Дайджест ИБ №263 за период с 29 мая по 9 июня 2023 года

Новости ИБ  

• Эксперты предупреждают об опасности "голубых галочек" Google. Злоумышленники начали верифицировать аккаунты, имитирующие известные бренды, создавая поддельные электронные почты. Такие аккаунты используют для получения платежных данных.
• Обнаружена новая мошенническая схема в ОАЭ, в рамках которой злоумышленники отправляли пользователям поддельные SMS-сообщений с просьбой оплатить проезд автомобиля. Сообщения содержали сокращенный URL-адрес, скрывающий фишинговую ссылку.
• Разработчики Google обновили браузер Chrome, исправив серьезную уязвимость с идентификатором CVE-2023-3079, которая уже использовалась хакерами. Проблема заключалась в движке Chrome Java Script V8.
• Компания Microsoft планирует сделать обязательной SMB-подпись для всех соединений по умолчанию, чтобы бороться с векторами атак, использующими ретрансляцию NTLM, при которых злоумышленники могут подделывать идентификацию устройств в сети и получать полный контроль над доменом Windows.
• Выявлена новая киберпреступная кампания, направленная на получение доступа к онлайн-банкам Мексики, Перу и Португалии. Хакеры использовали LOLBaS-атаки и скрипты командной строки.
• Несколько лет киберпреступники использовали сайты госорганов и университетов США для распространения рекламы хакерских услуг и фишинговых ссылок. Они загружали на сайты PDF-файлы с рекламными текстами и ссылками, эксплуатируя уязвимости в системах управления контентом и формы для отправки документов.
• Выявлен программный модуль SpinOk для Android, который шпионил за пользователями и передавал их файлы и данные злоумышленникам. Модуль под названием SpinOk обнаружили в приложениях, общий тираж которых превысил 421 млн загрузок.
• В Microsoft обнаружили уязвимость Migraine (CVE-2023-32369) в ОС macOS, которая позволяла киберпреступникам с root-привилегиями обходить защиту System Integrity Protection, устанавливать на устройство "неудаляемую" малварь и получать доступ к личным данным жертвы.

Интересные посты русскоязычных блогов по ИБ 

• В своей статье автор объясняет, как с помощью стандартных командлетов Powershell просматривать требуемые события, ведь стандартная оснастка просмотра событий eventvwr.msc не позволяет строить гибкие фильтры для просмотра событий.
• В блоге R-Vision на Хабр вышла статья, посвященная новой критичной уязвимости Linux-систем – CVE-2023-0386. В материале коллеги описали принципы работы CVE-2023-0386, а также представили возможный вариант ее детектирования.
• В блоге компании RUVDS.com автор рассказал о дыре в безопасности открытого проекта onlyoffice – от выявления до устранения, а также о том, как решая заявку с багом, невольно стал исследователем уязвимостей.
• Пост Timeweb Cloud посвящен проблеме равенства классов сложности P и NP, также известной как проблема перебора.

Интересные посты англоязычных блогов по ИБ   

• Helga Labus в своей статье рекомендует 9 бесплатных технических документов по кибербезопасности, которые необходимо прочитать специалистам по безопасности.  В них исследуются возможные риски, связанные с генеративным ИИ и большими языковыми моделями.
• Эксперты из BadOption.eu во время экспериментирования с новыми доменами .zip обнаружили некорректное поведение проводника Windows, которое может вызвать RCE, если установлена ​​среда выполнения Java. Такое поведение назвали ZipJar.
• Исследователи компании Trend Micro, Guy Lederfein и Lucas Miller, описывают в блоге, каким способом уязвимость CVE-2023-24941 в MICROSOFT NETWORK FILE SYSTEM (NFS) v4.1 приводит к удаленному выполнению кода.

Исследования и аналитика

• Эксперты Лаборатории Касперского обнаружили малварь, которую назвали "Операция Триангуляция". В первой публикации о вредоносной кампании приведена подробная инструкция для самостоятельной проверки устройств на следы компрометации с помощью MVT. Такая проверка включает ручной поиск индикаторов, поэтому эксперты разработали утилиту triangle_check для автоматического поиска следов заражения. 
• Лаборатория Касперского выпустила сразу три отчета: 1. Развитие информационных угроз в первом квартале 2023 года. 2. Развитие информационных угроз в первом квартале 2023 года Статистика по ПК.  3. Развитие информационных угроз в первом квартале 2023 года. Мобильная статистика.
• По данным Kaspersky ICS CERT, в первые пять месяцев 2023 года доля заблокированных вредоносных объектов на компьютерах автоматизированных систем управления в России составила 31,3%. 
• Согласно второму ежегодному исследованию Nuspire Challenges and Buying Trends: A Focus on Optimization, руководители CISO и ITDMs больше всего заняты стратегией бизнеса, ИТ и программами безопасности, но они тратят меньше времени на исследование угроз, информирование и поиск по сравнению с 2022 годом. Также 58% респондентов указали, что их бюджеты увеличились, а 42% планируют увеличить бюджеты.
• Отчет GAO показал, что Министерство внутренней безопасности США до сих пор использует устаревшее оборудование для запуска некоторых критически важных систем, подвергая себя взлому и другим угрозам безопасности.
• Эксперты Palo Alto Networks' Unit 42 опубликовали свой ежегодный отчет о сетевых угрозах, в котором сообщается, что в прошлом году количество атак, использующих уязвимости, увеличилось на 55% по сравнению с 2021 годом. Компания также отметила рост на 27,5% числа вредоносных программ, нацеленных на индустрию операционных технологий.
• Компания Censuswide  опубликовала исследование Jumio 2023 Online Identity Study, которое  показывает, как ИИ и технологии дипфейков могут усилить мошенничество с личными данными, и последующую потребность в дополнительных проверках для верификации и аутентификации. 67% потребителей осведомлены о технологиях ИИ, но они переоценивают способность распознавать дипфейки.
• По данным  F.A.С.С.T., в марте-апреле текущего года число попыток перехвата аккаунтов пользователей в сервисах дистанционного банковского обслуживания возросло на 59%, если сравнивать с показателями января-февраля 2023 года. Специалисты заявили, что подобные действия злоумышленников могут стать причиной утраты контроля пользователем за его личным кабинетом в онлайн-банкинге.
• В отчете Verizon о расследованиях утечек данных за 2023 год рассмотрено более 16 тыс. инцидентов, из которых 5 199 были подтвержденными утечками данных. Основные выводы: DDoS-атаки оставались главным инцидентом в сфере кибербезопасности в прошлом году, 83% нарушений были связаны с действиями внешнего субъекта, 24% взломов в прошлом году были вызваны атакой программ-вымогателей.
• Исследователь вредоносных программ Igal Litzky опубликовал серию статей, состоящую  из двух частей (Часть1, Часть2), которые посвящены анализу Kraken infostealer.
• В статье OALABS подробно рассмотрен образец AsyncRAT, его анализ и метод обхода AMSI Anti-Malware Scan Interface – технологии защиты Windows.
• Компания МТС RED сообщает, что объем DDoS-атак в первом квартале 2023 года вырос в десять раз по сравнению с аналогичным периодом предыдущего года. В начале 2022 года количество выявленных DDoS-атак измерялось сотнями, а в первой четверти 2023 – уже тысячами.

Громкие инциденты ИБ 

• Госпитали в Айдахо Idaho Falls Community Hospital и Mountain View Hospital подверглись серии кибератак, которые нарушили их работу, парализовав внутренние системы IT-инфраструктуры.
• Группа вымогателей Clop взяла на себя ответственность за кибернападение на MOVEit Transfer. Они использовали критические уязвимости в MOVEit Transfer, которые привели к массовому скачиванию данных из баз организаций.
• Хакерская группа "Anonymous Sudan" увеличила сумму требуемого выкупа для Scandinavian Airlines  до $3 млн, чтобы остановить DDoS-атаки на веб-сайты авиакомпании, которые длятся с февраля.
• База данных популярного форума для киберпреступников RaidForums утекла в Сеть. Теперь другие злоумышленники и исследователи в сфере кибербезопасности смогут изучить постоянных посетителей сообщества.
• Портал Министерства образования Греции подвергся масштабной хакерской атаке, которая была направлена на отключение централизованной экзаменационной платформы школ. 
• Компания MCNA Dental, один из крупнейших поставщиков стоматологической помощи и страхования для малообеспеченных слоёв населения США, опубликовала заявление о нарушении безопасности персональных данных почти 9 млн пациентов.

Обзор событий предстоящих недель 12.06-23.06

Онлайн-мероприятия

• 14 июня, 10:30 – онлайн-конференция "Цифровая трансформация бизнеса в регионах: потенциал отечественной ИТ-индустрии";
• 14 июня, 11:00 – онлайн-конференция Гротек: Управление данными для эффективной цифровой трансформации. Российские платформы, инструменты работы, отраслевые кейсы;
• 22 июня, 10:00 – онлайн-конференция Гротек: Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях;
• 23 июня, 11:00 – онлайн-конференция Гротек: Кибербезопасность в новой реальности: как сохранить устойчивость и непрерывность бизнеса предприятий в условиях цифровизации.

Вебинары

• 21 июня, 11:00 – вебинар Ростелеком-Солар: SCAнируем open source: как безопасно использовать сторонние библиотеки.