Дайджест ИБ №267 за период с 24 июля по 4 августа 2023 года

Новости ИБ  

• Исследователи обнаружили новую угрозу для компьютеров на операционных системах MacOS. Вредоносное ПО (утилита HVNC) позволяет хакеру получить полный контроль над устройством без ведома владельца. 

• Роскомнадзор предупредил о рассылке недостоверных электронных писем от имени ведомства. Компании, являющиеся целью хакеров, получают письма с электронного адреса fsrcmnad@gov.ru. Настоящие электронные адреса, с которых ведомство отправляет сообщения компаниям, имеют другое доменное имя.

• Эксперты предупреждают, что новый вариант малвари AsyncRAT, получивший название HotRat, распространяется через пиратские версии популярных программ и утилит, включая игры, Microsoft Office, а также ПО для редактирования аудио и изображений.

• Критическая уязвимость угрожает более чем 900 000 маршрутизаторам MikroTik с RouterOS на борту. CVE-2023-30799 позволяет злоумышленникам, у которых уже есть учетная запись администратора, повысить свои привилегии до Super Admin через интерфейс Winbox или HTTP.

• Исследователи компании Google выявили опасную уязвимость, затрагивающую процессоры AMD Zen 2. Проблема позволяет похищать конфиденциальные данные, включая пароли и ключи шифрования, со скоростью 30 кбит/с из ядер процессора.

• Приложение для слежки за мобильными устройствами Spyhide,  оказалось в центре внимания после того, как стало известно о его масштабной деятельности по скрытному сбору приватных данных с десятков тысяч устройств Android по всему миру. 

• Сетевые устройства Zyxel, которые не были обновлены после обнаружения критической уязвимости в апреле, стали главной целью хакеров, использующих их для создания ботнетов и проведения DDoS-атак.

• Группа исследователей обнаружила опасные уязвимости в международном стандарте беспроводной связи TETRA, который используется полицией, вооруженными силами и операторами критической инфраструктуры по всему миру. Недостатки могут позволить злоумышленникам перехватывать, подделывать или нарушать секретные коммуникации.

Интересные посты русскоязычных блогов по ИБ 

• Эксперты компании RUVDS.com в блоге на Хабр подробно разобрали вариации реализаций протокола SSH и показали разницу между OpenSSH и SSH.

• В блоге R-Vision на Хабр вышла статья, посвященная детектированию инструментов горизонтального перемещения – SMBExec и AtExec. В материале Валерия Мавлютова, аналитик-исследователь киберугроз R-Vision, рассмотрела принципы работы этих инструментов, провела анализ потенциальных источников событий и представила возможный вариант обнаружения SMBExec и AtExec.

• Компания GlobalSign в своем блоге рассказывает об одной из главных уязвимостей шифровальной машины «Энигма», стала ключом для взлома алгоритма и реконструкции хитроумного механизма.

Интересные посты англоязычных блогов по ИБ   

• Более семи из десяти компаний по всему миру сталкиваются с воздействием программ-вымогателей. Исследователи из компании TrueFort в своей статье объясняют, что является критически важным для нахождения решений по его предотвращению.

• Ziv Gadot, основатель и генеральный директор компании Red Button, в своей статье рассказывает как определить уровень защищенности компании от DDos-атак.

• John Natale, ведущий контент-менеджер компании CyberArk, в своей статье в корпоративном блоге приводит пять методов, как обезопасить внешние идентификационные данные.

Исследования и аналитика

• Лаборатория Касперского представила детальный отчет, посвященный техникам, тактикам и процедурам кибератак на промышленные компании, а также использованию имплантов для удаленного доступа. Эксперты по кибербезопасности сообщили, что в 2022 году они расследовали несколько кибератак, проведенных против восточноевропейских промышленных предприятий.

• Компания Positive Technologies опубликовала продолжение расследования о китайской APT-группировке Space Pirates. За прошедший год в поле зрения группы попали 16 организаций в России и одна в Сербии. Цели варьируются от правительственных организаций до производителей аэрокосмической техники и оборонных компаний.

• Эксперты Лаборатории Касперского провели исследование уязвимости CVE-2023-23397, позволяющей повысить привилегии пользователя. Зловред затронул все версии клиента Microsoft Outlook для Windows, но не коснулась Outlook для Android, iOS и macOS, а также веб-версии Outlook и других служб Microsoft 365.

• Количество кибератак в первом полугодии 2023-го выросло примерно в два раза по сравнению с аналогичным периодом прошлого года. При этом их мощность падает: число инцидентов, критичных с точки зрения последствий для бизнеса, сократилось примерно на 20%. Согласно данным исследования МТС RED, их доля в общем объеме кибератак составила 22%, тогда как годом ранее таких инцидентов было чуть меньше половины – 46%.

• Компания IBM опубликовала ежегодный отчет Cost of a Data Breach Report, в котором показано, что средняя стоимость утечки данных в мире достигла $4,45 млн в 2023 году – рекордный показатель для отчета и рост на 15% за последние 3 года. Затраты на обнаружение и эскалацию выросли на 42%, что говорит о переходе к более сложным процедурам расследования.

• Глубокий анализ уязвимостей Peloton от CheckPoint, обнаруженных в крупнейшей в Америке компании, предоставляющей услуги в качестве услуги, подключенной к Интернету.

• В отчете DDoS threat report for 2023 Q2 Cloudflare сообщает о многочисленных скоординированных кампаниях DDoS против сайтов, представляющих интерес для западных стран. Компания также отметила внезапный рост числа DDoS-атак, нацеленных на криптовалютные платформы, которые за прошедший квартал увеличились на 600%. Крупнейшей атакой во втором квартале 2023 года стала атака со скоростью 1,4 Тбит/с, нацеленная на американского интернет-провайдера.

• У Sophos вышел обзор банд киберпреступников, использующих вредоносную рекламу для доставки своих полезных данных. В список подозреваемых входят Ice dID, Gootloader, Gozi/Ursnif, загрузчик и другие.

• Bitsight опубликовал отчет об устранении организациями различных уязвимостей MOVEit, обнаруженных за последние несколько месяцев: типичные темпы исправления уязвимостей программного обеспечения составляют всего 5% в месяц, в то время как эти темпы исправления значительно выше. В типичной схеме исправления уязвимостей требуется 29 месяцев, чтобы достичь того же уровня исправления, который мы наблюдаем для MOVEit, всего за 42 дня.

• В своем ежегодном отчете о программах-вымогателях, GuidePoint Security описывает текущее состояние программ-вымогателей, какие отрасли они затрагивают больше всего, а также обращает внимание на участников угроз. В отчете поясняется, что вирусы-вымогатели достигли рекордно высокого уровня с тех пор, как команда GuidePoint Research and Intelligence Team (GRIT) начала его отслеживать, и теперь, похоже, в первую очередь затрагивают организации в США, на долю которых приходится 51,74% зарегистрированных жертв. 

• Лаборатория FortiGuard Labs опубликовала отчет о банде вымогателей Cl0p. Программа-вымогатель Cl0p связана с группой киберпреступников FIN11 и, по-видимому, является потомком программы-вымогателя CryptoMix. Банда проводит широкомасштабную кампанию по вымогательству данных, используя недавно обнаруженную уязвимость MOVEit Transfer.

• Исследователи Unit 42 из Palo Alto Networks зафиксировали резкий всплеск числа атак, связанных с Mallox. Группировка используют уязвимости MS-SQL серверов с последующим проникновением в защищенные сети и шифровкой всех обнаруженных данных.

• Компания Mandiant опубликовала отчет о скрытых стратегиях китайских APT-групп. В отчете рассказывается об их использовании нулевых дней в периферийных сетевых устройствах для первоначального доступа, использовании ботнетов и программного обеспечения для туннелирования для маскировки трафика C&C и утечки данных.

Громкие инциденты ИБ 

• Похищены персональные данные, связанные с 240 тыс. электронных адресов представителей Ассоциации работодателей в сфере здравоохранения Британской Колумбии в Канаде. Хакеры атаковали три сайта организаций, входящих в ассоциацию. Злоумышленники могли получить номера социального страхования, домашние адреса, номера паспортов и водительских удостоверений и другие данные. 

• Китайская хак-группа APT31 атаковала промышленные предприятия в Восточной Европе с помощью нового вредоносного ПО, которое способно похищать данные даже из систем изолированных от интернета и корпоративной сети.

• Хакеры взломали сайт сети лабораторий KDL. Для того, чтобы избежать утечки данных клиентов, компания временно отключила некоторые функции сайта.

• Хакеры из группировки SiegedSec заявили о взломе портала сотрудничества Communities of Interest Cooperation Portal и хищении данных. Портал COI представляет собой несекретную среду для обмена информацией, предназначенную для поддержки организаций НАТО и государств-участников альянса.

• Норвежское правительство сообщило о масштабной кибератаке, которая затронула сразу 12 различных министерств страны. Уязвимость, из-за которой был возможен доступ к системам, устранена.

• Хакерские группировки BlackCat и Clop заявили о взломе Estée Lauder, американского гиганта бьюти-индустрии. Злоумышленники получили доступ к некоторым из систем компании и, возможно, похитили данные. Хакеры грозятся их обнародовать, если представители компании не выйдут с ними на связь.

• Одна из крупнейших больниц штата Флорида недавно заявила, что злоумышленники похитили конфиденциальные данные более чем 1,2 млн пациентов во время хакерской атаки.