Дайджест ИБ №270 за период с 4 по 15 сентября 2023 года

Новости законодательства

• Банк России опубликовал проект, повышающий требования к информационной безопасности, хранению данных, их сбору и обработке для микрофинансовых компаний.
• Комитет Госдумы по информационной политике, информационным технологиям и связи совместно с Минцифры подготовил поправки к законопроекту об обезличивании персональных данных, которые предусматривают установление порядка того, как будет происходить процесс обезличивания.

Новости ИБ  

• Apple выпустила экстренные патчи для устаревших версий iPhone и Mac – это обновления iOS 15.7.9, iPadOS 15.7.9, macOS 12.6.9, macOS 11.7.10 для устранения одной из проблем безопасности CVE-2023-41064.
• Новая уязвимость GitHub угрожает более, чем четырем тысячам репозиториев, к которым может применяться атака RepoJacking. В случае успешного эксплойта данной уязвимости под угрозой оказываются более четырех тысяч фрагментов кода на языках: Go, PHP и Swift.
• Национальный исследовательский университет МЭИ и российский разработчик систем кибербезопасности R-Vision договорились о совместной подготовке специалистов по информационной безопасности. Ключевыми направлениями партнерства станут: программа стажировок с возможностью дальнейшего трудоустройства, знакомство студентов с последними версиями продуктов R-Vision в рамках получения прикладных навыков и опыта работы с современными технологиями.
• Обнаружена критическая уязвимость, затрагивающая платформы Cisco BroadWorks и Cisco BroadWorks Xtended Services, которая позволяет удаленным злоумышленникам подделать учетные данные и обойти аутентификацию. Проблема получила 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS.
• В новой кампании Steal-It киберпреступники используют PowerShell-скрипт, связанный с легитимным инструментом ред тиминга, для кражи хешей NTLMv2 из скомпрометированных систем Windows.
• Группировки Battle Wolf, Twelfth Wolf и Shadow Wolf используют для атак на российские организации утекшие в сеть исходные коды популярных программ-вымогателей Babuk, Conti и LockBit. Количество таких атак уже превышает 40.
• Мошенники придумали новую схему обмана российских автомобилистов предлагают купить топливную карту со скидкой в 50% и риском потерять не только деньги, но и платёжные данные.
• Исследователи выявили семейство троянских программ Android.Pandora, которое компрометирует устройства пользователей в процессе обновления прошивки или при установке приложений для нелегального просмотра видеоконтента.

Интересные посты русскоязычных блогов по ИБ 

• Эксперты компании OTUS обсудили как меняется ландшафт угроз ИБ, а также то, какиеьтактики используют злоумышленники для их реализации.
• В блоге R-Vision на Хабр вышла третья часть из цикла статей, посвященных Component Object Model (COM). В материале, Диана Кожушок, аналитик-исследователь киберугроз R-Vision, рассказала про наиболее популярные способы запуска уже скомпрометированного COM-объекта, а после представила возможные варианты детектирования атаки COM-hijacking.
• Александр Матвиенко, руководитель группы защиты от утечек информации в компании Инфосистемы Джет, рассказал об азах безопасности баз данных, находящихся в общем доступе. На примере реального кейса, автор познакомил с харденингом и обсудил, как каждый может повлиять на защищенность баз в контейнерах в своих проектах.
• В блоге компании OTUS авторы напомнили о том, что является наиболее важным при обеспечении безопасности облачных сред, как на уровне инфраструктуры, так и на уровне разработки и администрирования.

Интересные посты англоязычных блогов по ИБ   

• На портале whereisk0shl представлен разбор уязвимости Use-After-Free, а также анализ эксплуатации службы изоляции ключей CNG (CNG Key Isolation) в Windows, ведущей к повышению привилегий (CVE-2023-36906).
• Автор Alexander Wolf в своей статье рассказал про понижение аутентификации до NetNTLMv1 и дальнейшее использование этого в атаках. В блоге представлены два распространенных сценария атак, которые часто происходили во время внутренних тестов на проникновение: взлом шифрования DES и ретрансляции из уязвимой системы в LDAP.
• Adenike Cosgrove поделилась размышлениями о том, должны ли киберпеступники быть «правы только один раз». Автор убежден, что для борьбы с атаками необходимо усилить безопасность и культуру организаций, чтобы затруднить действия киберпреступников на всех уровнях.
• Heather Hinton, CISO компании PagerDuty в своей статье подчеркивает важность постоянного обучения в области ИБ и размышляет о том, как сделать его результативным. Автор предлагает такие советы, как пояснение "почему" стоит соблюдать меры безопасности, учет технических аспектов, создание доступных обучающих программ.

Исследования и аналитика

• Yandex Cloud и промышленный интегратор «УльтимаТек» подвели итоги качественного исследования о применении облачных технологий. За последние три года две трети опрошенных промышленных компаний реализовали в облаке хотя бы один проект. При этом только 23% предприятий готовы размещать в облаке критичные для бизнеса системы, а 46% – согласны перенести часть данных в том случае, если провайдеры предоставят дополнительные гарантии безопасности.
• Лаборатория Касперского опубликовала отчет за  первое полугодие 2023 о ландшафте угроз для систем промышленной автоматизации. В первом полугодии процент компьютеров АСУ, на которых были заблокированы вредоносные объекты, составил 34%. Это на 0,3 п.п. меньше, чем в предыдущем полугодии.
• Согласно результатам исследования, проведенного РТК-Солар среди 300 представителей крупного бизнеса и госсектора, средний ущерб, нанесенный крупным компаниям РФ хакерами за период с июля 2022 года по июнь 2023 года, вырос на треть по сравнению с аналогичным предыдущим периодом и составил не менее 20 млн руб., не учитывая репутационные потери.
• Лаборатория Касперского опубликовала отчет, в котором подробно рассматривается история группы Cuba, тактики, инструменты и методы атаки злоумышленников.
• Исследователи Positive Technologies опубликовали результаты недавнего исследования, посвященного актуальным киберугрозам для азиатских стран в 2023 году. В 2022 году 31% всех глобальных кибератак приходились на Азиатско-тихоокеанский регион. Во втором квартале 2023 года среднее количество кибератак в этом регионе увеличилось на 22% по сравнению с аналогичным периодом 2022 года.
• Экспертно-аналитический центр ГК InfoWatch представил исследование по результатам опроса об оценке ущерба вследствие утечек информации. Из отчета можно узнать утечки какой информации и вследствие каких действий привели к ущербу, а также какие утечки для организаций стали самыми дорогими.
• Специалисты Лаборатории Касперского выявили сложную киберпреступную операцию, которая продолжалась на протяжении последних трёх лет. В ходе нее хакеры распространяли вредоносный бэкдор под видом легитимного установщика приложений для операционной системы Linux – Free Download Manager.
• Эксперты TrustedSec исследовали создание электронных писем с помощью html-инъекции. В результате пришли к выводам о том, что, если отправляется электронное письмо с поддержкой HTML, содержащее вводимые пользователем данные, оно может быть уязвимо для внедрения вредоносного HTML, что может позволить злоумышленнику изменить весь текст электронного письма и добавить вредоносные ссылки.
• В ходе исследования команда Security Joes Incident Response выяснила о наборе относительно новых CVE, которые были выпущены в конце марта 2023 года. Цепочка уязвимостей, обнаруженных в ходе расследованной атаки, представляет собой ситуацию, когда злоумышленники потенциально могут получить возможность удаленного выполнения кода и полный контроль над системами, работающими под управлением уязвимых версий высокопроизводительной и распределенной системы хранения объектов MinIO. 
• Опубликовано исследование от BlackBerry Global Threat Intelligence Report , посвященное анализу существующих киберугроз, за период март-май 2023.
• По данным компании Netwrix, 69% организаций в сфере образования подверглись кибератакам за последний год. Фишинг и компрометация учетных записей были наиболее распространенными путями атак. Более того, 3 из 4 атак были связаны со взломом локальной учетной записи пользователя или администратора по сравнению с 48% в других секторах.
• Команда  SSD Secure Disclosure представила описание и PoC уязвимости повышения привилегий в службе Windows "File History" (CVE-2023-35359). Данная уязвимость позволяет, путем указания вредоносного манифеста, при запуске службы заставить ее загрузить стороннюю dll, которая может получить привилегии службы. С их помощью возможно создать службу, которая будет запускаться с правами SYSTEM.
• Qualys представил топ-20 используемых уязвимостей. Из интересного по-прежнему используется Zerologon (CVE-2020-1472), ProxyShell, CVE-2021-26855 из цепочки ProxyLogon и другие.
• В отчете Solar JSOC CERT приведен анализ предоставленного образца HardBit. Эксперты рассказали, за счет чего и для каких версий HardBit возможна расшифровка, представили декриптор, а также провели анализ других версий шифровальщика.
• Компания Fortinet в отчете рассказала о множественных случаях эксплуатации уязвимостей, которые ранее были обнаружены в продукте Adobe ColdFusion. Отмечается, что в июле 2023 года Adobe выпустила ряд обновлений безопасности (APSB23-40, APSB23-41 и APSB23-47) после сообщений о нескольких критических уязвимостях на своей платформе.
• Исследователи ESET обнаружили новую кампанию хакерской группы Charming Kitten (Phosphorus, TA453, APT35, APT42). В ходе которой было атаковано 34 организации в различных странах. Хакеры использовали ранее неизвестное вредоносное ПО под названием «Sponsor».

Громкие инциденты ИБ 

• Международная совместная комиссия (IJC), отвечающая за управление водными системами на границе между США и Канадой, подтвердила, что подверглась кибератаке. Группа хакеров NoEscape украла 80 ГБ данных, включая контракты, геологические сведения и прочие документы.  
• Rollbar, компания по отслеживанию ошибок в программном обеспечении, сообщила о нарушении безопасности своих сетей. Неизвестные атаковали системы Rollbar в начале августа и получили доступ к токенам клиентских проектов.
• Данные 3200 клиентов европейского аэрокосмического гиганта Airbus опубликованы в даркнете. Злоумышленник под псевдонимом USDoD написал на BreachForums об успешном получении доступа к порталу Airbus и объяснил, что для этого ему потребовалось скомпрометировать аккаунт сотрудника компании Turkish airline.
• Масштабная кибератака затронула правительственную облачную систему Шри-Ланки Lanka Government Cloud. Множество важных данных за последние месяцы были безвозвратно утеряны. 
• Сеть книжных магазинов Dymocks предупреждает клиентов о том, что их личная информация раскрыта в результате утечки персональных данных.
• Хакерская группировка «UHG» объявила о том, что ей удалось получить доступ к базе данных страховой компании «АСКО», размещенной на самом сайте acko.ru.
• Хакерская группа вымогателей Ragnar Locker взяла на себя ответственность за кибератаку на израильскую больницу «Маяней Хайешуа», угрожая руководству утечкой 1 ТБ данных, которые были украдены после компрометации ИТ-сетей медучреждения. Злоумышленники требуют большой выкуп.

Обзор событий предстоящих недель 18-29.09

Офлайн-мероприятия

• 20 сентября, 11:00 – AM Live: Как выбрать лучший российский NGFW в 2023 году;
• 21 сентября, 11:00 – Selectel Tech Day 2023;
• 27 сентября, 15:00 – Семинар TS Solution: Поговорим о Континенте.

Онлайн-мероприятия

• 20 сентября 11:00 – Российские платформы для эффективных корпоративных коммуникаций;
• 22 сентября, 11:00 – Автоматизация бизнес-процессов в условиях импортозамещения;
• 28 сентября, 11:00 – Инженерные и ИТ-решения для обеспечения безотказной и непрерывной работы ЦОД;
• 28 сентября, 11:00 – R-EVOlution Conf 2023.

Вебинары

• 19 сентября, 14:00 – Вебинар RT-Solar: Утечки и фишинг: как реагировать на ключевые цифровые угрозы 2023 года;
• 20 сентября, 10:00 – Вебинар Роскомнадзора совместно с «Астрал. Безопасность»: Обработка персональных данных от А до Я;
• 27 сентября, 12:00 – Вебинар Scan Factory: Как максимально эффективно предотвратить взлом внешнего периметра в 2023 году?.