Дайджест ИБ №262 за период с 15 по 26 мая 2023 года

Новости ИБ  

• Приложение iRecorder для Android оказалось заражено трояном AhRat. Приложение может не только похищать записи с микрофона устройства, но и делать их без ведома пользователя и загружать на сервер атакующего. Помимо звукозаписей троян нацелен на изображения, видео, документы и сохраненные веб-страницы. 
• Ученые открыли новый способ атаки под названием "BrutePrint", который позволяет с помощью метода брутфорс подбирать отпечатки пальцев на смартфонах и обходить аутентификацию для получения контроля над устройством.
• Евросоюз призывает запретить сквозное шифрование сообщений граждан. Согласно документу, большинство стран ЕС поддерживают идею сканирования личных сообщений на предмет незаконного контента.
• Владельцы Python Package Index предупредили разработчиков о временных ограничениях в работе систем. Пользователи некоторое время не смогут создавать в аккаунты и загружать софт из-за огромного количества вредоносных проектов и многократно возросшей активности их авторов.
• Хакеры активно используют Microsoft Teams для фишинга и распространения вредоносных программ. Они создают вирусные вкладки в интерфейсе Teams и изменяют ссылки в приглашениях на собрания и в сообщениях чата.
• Эксперты заявляют о росте активности программ-вымогателей LokiLocker и BlackBit. Треть объектов этих шифровальщиков находятся в РФ – 21 компания. Атакующие требуют выкуп до 8 млн руб. за расшифровку данных.
• Правительство РФ поддержало законопроект о штрафах до 1,5 млн руб. за нарушение использования биометрических данных граждан должностными лицами кредитных организаций.
• Специалисты выяснили, что хакерская группа Leak Wolf похитила данные более чем у 40 российских компаний, даже не используя вредоносное программное обеспечение. Киберпреступники использовали аккаунты сотрудников компаний и доступы IT‑подрядчиков.
• Обнаружена уязвимость в приложении Telegram для macOS. Она позволяла получать доступ и активировать камеру и микрофон персонального компьютера.

Интересные посты русскоязычных блогов по ИБ 

• Эксперты компании GlobalSign опубликовали статью, посвященную безопасности современной инфраструктуры распространения видео, а конкретно – видеодекодеров H.264. В материале описаны ряд багов в системе декодирования H.264 на разных платформах, включая повреждение памяти ядра в iOS, в Firefox и VLC под Windows, а также ошибки в памяти видеоускорителей.
• В блоге R-Vision на Хабр вышла статья о том, как злоумышленники могут использовать технологию eBPF (extended Berkeley Packet Filter) при запуске вредоносных программ. Коллеги рассказали, какую опасность несут в себе нелегитимные eBPF программы, а также проанализировали основные способы мониторинга их загрузки, позволяющие обнаружить вредоносную активность. Помимо этого, представили возможные варианты ее детектирования.
• Алексей Лукацкий в своем блоге написал про тенденции 2023-го года в области ИБ по версии Gartner. Главными из них являются архитектура ИБ, ориентированная на людей, улучшение управления персоналом и трансформация операционной модели ИБ для поддержки создания ценности.
• Роман Емельянов, DevOps-инженер компании Nixys, опубликовал статью на тему безопасности и рисков. В первой части говорилось о безопасном подходе к эксплуатации облачных инфраструктур, а во второй автор рассказал про безопасность docker-образов: какие уязвимости бывают и как их искать в этих образах.

Интересные посты англоязычных блогов по ИБ   

• Nik Hewitt выделил основные аспекты в обнаружении и предотвращении бокового перемещения (Lateral movement) – концепции кибербезопасности, которая включает в себя определение методов, используемых злоумышленниками для перемещения по сети в поисках целевых данных или уязвимостей системы. Автор также отметил важность развития нулевого доверия к безопасности бокового перемещения.
• Javvad Malik в своей статье высказал мнение о том, что компаниям не рекомендуется вкладывать большие суммы в новейшие технологии на рынке, поскольку социальная инженерия является предпочтительным путем атаки вымогателей. Основная проблема которую необходимо решить – психологическое поведение сотрудников.
• Paul Trulove выделил 7 проблем управления доступом во время слияний и поглощений. Управление идентификацией и доступом имеет решающее значение для непрерывности бизнеса и безопасности даже во время неожиданных потрясений в бизнесе. Организации должны использовать комбинацию методов для обеспечения многоуровневой защиты от несанкционированного доступа.
• Эксперт компании Elastic опубликовал PoC для PPLFault и GoldFault, двух новых атак с использованием уязвимости в Windows Protected Process Light. Механизм PPL защищает антивирусные ПО и критически важные службы Windows от несанкционированного доступа. Этот статус реализуется Windows Code Integrity, которая обеспечивает запуск кода процессами PPL только со специальными подписями.

Исследования и аналитика

• Эксперты Лаборатории Касперского провели исследование, чтобы выяснить, насколько хорошо ChatGPT распознает вредоносные ссылки. Авторы описали пример применения большой языковой модели для выполнения реальной ИБ-задачи и поделились своими наблюдениями. 
• Лаборатория Касперского представила отчет за 2022 год "Природа инцидентов информационной безопасности". По результатам злоумышленники чаще всего проникали в инфраструктуру организаций при помощи эксплуатации уязвимостей в публично доступных приложениях 42,9%, доля атак, начинающихся с вредоносных писем, составила 11,9%.
• Dr.Web выпустил отчет по вирусной активности в марте 2023. Анализ статистики детектирований антивируса показал рост общего числа обнаруженных угроз на 21,39% по сравнению с февралем. Число уникальных угроз увеличилось на 46,64%. Чаще всего пользователи сталкивались с рекламными приложениями и троянскими программами.
• Согласно данным статистики детектирований Dr.Web для мобильных устройств Android, в марте 2023 года одними из наиболее распространенных угроз стали рекламные троянские приложения, представленные семействами Android.HiddenAds и Android.MobiDash. Активность первых осталась на уровне прошлого месяца и выросла на незначительные 0,16%, а вторые активизировались более заметно – на 11,89%. 
• Согласно последнему отчету Microsoft Cyber Signals, за последний год было обнаружено 35 млн попыток взлома деловой электронной почты. В период с мая 2022 по апрель 2023 года было удалено 417 678 уникальных фишинговых URL-адресов.
• По данным Sophos, PowerSploit был самым популярным фреймворком для постэксплуатации с тремя участниками за последние шесть месяцев. Meterpreter и Empire заняли второе и третье места, показатели обнаружения Cobalt Strike и Brute Ratel были низкими, это означает, что они являются незаменимыми инструментами для целенаправленных вторжений.
• Snyk опубликовала топ-10 наиболее распространенных уязвимостей кода, обнаруженных в экосистемах JavaScript, Java, Python, Go, PHP, Ruby и C# в прошлом году.
• The Identity Theft Resource Center исследовал случаи кражи личных данных за 2022 - Q1 2023, подчеркнув использование преступниками стратегий для убеждения людей добровольно делиться информацией. 55% случаев были связаны со скомпрометированными учетными данными, 40% - с неправильным использованием учетных данных, и 1% - с тем, что жертвы были уведомлены о попытке неправомерного использования их данных.
• Команда DIR Report опубликовала подробный анализ цепочек заражения, которые используют вредоносное ПО  IcedID для развертывания программы-вымогателя Nokoyawa.

Громкие инциденты ИБ 

• Немецкий концерн Rheinmetall подтвердил кибератаку группы Black Basta на свои системы. Киберинцидент затронул только гражданский бизнес компании, специалисты продолжают работать над устранением последствий атаки.
• ИБ-специалисты сообщили, что хакеры из группировки UHG опубликовали в открытом доступе данные пользователей "Ситилаб". Злоумышленникам удалось похитить 14 ТБ внутренних данных компании.
• Представители Toyota Motor Corporation сообщили, что с января 2012 года по апрель 2023 года из облачного сервиса Toyota Connected происходила утечка данных о местонахождении автомобилей 2 150 000 клиентов компании.
• Американская компания PharMerica, предоставляющая аптечные услуги в 50 штатах США и обслуживающая около 3100 медицинских учреждений по всей стране, признала факт масштабного нарушения безопасности своей системы. В результате хакерской атаки были похищены персональные и медицинские данные более 5,8 млн пациентов.
• Представители Discord уведомили пользователей об утечке данных, которая стала следствием взлома аккаунта, принадлежащего стороннему агенту службы поддержки. В результате были украдены email-адреса, содержание обращений в техподдержку и прикреплённые вложения.
• Атака хакеров на несколько дней парализовала работу крупнейшей газеты в Пенсильвании. Данная кибератака нанесла ущерб работе внутренних систем газеты, в связи с чем издание не смогло распространить свой выпуск.

Обзор событий предстоящих недель 29.05-09.06

Оффлайн-мероприятия

• 31 мая – 2 июня, Нижний Новгород – конференция "Цифровая индустрия промышленной России";
• 6 – 7 июня, Ханты-Мансийск – XIV Международный IT-Форум;
• 7 июня, Москва – конференция по БЕзопасности КОНтейнеров и контейнерных сред;
• 8 июня, Калининград – конференция "КОД ИБ".

Онлайн-мероприятия

• 7 июня, 11:00 – онлайн-конференция AM Live: Услуги коммерческих SOC v2023.