Дайджест ИБ №250 за период с 14 по 25 ноября 2022

Новости законодательства

• ФСБ России расширило список информации, которая может быть использована против безопасности Российской Федерации и теперь в перечень вошли сведения об объектах КИИ.

• В Государственную думу РФ внесен проект поправок в Уголовный кодекс, который позволит конфисковывать имущество, полученное в результате преступлений в сфере компьютерной информации.

Новости ИБ

• Специалисты из компании Kasada рассказали, что в преддверии сезона распродаж и праздников в сети растет активность ботов Freebie Bot, которые ищут на сайтах магазинов товары и услуги с неверной ценой, а после чего приобретают их в больших количествах до того, как ошибка будет устранена.

• Windows-малварь, предназначенная для кражи криптовалюты и содержимого буфера обмена, устанавливает на машины пользователей вредоносное расширение VenomSoftX. Расширение работает как RAT, ворует данные жертв и криптовалюту.

• Аналитики компании Sekoia предупреждают, что у злоумышленников набирает популярность написанный на Go вредонос Aurora. Малварь ворует конфиденциальную информацию из браузеров и криптовалютных приложений, а также способна извлекать данные непосредственно с дисков и загружать дополнительные нагрузки на машину жертвы.

• Разработчики Atlassian устранили критические уязвимости в Crowd Server и Data Center, а также в Bitbucket Server и Data Center. По оценкам компании, обе проблемы получили 9 баллов из 10 возможных.

• Южнокорейское Министерство национальной обороны сообщило о том, что страна намерена провести межгосударственные учения в киберсфере, в том числе с участием России и еще 17 стран.

• Обнаружена и устранена критическая уязвимость удаленного выполнения кода без проверки подлинности в проекте Spotify Backstage. Компания быстро исправила уязвимость и выпустила Backstage версии 1.5.1. Разработчикам рекомендуется принять немедленные меры в своих средах.

• Исследователи из VMware Carbon Black обнаружили вредоносное ПО BatLoader, операторы которого используют дроппер для распространения банковского трояна, инфостилера и Cobalt Strike.

• Команда Akamai Security Intelligence Response Team обнаружила новое вредоносное ПО, которое использует SSH-протокол для проникновения в целевые системы, чтобы осуществлять майнинг криптовалюты и проводить DDoS-атаки.

Интересные посты русскоязычных блогов по ИБ

• Новые реалии заставили многих разработчиков и заказчиков пересмотреть отношение к безопасности создаваемого кода. Общемировой тренд в развитии ПО указывает на резкое увеличение числа уязвимостей. Каковы основные методики и подходы в этой области, а также как на требованиях по безопасности кода сказались актуальные события,рассказал обозреватель Anti-Malware Игорь Новиков.

• Антон Кузнецов, ведущий инженер информационной безопасности R-Vision, в блоге на Хабр опубликовал вторую из серии статей с исследованием дампа оперативной памяти, зараженного Emotet.

• Сергей Белов, автор блога на Хабр, исследовал проблему захвата аккаунтов. Если сервис имеет веб-аутентификацию и десятки или сотни миллионов пользователей в месяц, вы попадаете в ловушку из-за отсутствия безопасных и доступных подходов аутентификации пользователей. Автор прошелся по текущим механизмам, выделил их проблемы и сделал предположение, как можно исправить текущую ситуацию.

• В блоге компании Infotecs на Хабр вышла статья, рассказывающая, как и зачем создавалась одна из первых систем квантового распределения ключей в России. Эксперты подробно описали преимущества квантового распределения ключей и привели примеры практической реализации.

Интересные посты англоязычных блогов по ИБ

• Антон Чувакин продолжил тему рекомендаций Site Reliability Engineering для SOC. На этот раз речь идет о простоте и как она помогает безопасности. Простые системы и процессы легче защищать и отслеживать на предмет угроз. Применительно к SOC, при создании процессов или части технологии внутри SOC, следует задуматься: «а добавит ли это сложности?» и «действительно ли необходима эта сложность?».

• Ben Mauch, ранее в 2018 году обнаруживший атаку Kerberoast, продемонстрировал, как ему удалось обойти собственное обнаружение Kerberoast с помощью Orpheus и нахождения многих других систем с небольшими изменениями запроса Kerberos. В посте также есть демонстрация техники обхода в действии.

• Компания Eset посвятила пост тому, что такое усталость от безопасности и насколько она опасна. Сотрудники больше рискуют ценными данными, потому что они теряют чувствительность к рекомендациям по безопасности. Важно заметить эти симптомы, пока не стало слишком поздно.

Исследования и аналитика

• Компания Ростелеком-Солар представила результаты исследования «Какие организации чаще других становятся жертвами внутренних нарушений?» В работе проанализированы данные пилотных проектов использования системы защиты от утечек Solar Dozor в 307 российских организациях в 2021 году, по результатам которых аналитики Ростелеком-Солар составили портрет организации – типичной жертвы внутренних нарушителей. Чаще всего нарушения происходили в организациях производственной сферы, в штате которой свыше 1000 чел.

• Лаборатория Касперского сообщает, что хотя цены на криптовалюту падали с конца 2021 года и на протяжении всей первой половины 2022 года, количество новых модификаций майнеров выросло, как и число затронутых ими пользователей. Особенно активизировались злоумышленники в третьем квартале – компании обнаружили более 150 000 новых вариантов вредоносных майнеров.

• Новое исследование Лаборатории Касперского освещает киберугрозы для АСУ и промышленных предприятий в 2023 году. Аналитики отметили, что происходящие внутри- и внешнеполитические изменения зададут новые направления активности APT, в частности изменения коснутся географии и отраслевого фокуса.

• Лаборатория Касперского подготовила расширенный прогноз и проанализировала ПО для автоматизации финансовых преступлений. В отчете Прогноз по финансовым киберугрозам и Crimeware на 2023 год исследователи рассмотрели, насколько точным оказалось их видение ландшафта финансовых угроз на 2022 год, и что нас ждет в 2023 году.

• Positive Technologies опубликовала  отчет об экосистеме Telegram для киберпреступников. Согласно сканированию компании, Telegram постепенно вытеснил хакерские форумы и в настоящее время используется для рекламы широкого спектра хакерских услуг и вредоносных программ, при этом продажа троянов удаленного доступа, корпоративных сетевых учетных записей и услуг по обналичиванию является одними из самых популярных.

• 96% организаций оказались не защищены от проникновения в локальную сеть. Positive Technologies обнародовала результаты пентестов за 2021-2022 годы. Во всех компаниях был взят полный контроль над инфраструктурой. В 9 из 10 случаях взломщик получил бы доступ к коммерческой тайне.

• По данным исследования Positive Technologies, в 100% исследованных компаний обнаружены незакрытые трендовые уязвимости. Одна из двух наиболее опасных известных уязвимостей в Microsoft .NET Framework была обнаружена в инфраструктуре 48% организаций, а на один актив высокой степени значимости пришлось в среднем две трендовые уязвимости.

• Эксперты из центра GReAT проанализировали возможные ключевые направления APT-атак в 2023 году. Эксперты ожидают увеличение атак на мобильные устройства, а также на облачные сервисы и цепочки поставок. Прогнозируется использование уязвимостей инструментов для удаленной работы, увеличение низкоуровневых атак с использованием буткитов, поддержку новых APT-групп частными компаниями и другие тренды.

• Исследователи из Avast в своем отчете подробно рассказывают о вредоносе группировки Worok. Примечателен он тем, что злоумышленники скрыли его в PNG с помощью стеганографии. Пока не выяснено, как именно злоумышленники проникают в сеть, предположительно Worok использует стороннюю загрузку DLL для запуска вредоноса CLRLoader в памяти. CLRLoader загружает еще одну DLL – PNGLoader, которая извлекает байты, встроенные в файлы PNG, и использует их для сборки двух исполняемых файлов.

• В своем  ежегодном отчете об оценке угроз правительство Швейцарии заявило, что считает киберпреступность, и в частности программы-вымогатели, главной киберугрозой для критической инфраструктуры страны, в отличие от программ, поддерживаемых государством. группы АПТ.

• Агентство национальной безопасности США выпустило отчёт, в котором указало на то, что широко используемые языки программирования C и C++ дают хакерам больше возможностей для использования эксплойтов. В связи с этим эксперты рекомендуют переходить на более безопасные языки.

• Trend Micro опубликовала  отчет о CVE-2022-32895, уязвимости в macOS PackageKit Framework, которая может использоваться вредоносными приложениями для изменения защищенных частей файловой системы. Эта уязвимость является разновидностью более старой уязвимости CVE-2019-8561.

• DFIR опубликовал очередной отчет о BumbleBee.  На этот раз вторжение началось с доставки ISO-файла, содержащего LNK и DLL. Злоумышленники использовали BumbleBee для загрузки агента Meterpreter и маяков Cobalt Strike. Затем они провели разведку, использовали два разных метода обхода UAC, сбросили учетные данные, повысили привилегии с помощью эксплойта ZeroLogon и перемещались по среде.

• Veeam Software опубликовала результаты отчета Cloud Protection Trends Report 2023, в котором рассматриваются четыре ключевых сценария «как услуга»: IaaS, PaaS, SaaS и резервное копирование, и аварийное восстановление как услуга (BaaS/DRaaS). Почти 90 % опрошенных клиентов Microsoft 365 используют дополнительные меры, а не полагаются исключительно на встроенные возможности восстановления.

• Исследование, проведенное Tessian, показало, что корпоративная электронная почта в настоящее время является вектором угрозы № 1 для кибератак. Согласно отчету, в этом году 94% организаций подверглись целевому фишингу или атаке с выдачей себя за другое лицо, а 92% пострадали от атак программ-вымогателей по электронной почте.

• Secureworks опубликовала прогноз по новым тенденциям кибербезопасности, за которыми стоит следить в 2023 году. В частности, новые схемы вымогательства как услуги (Saas) будут продолжать появляться, но в ландшафте будет доминировать киберпреступники, управляющие небольшим количеством активных схем.

• По оценке Sansec, доля сайтов Magento и Adobe Commerce, атакованных через эксплойт, в этом месяце возрастет до 38%. Это в десять раз больше, чем показатели предыдущих 10 месяцев, вместе взятых. По данным экспертов, в настоящее время в интернете активны как минимум 7 Magecart-групп, которые пытаются внедрить на серверы RAT-трояна посредством эксплуатации февральских уязвимостей в CMS.

• Исследование Check Point обнаружило резкое увеличение числа веб-сайтов, связанных с поддельными покупками, в преддверии распродаж в Черную пятницу. 17% всех вредоносных файлов, распространяемых по электронной почте в ноябре, были связаны с заказами и доставкой.

• Компания Recorded Future, занимающаяся разведкой угроз, опубликовала отчет с подробным описанием многолетней операции по оказанию влияния, проводимой правительствами Ирана и Венесуэлы, нацеленной на аудиторию в Латинской Америке.

Громкие инциденты ИБ

• Компания DraftKings, занимающаяся ставками на спорт, заявила, что выплатит все средства клиентам, пострадавшим от атаки с подстановкой учетных данных, которая привела к потерям до $300 000.

• Кибервымогатели Daixin Team атаковали авиакомпанию AirAsia Group. Представитель группировки заявил, что им удалось получить личные данные 5 млн пассажиров и всех сотрудников авиакомпании.

• 1550 приложений допускают утечку API-ключей Algolia, которые могут привести к рассекречиванию данных пользователей. API Algolia используется примерно 11 000 компаниями для реализации поиска и рекомендаций на веб-сайтах и в мобильных приложениях.

• На популярном хакерском форуме выставлена на продажу полная база данных сервиса Whoosh. Она содержит 7,3 млн записей, которые включают имя пользователя, телефон, электронную почту, часть данных банковских карт и другие сведения.

• Крах FTX, уже ставший одним из самых зрелищных в финансовой истории, усугубился, поскольку через несколько часов после того, как компания подала заявление о банкротстве, из криптовалютных кошельков FTX украли более $600 млн.

• Исследователи предупредили, что активность Mirai-ботнета RapperBot возобновилась. Теперь обновленный вредонос используется для DDoS-атак на игровые серверы. Его новая версия использует механизм самораспространения посредством Telnet.

Обзор событий предстоящих недель 28.11 - 09.12

Оффлайн-мероприятия

• 29-30 ноября, Москва - X Всероссийская конференция: Конкурентная разведка. OSINT & экономическая безопасность. КРЭБ-2022;

• 1 декабря, Москва – AntiFraud Russia 2022;

• 8 декабря, 9:30 – Код ИБ. Итоги 2022.

Онлайн-конференции

• 30 ноября – Онлайн-конференция AM Live: Управление доступом к неструктурированных данным (DCAP).

Вебинары

• 30 ноября, 11:00 – Вебинар ScanFactory: Сканирование внешнего периметра: как обнаружить уязвимость быстрее злоумышленников;

• 30 ноября, 11:00 – Вебинар ИКС: ЕСПД: настройка и интеграция с ИКС;

• 7 декабря, 14:00 – Вебинар Ростелеком-Солар: SAST и DAST: противостояние или синергия?;

• 8 декабря, 11:00 – Вебинар Ростелеком-Солар: IdM для ИБ: от рутины к автоматизации. Примеры работы в Solar inRights.