Дайджест ИБ №260 за период с 17 по 28 апреля 2023 года

Новости законодательства

• Минцифры России утвердило классификатор программно-аппаратных комплексов и правила его применения. Он включает в себя технические характеристики и предназначен для оптимизации инфраструктуры национального реестра программного обеспечения, а также для помощи в поиске необходимых решений.

• Банк России опубликовал стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Он устанавливает для банков единые правила формирования, хранения и применения уникальных цифровых отпечатков устройств.

Новости ИБ  

• VMware выпустила важные обновления, устраняющие уязвимости нулевого дня, которые можно использовать в связке для выполнения вредоносного кода удалённо. Известно, что проблема затрагивает гипервизоры Workstation и Fusion.

• Новая уязвимость с идентификатором CVE-2023-29552 представляет угрозу для протоколов обнаружения сервисов SLP. Исследователи сообщили, что она позволяет усиливать атаки в 2200 раз.

• Обнаружен новый способ взлома систем по побочному каналу, затрагивающий несколько поколений процессоров Intel. Данный способ атаки позволяет извлечь конфиденциальные данные через регистр EFLAGS и анализ тайминга выполнения инструкций. 

• Компания R-Vision выпустила обновление платформы для автоматизации реагирования на инциденты и повышения эффективности SOC – R-Vision SOAR 5.2. В новой версии пользователям стал доступен инструмент для коммуникации по электронной почте и расширены возможности сценариев реагирования.

• Хакерская группировка LockBit создала первое вредоносное программное обеспечение специально для компьютеров Apple Mac. Злоумышленники таким образом делают ставку на популярность подобной техники у пользователей и стереотип об ее неуязвимости.

• Наблюдается рост количества атак, нацеленных на развертывание вымогательской программы Trigona на серверах Microsoft SQL. Злоумышленники пытаются получить доступ к подключенным к интернету машинам, используя брутфорс или подбор ключей по словарю.

• Хакерская группировка Shadow атакует российские компании и за расшифровку данных требует суммы в размере $1-2 млн. Злоумышленники проникают в инфраструктуру жертв через уязвимые публичные сервисы и шифруют данные компании с помощью вымогателя LockBit3.

• Компания Google выпустила экстренное обновление безопасности для своего веб-браузера, исправляющее уязвимость, случаи эксплуатации которой уже были зарегистрированы. Обновление доступно пользователям Windows и macOS, патч для Linux-версии Chrome планируется в скором времени.

Интересные посты русскоязычных блогов по ИБ 

• Специалисты GlobalSign в блоге на Хабр рассказали почему шифрование почты за 30 лет не стало мейнстримом. Авторы разобрали кейс с закрытием бага 135636 по автоматическому включению/отключению шифрования почтовых сообщений в зависимости от текущей конфигурации отправителя и получателя в Mozilla.

• В блоге R-Vision на Хабр опубликована статья, посвященная PsExec – одному из наиболее распространённых инструментов для выполнения тактики горизонтального перемещения (Lateral Movement). В материале коллеги рассмотрели принцип работы PsExec и теоретические аспекты его обнаружения, а после чего представили свой вариант возможного детектирования данного инструмента.

• Эксперты FirstVDS опубликовали серию статей, в которых проанализировали первый MSI вымогатель Magniber. В первой части авторы изучили историю и провели анализ сложнейшего шифровальщика. В продолжении разобрали хронологию появления зловреда, а также провели статистический анализ первой ступени. Данный вирус в своей кампании использует критические уязвимости нулевого дня и нацеливается на пользователей сети Европы и стран СНГ.

• Исследователи Лаборатории Касперского проанализировали различные методы заражения вредоносным ПО. В своей статье авторы приводят выдержки из недавних отчетов, посвященных необычным методам заражения, и описывают соответствующее вредоносное программное обеспечение.

Интересные посты англоязычных блогов по ИБ   

• Julien Vehent посвятил пост важности и необходимости развивать более сильные навыки разработки программного обеспечения в области кибербезопасности. Автор сделал акцент на разработку данных на примере истории развития обнаружения и реагирования.

• В блоге компании Permiso исследователи опубликовали статью, посвященную схемам использования облачных сред для компрометации службы SNS и возможностей SMS. Автор описал опыт компании в расследовании атаки компрометации учетной записи, в частности, неудачной попытки злоумышленника использовать GetSMSAttributes.

• Julien Egloff в блоге Synacktiv рассказал об извлечении хакером "секретов" LSASS, LSA и DPAPI при пост-эксплуатации скомпрометированных Windows-систем для горизонтального или вертикального перемещения. В статье также представлен обзор содержащейся в "секретах" информации, доступных инструментов для их восстановления и существующие риски обнаружения.

• Anton Chuvakin в своем блоге поделился мнением о выпущенном отчете Mandiant 2023 M-Trends. Автор подсветил некоторые моменты, которые он нашел в нем удивительными и не удивительными. Неудивительно, например, то, что среднее глобальное время ожидания продолжает улучшаться из года в год, а большинство (48%) групп угроз имеют финансовые мотивы.

Исследования и аналитика

• Лаборатория Касперского опубликовала отчет Managed Detection and Response — отчет за 2022 год. В прошлом году эксперты выявляли минимум три критических инцидента в день. Самыми атакуемыми отраслями в России и СНГ в 2022 год стали промышленность (24%), финансовые организации (20%), ИТ-компании (17%), транспорт (14%) и СМИ (12%).

• Аналитический центр Гарда Технологии проанализировал данные об изменении ландшафта и особенностей DDoS-атак в I квартале 2023 года. По сравнению с IV кварталом 2022 года в I квартале 2023 значительно выросла доля UDP-флуда с 40% до 47%, SYN-флуд по-прежнему занимает второе место, хотя и уступил свои позиции с 38% до 36%, стабильны уровни атак типа DNS Amplification и NTP Amplification.

• Эксперты Лаборатории Касперского выпустили отчет APT trends report Q1 2023. Известные субъекты угроз, такие как Turla, MuddyWater, Winnti, Lazarus и ScarCruft, продолжают развивать свои наборы инструментов. Злоумышленники используют различные языки программирования, включая Go, Rust и Lua.

• Исследователи компании InfoWatch провели исследование утечек информации в России за прошлый год и выявили неутешительную картину. Утечки информации в государственном и коммерческом секторе стали более массовыми, причем не только по количеству, но и по объему украденных данных. Кроме того, в отчете приведена отраслевая карта, которая позволяет оценить ситуацию в различных сферах экономики. 

• Специалисты Лаборатории Касперского обнаружили, что количество атак с использованием банковских троянов семейства QBot значительно возросло в апреле. Для этого используются использованием PDF-файлы и Windows Script Files. Первые письма с вредоносными PDF начали приходить получателям вечером 4 апреля текущего года.

• Qrator Labs представила статистику DDoS-атак в первом квартале 2023 года. В Q1 наиболее атакуемыми индустриями стали электронные доски объявлений (26,7%), системы онлайн-обучения (13,3%), платежные системы (11,5%), банки (9,3%) и игровые серверы (5,2%).  

• Аналитики F.A.C.C.T. обнаружили новую инфраструктуру MuddyWater, изучая использование атакующими легитимного инструмента SimpleHelp. Экперты детально разобрались в сетевой инфраструктуре MuddyWater и показали как находить серверы этой группировки самостоятельно. 

• Компания Cobalt опубликовала пятое издание ежегодного исследовательского отчета Thr State of Pentesting.  В отчете за 2023 год используются данные более 3100 пентестов за 2022 год, и 1000 ответов от групп безопасности в США, Великобритании и Германии. 5 наиболее распространенных проблем со всеми активами включают в себя: сохраненный межсайтовый скриптинг, устаревшие версии программного обеспечения, потенциально зараженные прямые ссылки на объекты, отсутствие заголовков безопасности и небезопасные протоколы Secure Sockets Layer (SSL) и Transport Layer Security (TLS).

• ESET опубликовала новое исследование устройств корпоративной сети, проданных на вторичном рынке. Просмотрев данные конфигурации 16 различных сетевых устройств, исследователи обнаружили, что более 56% роутеров содержали конфиденциальные данные компаний.

• Среднее время пребывания злоумышленника внутри скомпрометированной сети сократилось до 16 дней в прошлом году, согласно отчету Mandiant M-Trends 2023. Это число сократилось до 21 дня в 2021 году с 416 дней в 2011 году, что говорит о том, что компании стали лучше выявлять участников угроз внутри своих сетей.

• ThreatConnect, Inc. Выпустила первый отчет о количественной оценке риска, в котором оценивались финансовые последствия атак программ-вымогателей на малые ($500 млн), средние ($1.5 млрд) и крупные ($15 млрд) организации в сфере здравоохранения, производства и коммунальных услуг. 

• CISA опубликовало отчет, в котором излагаются и описываются различные стороны и этапы жизненного цикла обмена спецификациями программного обеспечения. Отчет SBOM Sharing поможет выбрать платформы для совместного использования на основе ресурсов, усилий, экспертных знаний в предметной области и доступа к инструментам.

• Согласно ежеквартальному отчету ANY.RUN, RedLine infostealer был наиболее анализируемым вредоносным ПО на его платформе в первом квартале 2023 года.

• Исследователи ESET показали, как предприятия могут подвергаться хакерским атакам после некачественной утилизации сетевого оборудования. Полный отчет ESET содержит рекомендации для безопасной утилизации маршрутизаторов, которая в большинстве случаев реализуется с помощью функций, предоставляемых производителем.

• Secureworks разработали новый метод, использующий AWS CloudTrail для обнаружения использования украденных учетных данных. При каждом запуске AWS Lambda генерирует событие регистрации AWS CloudTrail, которое можно использовать для установления базовых показателей для нормальной работы. Затем можно обнаружить отклонения от базового уровня. Понимание метода логики обнаружения требует некоторых знаний об архитектуре AWS Lambda, работе и вызовах API управления.

• CybelAngel  выпустила отчет Состояние внешних поверхностей атак в 2023 году: ежегодный отчет об анализе тенденций угроз. В материале рассматриваются уязвимости, связанные с Интернетом, обнаруженные платформой CybelAngel Xtended External Attack Surface Management (EASMX) в 2022 году. В отчете также выделяются важнейшие пути, которыми воспользуются хакеры, чтобы добраться до своей цели, а также тенденции в киберпреступности, ключевые области риска для данных и разбивка рисков по отраслям.

• Deep watch выпустила 2023 Annual Threat Report. Согласно данному отчету, операторы программ-вымогателей все чаще проводят атаки, требуя более высокие суммы выкупа и публично разоблачая жертв, что приводит к появлению экосистемы, в которую входят брокеры доступа, поставщики услуг программ-вымогателей, страховые компании и участники переговоров о выкупе.

• GuidePoint Security опубликовала отчет за 1 квартал 2023 года о программах-вымогателях. В рамках него GREAT отследила 849 публичных сообщений о жертвах программ-вымогателей, заявленных 29 различными группами пользователей в первом квартале 2023 года, что на 25% больше по сравнению с 4 кварталом 2022 года.

• Компания eSentire обнаружила способ предотвратить развертывание вредоносной программы Foot Loader через взломанные веб-сайты. Исследователи безопасности сообщают, что, тщательно размещая веб-запросы к более чем 375 000 вредоносным URL-адресам, которые обслуживают GootLoader, они могут защитить большую часть Интернета от заражения.

• Компания Human, занимающаяся защитой от мошенничества с рекламой, опубликовала ежегодный отчет, в котором отметила, что трафик ботов удвоился в прошлом году, в то время как законный трафик, генерируемый человеком, сократился. Компания также заявляет, что большая часть трафика ботов поступает из-за поддельных устройств и прокси-серверов.

• В период с февраля по апрель Израиль был основной целью происламских хактивистов, на долю которых пришлось 11% всех атак, говорится в отчете, опубликованном центром исследований безопасности Radware.

Громкие инциденты ИБ 

• Израильская Организация социального обеспечения и израильская газета «Маарив» подтвердили кибератаку на свои сервисы. Хакерская группа «Anonymous Sudan» взяла ответственность за взлом этих сайтов.

• Хакеры вывели 700 тысяч руб. со счетов магазина в городе Череповце. Кибервымогатели использовали вирус, чтобы атаковать банковскую программу торговой точки, занимающейся продажей мясной продукции.

• Расследование атаки на цепочку поставок, от которой пострадала компания 3CX, показало, что инцидент был вызван другой компрометацией цепочки поставок. Сначала злоумышленники атаковали компанию Trading Technologies, занимающуюся автоматизацией биржевой торговли, и распространили троянизированные версии ее ПО.

• Хакерская атака на серверы британской аутсорсинговой компании Capita, оказывающей услуги Минобороны Соединенного Королевства, привела к утечке клиентских данных. Специалисты информационной безопасности установили, что злоумышленники получили доступ к 4% серверной инфраструктуры компании и украли оттуда файлы с конфиденциальной информацией.

• CommScope, американский поставщик сетевой инфраструктуры недавно подтвердил, что подвергся атаке программы-вымогателя. В настоящее время компания расследует утечку украденной информации, распространяемой по даркнету.

• От хакерской атаки пострадала американская компания NCR, специализирующаяся на производстве платежных терминалов, банкоматов, POS-терминалов, а также являющаяся провайдером различных аутсорсинговых ИТ-услуг. Ответственность за атаку на POS-систему Aloha, взяла на себя вымогательская группировка BlackCat.