Дайджест ИБ №264 за период с с 12 по 23 июня 2023 года

Новости законодательства

• Новый закон № 214-ФЗ "О внесении изменения в статью 104-1 Уголовного кодекса РФ" расширяет перечень видов киберпреступной деятельности и типы имущества, на которое может быть наложен арест, и позволит конфисковывать средства и имущество, полученные в результате хакерских атак.

• Банк России утвердил основные направления развития информационной безопасности кредитно-финансовой сферы на 2023-2025 годы. Документ посвящен защите прав потребителей финансовых услуг и повышению уровня доверия к цифровым технологиям.

• В Приказе ФСБ РФ от 11.05.2023 № 213 утверждён порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам госвласти субъектов РФ, госфондам, госкомпаниям и другим.

Новости ИБ  

• Специалисты обнаружили новый вредонос Condi в роутерах TP-Link Archer AX21 (AX1800). Цель зловреда – заразить как можно больше маршрутизаторов и объединить их в DDoS-ботнет.

• Компания Microsoft подтвердила, что недавние сбои в работе Azure, Outlook и OneDrive были вызваны DDoS-атаками хакеров Anonymous Sudan.  Для нападения злоумышленники задействовали арендованную облачную инфраструктуру и VPN-сети.

• Исследователи продемонстрировали side-channel атаку под названием "Freaky Leaky SMS", которая позволяет узнать местоположение получателя сообщений, используя информацию о доставке отчетов получения SMS-сообщений.

• Эксперты по кибербезопасности воспользовались уязвимостью в системах безопасности ноутбуков Lenovo и обошли парольную защиту уровня BIOS с помощью обычной отвертки.

• Учёные разработали методику, которая позволяет перехватывать ключи шифрования со считывателей смарт-карт и смартфонов с помощью анализа работы светодиодных индикаторов питания, съёмка которых производится камерой наблюдения или iPhone.

• В ходе аудита в решении для управления передачей файлов MOVEit Transfer были обнаружены новые критические баги, которые представляют собой SQL-инъекции и затрагивают все версии MOVEit Transfer, позволяя неаутентифицированным злоумышленникам взламывать доступны через интернет серверы, изменяя или похищая информацию пользователей. 

• Российское правительство планирует потратить до 2024 г. 4,8 млрд руб. на развитие сегмента интернета Rsnet, через который выходят в Сеть органы госвласти. Цель проекта – обеспечить защиту от DDoS-атак и хранение переданного трафика для расследования компьютерных инцидентов.

• Microsoft выпустила патчи для 78 проблем безопасности, включая 38 уязвимостей удаленного исполнения кода, а также 6 "критических", которые способствуют отказу в обслуживании или повышению привилегий.

Интересные посты русскоязычных блогов по ИБ 

• Компания GlobalSign опубликовала статью про новый вектор для фишинга с  доменами .zip и .mov, которые созвучны с расширениями файлов. В ней описаны несколько способов составления фишинговых URL.

• Алексей Лукацкий в своем блоге выпустил исследование  об использовании искусственного интеллекта для реализации угроз ИБ.

• В блоге Алексея Комарова вышел обзор проекта приказа Минэнерго об утверждении требований по обеспечению безопасности ЗО КИИ для дистанционного управления в электроэнергетике.

• В блоге на Хабр автор статьи рассказал про файлы-полиглоты или как PNG-файл может стать угрозой для безопасности информации.

Интересные посты англоязычных блогов по ИБ   

• Исследователи компании BOHOPS рассмотрели методы внедрение в процесс (process injection), позволяющие обходить защиту и повышать привилегии, а также описали способы их детектирования.

• Patrick Mayo описал метод для получения доступа к учетной записи AWS Control Tower Management, а также рассказал, как можно настроить средства обнаружения, какие превентивные изменения внести для усиления защиты и какие исправления могут быть реализованы для ограничения доступа к удостоверению, которое может использовать этот метод атаки.

• Специалисты компании CyberArk Jed Knopf и Sharon Abarbanel подчеркнули важность защиты учетных данных, используемых в сценариях автоматизации PAM организации, а также дали свои рекомендации по обеспечению их безопасности.

• Tom Eston поделился своим мнением, что Red teaming может стать основополагающей истиной для директоров по информационной безопасности и руководителей.  

Исследования и аналитика

• Компания Доктор Веб опубликовала обзор вирусной активности для мобильных устройств в апреле 2023 года. Согласно данным статистики, пользователи сталкивалась с рекламными троянскими программами семейства Android.HiddenAds на 16,13% реже, а с Android.MobiDash – на 40,42% чаще, чем в марте. При этом данный тип вредоносных приложений остается одним из наиболее распространенных для платформы Android.

• Эксперты Лаборатории Касперского изучили, как устроены сервисы Malware-as-a-Service, какое вредоносное ПО чаще всего распространяют по такой модели и как рынок услуг Malware-as-a-Service зависит от внешних событий.

• Команда Positive Technologies проанализировала актуальные киберугрозы за I квартал 2023 года. Исследование показало увеличение числа уникальных инцидентов и всплеск активности вымогателей, особенно в отношении научных и образовательных учреждений. Зафиксировано появление большого числа фишинговых писем, связанных с трудоустройством, возникновение QR-фишинга и увеличение количества вредоносной рекламы.

• По данным отчета CISA и ФБР, операторы программы-вымогателя LockBit получили более $91 млн выкупа в результате более чем 1700 атак, нацеленных на американские организации.

• Trustwave сообщила об эксперименте с датчиком honeypot, который показал, что базы данных MSSQL гораздо чаще подвергаются атакам злоумышленников, чем другие системы, такие как MySQL, Redis или MongoDB. Кроме того, была зафиксирована диспропорция в количестве атак: более 93% были нацелены на серверы MSSQL, в то время как другие системы, такие как Oracle, DB2, Cassandra или Couchbase, практически не предпринимали никаких действий.

• Специалисты GAO представили отчет о состоянии кибербезопасности инструментов, используемых Национальным управлением ядерной безопасности (NNSA) для производства компонентов ядерного оружия и в самом ядерном оружии.

• Proofpoint опубликовала свой ежегодный отчет о человеческом факторе, в котором анализируются новейшие методы, используемые участниками угроз. Также в отчете рассматриваются атаки TOAD, новые методы фишинга, которые обходят MFA, и недавние методы социальной инженерии, принятые такими компаниями, как Emotet и SocGolish.

• Команда специалистов по безопасности Hackcompute выявила уязвимости в Extensible Provisioning Protocol, которые могут быть использованы для захвата доменов верхнего уровня. Протокол позволяет регистраторам доменов взаимодействовать друг с другом и обмениваться информацией об обновлениях доменных имен своих клиентов и регистрациях новых.

• Компания Bishop Fox выпустила отчет State of Offensive Security report. В опросе участвовали 700 специалистов в области ИТ и безопасности по различным темам наступательной безопасности: в скольких и каких типах наступательных учений по безопасности они участвуют и что движет их инвестициями в эту область.

• Эксперты Infoblox представили подробный анализ различных форм атак-двойников: омографы, саундсквоттинг, тайпсквоттинг, комбосквоттинг и другие.

Громкие инциденты ИБ 

• Транспортная полиция метро Ванкувера пострадала от атаки на MOVEit, хакеры получили доступ к 186 файлам ведомства. Проводится внутреннее расследование, цель которого – определить, какая именно информация содержалась в файлах, к которым получили доступ злоумышленники.

• Киберпреступники из BlackCat угрожают опубликовать 80 ГБ, украденных у Reddit, если компания не заплатит выкуп и не снизит стоимость использования API платформы.

• Европейский инвестиционный банк подвергся кибератаке KillNet и Anonymus Sudan, которая парализовала межсетевую инфраструктуру, сайты eib.org и eif.org недоступны.

• Персональные данные около 85 млн жителей Турции были скомпрометированы через веб-сайт Sorgu Paneli.  В открытом доступе оказалась конфиденциальная информация: имена, адреса, номера телефонов, ID, данные банковских счетов.

• Национальная комиссия по ценным бумагам Аргентины стала жертвой хакеров, которые требуют выкуп в размере $500 тыс., угрожая утечкой 1,5 ТБ документов и баз данных CNV.

• IT-компания Xplain, которая обслуживает несколько швейцарских государственных структур, подверглась атаке вымогательской банды Play. В результате были зашифрованы и похищены данные Швейцарской национальной железнодорожной компании и кантона Аргау.

Обзор событий предстоящих недель 26.06-07.07

Офлайн-мероприятия

• 28 июня, Екатеринбург – "IT-ФОРУМ «EURASIAN IT WEEK 2023";

• 4-7 июля, Сочи –  Национальный форум информационной безопасности "Инфофорум" .

Онлайн-мероприятия

• 27 июня – онлайн-конференция CNews: Унифицированные коммуникации 2023 ;

• 29 июня, 11:00 – онлайн-конференция AM Live: Информационная безопасность: от процесса к результату.

Вебинары

• 29 июня, 12:00 – вебинар Ростелеком-Солар: Как провести идеальный пилот IdM.