Дайджест ИБ №259 за период с 3 по 14 апреля 2023 года

Новости ИБ  

• Специалисты выявили активность коммерческого шпионского софта, который был разработан израильской организацией QuaDream. Этот шпион использовался в атаках на пользователей iPhone через приглашения в календаре и задействовал 0-click эксплойт ENDOFDAYS.

• Исследователи обнаружили, что новейший генеративный инструмент на основе искусственного интеллекта для взлома паролей PassGAN научился моментально взламывать каждый второй пароль. Способности ИИ проверили на 15,6 млн всевозможных паролей.

• Google анонсировала обновления безопасности за апрель 2023 года для устройств Android, исправив более чем 65 уязвимостей, включая две критические RCE. В бюллетене безопасности описаны 26 уязвимостей, большинство из которых являются серьезными ошибками, приводящими к повышению привилегий или раскрытию информации.

• Компания CrowdStrike предупреждает, что хакеры добавляют вредоносные функции в самораспаковывающиеся архивы (SFX), содержащие безвредные файлы-приманки. Эта уловка позволяет злоумышленникам внедрять бэкдоры на машины жертв, не поднимая «тревоги».

• Google вводит новую политику удаления данных для приложений Android, которая позволяет создавать новые учетные записи, а также даёт пользователям возможность удалить аккаунт, чтобы обеспечить большую прозрачность и контроль над своими данными.

• Новая вредоносная программа Rilide атакует основанные на Chromium браузеры. Зловред маскируется под безопасные с виду расширения и пытается вытащить конфиденциальные данные и криптовалюту жертвы.

• Аналитики обнаружили новую вымогательскую малварь Rorschach, которая уже использовалась для атаки на американскую компанию. Этот вредонос отличается крайне высокой скоростью шифрования файлов, и тем, что его установка происходит с помощью подписанного компонента коммерческого защитного ПО.

• Евросоюз готовит развертывание специального "киберкупола" для защиты от угроз в информационном пространстве. Речь идет об архитектуре, которая основывается на операционных центрах по кибербезопасности, представляющих собой суперкомпьютеры, оснащенные специальными алгоритмами искусственного интеллекта.

Интересные посты русскоязычных блогов по ИБ 

• В блоге компании GlobalSign описан инцидент с утечкой секретного ключа RSA SSH, который использовался для операций на хосте github.com. Эксперты рассказали о деталях утечки, объяснили недостаток сертификатов ssh, а также то, как можно обезопасить свои ключи.

• Автор блога на Хабр поделился исследованием https-трафика мобильного приложения с целью помочь разработчикам клиентских приложений немного углубиться в матчасть передачи данных поверх HTTPS и оценить риски в своих приложениях.

• Специалисты компании VAS Experts рассказали о новой уязвимости Wi-Fi, причиной которой стал механизм экономии энергии, описанный в стандарте IEEE 802.11. Эксперты также рассказали, в чем заключается проблема и что необходимо делать для защиты.

• ИСО и МЭК опубликовали новые редакции первых двух частей стандарта ISO/IEC 27035 «Менеджмент инцидентов информационной безопасности». Автор блога, Наталья Храмцовская прокомментировала состав данных документов.

Интересные посты англоязычных блогов по ИБ   

• Автор Tristan Gilmour подготовил краткий экскурс в историю уязвимостей Windows. В статье описаны принципы атак вида "переполнение буффера", "пинг смерти", троян "Back Orifice", а также меры, предпринятые Windows для повышения уровня безопасности операционных систем.

• Эксперт Todd Schell в блоге HelpNetSecurity опубликовал свой прогноз выхода "патчей" безопасности на апрель 2023 года. Обновление безопасности ожидается в операционных системах и браузерах Microsoft, Google и других.

• Специалист Samuel Brown в блоге компании PingIdentity рассказал о том, как подход "беспарольной" аутентификации может усилить информационную безопасность организации, а также какие препятствия возникают на пути внедрения решений беспарольной аутентификации. В заключение статьи автор приводит описание основных функциональных возможностей таких решений.

• В блоге Microsoft эксперты рассмотрели угрозы, с которыми сталкиваются в среде DevOps, и представили новую матрицу угроз для DevOps. На ее основе авторы показали различные методы, которые злоумышленник может использовать для атаки на организацию, начиная с начальной фазы доступа и далее.

Исследования и аналитика

• Специалисты Positive Technologies проанализировали актуальные киберугрозы 2022 года. Общее количество инцидентов увеличилось на 21% по сравнению с 2021 годом. Одними из главных тенденций стали увеличение числа инцидентов, связанных с веб-ресурсами, появление вайперов, а также усиление межотраслевых последствий атак на IT-компании.

• В отчете Рынок фишинга в Telegram эксперты  Лаборатории Касперского рассказали о разнообразии фишинговых услуг в мессенджере, их нюансах и ценах, а также об особенностях детектирования фишингового контента родом из Telegram.

• Лаборатория Касперского выпустила отчет по Финансовым киберугрозам в 2022 году. Эксперты наблюдали угрозы нового типа, включая новые схемы атак на системы бесконтактных платежей, а также появление новых группировок вымогателей. В то же время традиционные угрозы, такие как банковские вредоносные программы и финансовый фишинг, по-прежнему составляют значительную долю кибератак, совершаемых ради финансовой выгоды.

• Экспертно-аналитический центр компании InfoWatch выпустил отчет по результатам исследования утечек информации в мире среди коммерческих компаний и государственных организаций в 2022 году. В материале приводится динамика отдельных показателей за период 2017-2022 гг. 

• Компания Ростелеком-Солар представила результаты исследования сетевых угроз, проведенное в марте 2023 года. Самым дорогостоящим инцидентом для российских корпораций за последний год стал перехват внешним злоумышленником контроля над сетевым оборудованием компании – потери от него составили 10,7 млн рублей, а затраты на восстановление – 7,9 млн рублей. Исследование также показало, что на рынке наблюдается дефицит отечественных средств защиты от сетевых угроз, и в российских организациях растет спрос на этот класс решений.

• Эксперты Positive Technologies опубликовали исследование об обнаружении и предотвращении атак, в которых используются наиболее популярные техники MITRE ATT&CK. Исследователи успешно применяли представленные методы в ходе пентестов, проведенных в российских организациях в 2022 году. Список предложенных превентивных мер покрывает 29% требований о защите информации, изложенных в приказе ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

• В исследовательском документе Trend Micro под названием Inside the Halls of a Cybercrime Business подробно рассматриваются малые, средние и крупные преступные группировки на основе случаев арестов правоохранительными органами и инсайдерской информации.

• Sysdig опубликовали отчет, в котором описывается, как киберпреступники используют уязвимость Log4j для получения доступа к IP-адресам, которые затем продаются организациям, которые далее их перепродают. Атаки, получившие название proxyjacking, позволяют злоумышленникам перепродавать пропускную способность поставщикам прокси-сервисов скрыть свое физическое местоположение.  

• Cyberint опубликовали отчет по Тенденциям программ-вымогателей в 2023 г. Число жертв в 1 квартале 2023 года по отношению к 1 кварталу 2022 составило 831 против 763. LockBit3.0 оставался угрозой номер один, атакуя в среднем около 23 жертв в неделю и на него пришлось почти 33% всех случаев программ-вымогателей в этом квартале.

• В новом отчете компании WithSecure, проведенном Forrester Consulting, говорится, что многие организации проявляют реактивность в своем подходе к защите от угроз и поэтапны, когда речь идет об инвестициях в кибербезопасность. При этом цели безопасности отделяются от бизнес-целей, в результате чего организации вкладывают средства в защиту от угроз, которые не имеют отношения к их бизнесу или целям.

• Несмотря на то, что прозрачность и оперативная отчетность являются важными шагами после атаки, Bitdefender обнаружил, что многим ИТ-специалистам было приказано сохранять конфиденциальность после взлома. Более 42% опрошенных ИБ-специалистов заявили, что им нужно сохранять конфиденциальность в случае утечки, хотя они знали, что о нем следует сообщить, а 30% заявили, что сохраняли конфиденциальность в отношении нарушения.

• По данным WatchGuard, несмотря на снижение количества обнаруживаемых в сети вредоносных программ в четвертом квартале 2022 года, количество программ-вымогателей для конечных точек выросло на 627%, в то время как вредоносное ПО, связанное с фишинговыми кампаниями, по-прежнему представляло угрозу.

• Исследователи Resecurity в новом отчете фокусируются на относительно новой даркнет-площадке STYX, которая реализует услуги по финансовому мошенничеству. STYX открылась 19 января и реализует систему условного депонирования для посредничества в сделках между покупателями и продавцами.

• Британская некоммерческая организация RUSI опубликовала отчет о том, как индустрия киберстрахования может сыграть определенную роль в замедлении текущей экосистемы программ-вымогателей и вымогательства данных.

• Подразделение Threat intel опубликовало отчет с текущими основными рынками dark web, спустя год после того, как правоохранительные органы ликвидировали Hydra. В "большую пятерку" теперь входят Mega, Black sprint, Solaris, Kraken и OMG!OMG!

Громкие инциденты ИБ 

• Тайваньский поставщик компьютерных компонентов MSI подтвердил факт кибератаки. Хакерская группировка Money Message объявила, что ей удалось взломать некоторые внутренние системы компании и вывести оттуда значительный массив данных.

• Хакеры взломали сайт Городских зрелищных касс (Kassy.ru). Злоумышленникам известны логин и хешированный пароль пользователя, фамилия, имя, отчество, пол пользователя, его дата рождения и адрес электронной почты. В базе также есть сведения о том, в каком городе клиент заказывал билеты на мероприятия.

• Чат-бот с искусственным интеллектом ChatGPT стал причиной утечки корпоративных данных Samsung. Конфиденциальная информация корпорации попала в Сеть из-за неправильного использования специалистами ChatGPT.

• Кибератаке подверглось оборудование компании Galil Sewage Corporation, специализирующейся на орошении полей. Пострадали системы мониторинга ирригации, которые отвечают за автоматический полив, а также система работы со сточными водами.

• Компания Western Digital объявила, что ее сеть была взломана, и неавторизованные третьи лица получили доступ к нескольким системам. После обнаружения атаки компания приняла дополнительные меры для защиты своих систем и операций, которые повлияли на работу ряда сервисов производителя.

• Онлайн-сервис подачи деклараций о доходах eFile.com в течение как минимум двух недель выполнял на ПК посетителей вредоносный скрипт на языке JavaScript для распространения трояна, превращающего компьютер в участника ботнет.

• Ведущие информационные порталы Израиля подверглись массированной хакерской атаке группировки Anonymous Sudan. Помимо сайта The Jerusalem Post, взломаны порталы израильской государственной телерадиокомпании Kan и базирующегося в Тель-Авиве информационного телеканала I24, вещающего на иностранных языках.

• Аутсорсинговая компания Capita восстанавливает свои системы после кибератаки, затронувшей доступ к внутренним приложениям Microsoft 365. Взлом привел к блокировке некоторых услуг для клиентов.

Обзор событий предстоящих недель 17.04 – 28.04 

Офлайн-мероприятия

• 20 апреля, Екатеринбург – Конференция БИТ Урал 2023;

• 20-21 апреля, Москва – III Международный форум по цифровизации и ИТ в металлургической отрасли Smart Mining & Metals;

• 25-28 апреля, Астрахань – 1-й Каспийский форум информационной безопасности;

• 27 апреля, Санкт-Петербург – Код ИБ 2023.

Онлайн-мероприятия

• 20 апреля, 11:00 – Обучающий митап от CyberCamp «DevSecOps».

Вебинары

• 18 апреля, 12:00 – Вебинар ITGLOBAL.COM: Аутсорс ИБ: современный подход к безопасности;

• 18 апреля, 11:00 – Вебинар Код ИБ: NoSQL СУБД Енисей: использование СУБД в построении сложных распределённых систем;

• 18 апреля, 11:00 – Вебинар Диалог-Наука: Обзор актуальных нормативных требований Банка России по защите информации;

• 19 апреля, 14:00 – Вебинар Ростелеком-Солар: Как автоматизировать поиск уязвимостей с помощью SAST и DAST: пример уязвимости SSRF;

• 25 апреля, 12:00 – Вебинар Ростелеком-Солар: Практика применения PAM: мифы и реальность;

• 27 апреля, 12:00 – Вебинар Ростелеком-Солар: Политика в DLP – это не страшно. Как настроить политику, чтобы она работала на вас?