банка России по защите информации;

• 25 октября, 14:00 – Вебинар Positive Technologies: Уведомление об утечках персональных данных: что надо знать;

• 27 октября, 11:00 – Вебинар Ростелеком-Солар: Как кибергигиена персонала влияет на защищенность компании: разбор практического кейса.