Дайджест ИБ №265 за период с 26 июня по 7 июля 2023 года

Новости ИБ  

• Эксперты выявили вредоносное ПО Meduza Stealer, предназначенное для комплексной кражи данных. Вирус следит за активностью пользователей в интернете, извлекая обширные массивы данных, связанные с браузерами.
• Специалисты по кибербезопасности обнаружили новый троян удаленного доступа EarlyRat. Малварь может проникать на устройство через уязвимость, найденную с помощью эксплоита Log4j, либо через ссылки в фишинговых документах.
• Минцифры России в 2024 году планирует создать внутри своей информационной системы центр обезличивания, который будет обезличивать исходные персональные данные для дальнейшего использования, в том числе при обучении моделей искусственного интеллекта.
• Авторы вредоноса RustBucket, атакующего macOS, выпустили новую версию. Теперь зловред может эффективнее закрепляться в целевой системе и уходить от детектирования антивирусными продуктами.
• Обнаружен троянизированный установщик игры Super Mario 3: Mario Forever для Windows, который представлен в виде самораспаковывающегося исполняемого архива. В результате геймеры заразили свои компьютеры майнером и инфостилером.
• Microsoft расширяет поддержку ключей доступа (passkey) в операционной системе Windows 11. Теперь пользователи смогут более безопасно аутентифицироваться на сайтах и приложениях с помощью биометрии.
• В помощь руководителям организаций Минцифры России подготовили методику выявления наиболее значимых киберрисков - недопустимых событий. Новая процедура уже пилотируется.
• Исследователи выявили новый метод атаки Mockingjay, позволяющий обойти защитные системы и выполнить злонамеренный код в скомпрометированных системах. Инъекция осуществляется без выделения специального места, установки разрешений и запуска потока.
• Новая уязвимость Microsoft Teams позволяет доставлять вредоносы сотрудникам организаций, используя технику IDOR для переключения внутреннего и внешнего идентификатора получателя в запросе POST.

Интересные посты русскоязычных блогов по ИБ 

• В блоге R-Vision на Хабр вышла статья о принципах работы технологии Component Object Model (COM), на основе которой базируется один из популярных у злоумышленников методов закрепления в системе – COM Hijacking.
• Всеволод Кокорин в своей статье поделился информацией о XSS-уязвимости в Telegram и особенностями работы программы поиска уязвимостей в приложении.
• Автор блога на Хабр рассмотрел основные аспекты криптографического алгоритма RSA, принципы работы этого алгоритма и ассиметричной криптографии.
• Андрей Бирюков посвятил два поста теме безопасной разработки. На примере уязвимости переполнения буфера автор создал программу, правильно ее откомпилировал и продемонстрировал поиск в ней уязвимости.  Во второй статье автор  проэксплуатировал найденную уязвимость, разобрав все нюансы и подводные камни. 

Интересные посты англоязычных блогов по ИБ   

• Mirko Zorz подробно рассказал о скрытых затратах на кибератаки системы здравоохранения и о том, как организации могут лучше управлять своими киберрисками.
• Sylvain Cortes поделился мнением о том, как развивать культуру постоянного улучшения кибербезопасности.
• В блоге CyberArc описана проблема суверенитета данных и методы как достичь баланса между требованиями к местонахождению и правами доступа.

Исследования и аналитика

• Лаборатория Касперского проанализировала ошибки группы Andariel и новое семейство зловредов - YamaBot и MagicRat. Расследуя активность Andariel, эксперты сосредоточились на анализе TTP, это помогает быстро проводить атрибуцию и отслеживать атаки на ранних этапах. 
• Согласно исследованию Heidrick & Struggles 2023 Global Chief Information Security Officer (CISO) Survey, роль CISO возрастает по мере того, как технологические потребности организаций и риски становятся все больше. 76% руководителей CISO заявили, что они очень или полностью открыты для смены компаний в ближайшие 3 года, что подчеркивает важность планирования преемственности и повышенного внимания к стратегиям удержания персонала.
• По данным отчета Perception Point 2023 Annual Report: Cybersecurity Trends & Insights,  в 2022 году произошёл 356%-й рост качественно организованных фишинговых кибератак., их число увеличилось на 87%.
• ILTA и Conversant Group проанализировали состояние кибербезопасности в юридических фирмах "Security at Issue: State of Cybersecurity in Law Firms". Опрос был направлен на то, чтобы понять механизмы контроля кибербезопасности, инструменты, практику юридических фирм для улучшения их киберзащиты.
• Согласно отчету компании Nexusguard DDoS Statistical Report for 2022, общее количество распределенных DDoS-атак во всем мире увеличилось на 115,1% по сравнению с 2021 годом. Данные также показали, что кибератаки продолжали изменять векторы своих угроз, нацеливаясь на платформы приложений, онлайн-базы данных и облачные системы хранения данных у интернет-провайдеров (ISP).
• Специалисты из SEC Consult раскрыли подробности о критических уязвимостях в SAP, включая цепочку эксплойтов Wormable, которые могут подвергать организации атакам. Недостатки были обнаружены по результатам исследовательского проекта, который длился три года.
• В отчете Virus Bulletin spam report for Q2 2023 эксперты отмечают, что большая часть спама успешно блокируется решениями для защиты электронной почты, и на этот раз с более высокими показателями в отношении образцов вредоносного ПО и фишинга.
• Компания Akamai опубликовала исследование, в котором описаны все протоколы и методы, которые могут использовать злоумышленники для бокового перемещения в Linux.
• Согласно отчету команды Object First, из-за атак программ-вымогателей около 40% потребителей скептически относятся к способности пострадавшей организации адекватно защищать данные.
• Zimperium опубликовал Global Mobile Threat Report 2023, показывающий продолжающийся рост бизнеса на базе мобильных устройств наряду со все более сложными угрозами безопасности, с которыми он сталкивается, включая шпионские программы, фишинг и программы-вымогатели.
• В исследовании Bishop Fox сказано, что не менее 330 000 брандмауэров FortiGate все еще не исправлены и находятся под угрозой для CVE-2023-27997 — критической уязвимости в системе безопасности, которая активно эксплуатируются. 
• В годовом отчете CardinalOps проанализированы данные производственных систем, охватывающих почти 4000 правил обнаружения в различных отраслях промышленности. Корпоративные системы SIEMS пропускают 76% всех методов MITRE ATT&CK, используемых злоумышленниками.
• Данные из PSA Certified 2023 Security Report подчеркивают важность предстоящего регулирования безопасности, поскольку 64% компаний заявляют, что оно будет иметь более серьезные последствия, чем GDPR. Расходы на безопасность увеличиваются, так как 75% компаний сообщают, что за последний год безопасность стала более важным бизнес-приоритетом.
• В исследование Gigamon сказано, что, несмотря на высокий уровень доверия к безопасности гибридных облаков, почти треть нарушений безопасности остаются незамеченными для ИТ и ИБ специалистов.
• Анализ Aqua Security показал, что более 50% атак были направлены на уклонение от защиты. Они включали методы маскировки, такие как файлы, выполняемые из /tmp, и запутанные файлы, информацию, динамическую загрузку кода.
• Компания Rezilion провела исследование, показавшее, что использование решений на основе больших языковых моделей несет в себе опасность для бизнеса. В результате ни один из анализируемых проектов не получил более 6,1 балла из 10. Таким образом, все самые популярные LLM-решения связаны с высоким уровнем риска, а средняя оценка составляет всего 4,6.

Громкие инциденты ИБ 

• Атака группировки LockBit на крупный японский порт Нагои привела к полной остановке операций по погрузке и выгрузке контейнеров из-за сбоя в работе системы.
• Киберпреступники Anonymous Sudan нанесли удар по сайту министерства финансов США и платежной платформе Stripe, похитив данные миллионов пользователей по всему миру.
• Неизвестная хакерская группировка атаковала министерства иностранных дел и посольства в Европе, используя технику HTML Smuggling для доставки трояна PlugX на заражённые системы.
• Данные более миллиона британцев, которые собирала Национальная служба здравоохранения, оказались в руках хакеров. Злоумышленникам стали известны номера медицинского страхования, а также первые три буквы индекса каждого пациента.
• Сайт оператора спутниковой связи "Дозор-Телепорт" подвергся дефейсу, в результате чего были похищены данные компании и выведена из строя инфраструктура.
• Крупнейший в мире производитель чипов TSMC подвергся атаке группировки LockBit. Хакеры требуют выкуп $70 млн до 6 августа за данные, которые содержат точки входа в сеть, пароли и логины компании.
• Киберпреступники выложили в Сеть данные более 1700 участников дарквеб-форума DarkForums. Стали известны логины, хешированные пароли, адреса электронных почт, IP-адреса при регистрации и информация о последнем посещении форума.

Обзор событий предстоящих недель 10.07-21.07

Оффлайн-мероприятия

12-14 июля, Екатеринбург –  конференция "Код ИБ | INDUSTRIAL 2023";

14 июля, Екатеринбург –  конференция "IT IS CONF".