Дайджест ИБ №272 за период с 2 по 13 октября 2023 года

Новости законодательства

• ФСБ России подготовило проект постановления правительства, обязывающий организаторов распространения информации (ОРИ) хранить и предоставлять правоохране данные о местоположении пользователей и их средствах платежа.

Новости ИБ  

• Неизвестная до этого момента хакерская группировка стоит за рядом атак, нацеленных на организации в области производства, IT и биомедицины на Тайване. Команда исследователей из Symantec отнесла эти атаки к APT-группе под названием Grayling.
• Обнаружена новая Magecart-кампания, в ходе которой хакеры внедряют веб-скиммеры для кражи данных банковских карт на страницы с ошибкой 404 на сайтах интернет-магазинов. Атаки сосредоточены на сайтах Magento и WooCommerce.
• Хакеры активно эксплуатируют недавно обнаруженную уязвимость в программном обеспечении Citrix для кражи учетных данных пользователей. Уязвимость CVE-2023-3519 затрагивает такие продукты Citrix, как NetScaler ADC, NetScaler Gateway и позволяет запускать вредоносный код на устройствах без авторизации.
• Несколько уязвимостей высокой степени серьёзности были обнаружены в маршрутизаторах ConnectedIO ER2000 и соответствующей облачной управляющей платформе. Угрозы позволяют злоумышленникам выполнять вредоносный код и получать доступ к конфиденциальным данным.
• Группа Qualys Threat Research Unit обнаружила новую уязвимость в системах Linux, которая может предоставить злоумышленнику полный контроль над затронутыми системами. Ошибка получила название «Looney Tunables» и связана с обработкой переменной окружения GLIBC_TUNABLES в динамическом загрузчике библиотеки GNU C (glibc).
• Администрация кибербезопасности Китая опубликовала проект «Положения о стандартизации и продвижении трансграничных потоков данных», который в случае принятия значительно ослабит ограничения на трансграничную передачу данных для иностранных компаний и транснациональных корпораций.
• В Роскомнадзоре рассказали о блокировке более 150 фишинговых ресурсов в сентябре текущего года. Также были отражены две DDoS-атаки в отношении систем защищаемых субъектов. При этом в августе таких ресурсов, к которым был ограничен доступ, было в шесть раз больше.
• Роботов-курьеров начали использовать для раскрытия преступлений. Компания Serve Robotics совместно с Uber Eats, предоставила полицейскому управлению Лос-Анджелеса (LAPD) видеозапись с одного из своих роботов в рамках расследования.

Интересные посты русскоязычных блогов по ИБ 

• FirstVDS рассказали, насколько серьезна угроза возвращения ботнета Mirai, который способен действовать максимально скрытно при своей чудовищной эффективности. Недавно специалисты обнаружили новые версии этого ботнета в сети. Одна из вариаций зловреда нацелилась на дешевые игровые TV-приставки, работающие на Android. Вторая же начала атаковать уязвимые сетевые устройства D-Link, TP-Link, Zyxel, Tenda и Netgear. 
• Эксперты Касперского исследовали угрозу QR-кодов в почтовом фишинге. Для того, чтобы проанализировать его и узнать, что в нем закодировано, нужна дорогая и ресурсоемкая технология компьютерного зрения. Кроме того, если обычную ссылку пользователь может оценить перед тем, как нажать на нее, то узнать, куда ведет QR-код, не отсканировав его, нельзя.
• Неструктурированные данные могут быть богатым источником ценной информации, но некорректное обращение с ними может повлечь серьезные угрозы для всей организации. В блоге компании Бастион рассмотрена значимость неструктурированных данных, опасности, которые они могут нести для компании, а также расскажем о том, что нужно делать, чтобы обеспечить их безопасность.
• В прямом эфире AM Live эксперты отрасли поговорили о российском рынке систем управления информацией и событиями в области безопасности (SIEM), о том, как правильно выбрать идеальное решение и что ждёт этот рынок в ближайшем будущем.

Интересные посты англоязычных блогов по ИБ   

• Mirko Zorz рассказал про бесплатный инструмент с открытым исходным кодом, который помогает повысить безопасность программного обеспечения – Chalk. Это удобный инструмент для обеспечения соответствия требованиям, позволяющий создавать SBOM, вставлять сведения о происхождении кода и подписывать их цифровой подписью.
• Michael Toback поделился руководством по использованию средств CIS Controls в 2023 году: от понимания основ и выбора правильной группы внедрения до преодоления проблем и получения информации о будущих разработках.
• Itay Harel попытался разобраться как злоумышленники скрывают личность через консоль AWS. Автор объяснил механизм «скрытия консоли», а также функции отслеживания сеансов, предоставляемые AWS, которые могут его смягчить. И предоставил методологию борьбы с «сокрытием консоли», как с использованием SourceIdentity так и без него.

Исследования и аналитика

• Лаборатория Касперского опубликовала отчеты о новых версиях стилера Lumma и банковского троянца для Android под названием Zanubis. В данной статье приводятся выдержки из этих отчетов.
• В России ежегодно проводится порядка 4,7 млн ремонтных работ мобильных устройств. К сожалению, более 10% клиентов, обратившихся в сервисные центры, сталкиваются с утечкой своих личных данных, свидетельствует исследование компании Artezio.
• Менее известная особенность установщиков MSI заключается в том, что пользователь с низким уровнем привилегий может запустить функцию восстановления установки, которая будет работать с привилегиями системы. Badoption проанализировали различные методы повышения привилегий с помощью msi файлов.
• Специалисты компании EclecticIQ обнаружили новую шпионскую кампанию, нацеленную на китайских производителей полупроводниковой продукции, в рамках которой используются документы-приманки, связанные с фирмой TSMC для заражения жертв маяками Cobalt Strike. Шпионские атаки направлены на компании, базирующиеся на Тайване, в Гонконге и Сингапуре.
• Microsoft опубликовала Digital Defense Report 2023, в котором подробно описаны тенденции, новые цифровые угрозы, а также механизмы защиты, которые развиваются для борьбы с геополитическими кибератаками и киберпреступностью. Согласно отчету, количество атак программ-вымогателей, управляемых людьми, за последний год увеличилось более чем вдвое.
• По данным Enea, 76% специалистов по кибербезопасности считают, что мир очень близок к тому, чтобы столкнуться с вредоносным искусственным интеллектом, который может обойти большинство известных мер кибербезопасности. 26% видят, что это произойдет в течение следующего года, а 50% - в ближайшие 5 лет.
• Европейские исследовательские организации (EIC) и Amnesty International решили нанести сокрушительный удар по альянсу spyware-поставщика Intellexa, представив результаты совместного расследования Predator Files.
• По данным SecureWorks, среднее время обнаружения программ-вымогателей сократилось до чуть менее 24 часов с 4,5 дней в предыдущем году и 5,5 дней годом ранее. В 10% случаев программы-вымогатели были развернуты даже в течение пяти часов после первоначального доступа.
• Подразделение FortiGuard Labs компании Fortinet выявило активность хакерской группировки IZ1H9, направленной на устройства интернета вещей для их заражения ботнетом Mirai.
• FTC утверждает, что с 2021 года американцы потеряли более $2,7 млрд из-за онлайн-мошенничества, осуществляемого через социальные сети. Только в этом году на долю социальных сетей пришлось более половины всех зарегистрированных убытков, причем многие мошенничества были сосредоточены на краже криптовалют.
• X-Force раскрыла глобальную кампанию по сбору учетных данных NetScaler Gateway. Злоумышленник взламывает устройства Citrix NetScaler и изменяет страницы входа в систему, чтобы добавить скрипт, который собирает учетные данные для входа. Кампания, судя по всему, началась в начале августа и скомпрометировала по меньшей мере 600 систем NetScaler. Атаки используют CVE-2023-3519, уязвимость, исправленную Citrix в июле этого года.
• Анализ SentinelOne новой программы – вымогателя LostTrust показывает сходство с семействами sFile, Mindware и MetaEncryptor – и возможный ребрендинг последнего.
• A SentinelOne analysis of the new LostTrust ransomware shows similarities to the SFile, Mindware, and MetaEncryptor families—and a possible rebrand of the latter.
• Pinpoint Search Group обнародовала отчет о финансировании кибербезопасности Q3 2023 cybersecurity funding report. В 3 квартале объем привлеченных средств увеличился на 21% по сравнению с третьим кварталом 2022 года, что отражает оптимистичный взгляд на траекторию развития бизнеса, характеризующуюся стратегическими разработками и повышенным любопытством. В этом году поставщики услуг кибербезопасности привлекли $ 7,1 млрд в ходе 261 раунда.
• По данным WatchGuard, во 2 квартале 2023 года 95% вредоносных программ поступает по зашифрованным соединениям, объемы вредоносных программ для конечных точек сокращаются, несмотря на растущее распространение кампаний, количество обнаружений программ-вымогателей снижается на фоне роста числа атак с двойным вымогательством, а уязвимости старого программного обеспечения по-прежнему остаются популярными целями для использования современными участниками угроз, среди прочих тенденций.
• Количество инцидентов ИБ в среде OT/ICS за последние три года уже превысило количество, зарегистрированное за предыдущее десятилетие, показало исследование компании Rockwell Anatomy of 100+ Cybersecurity Incidents in Industrial Operations. Хакеры сосредоточились на энергетическом секторе (39% атак), критическом производственном секторе (11%) и транспорте (10%). Более половины инцидентов ИБ привели к сбоям производственных процессов. 

Громкие инциденты ИБ 

• Компания Sony уведомила нынешних и бывших сотрудников о кибератаке, в результате которой была раскрыта их личная информация. Также в компании подтвердили, что утечка произошла из-за атаки на 0-day уязвимость в MOVEit Transfer.
• Хакерская группировка, которая по предварительным данным связана с Вьетнамом, атаковала юристов и высокопоставленных чиновников через соцсети.
• Веб-сайты альянса НАТО во второй раз за три месяца подверглись атаке хактивистов из группировки SiegedSec. Несколько гигибайтов документов, похищенных взломщиками, выложены в открытый доступ.
• Volex, британский производитель кабелей для передачи электроэнергии и данных, подтвердил факт несанкционированного доступа к своим данным после взлома технологической инфраструктуры.
• На теневом форуме выставлены на продажу персональные данные пользователей noomeera[.]com — социальной сети для участников дорожного движения. По словам продавца, база содержит 2 037 529 записей.
• Совет по выборам столичного округа Колумбия (США) сообщил о хакерском взломе сервера с информации об избирателях. В заявлении ведомства говорится, что к расследованию инцидента подключились местные и федеральные правоохранительные органы, включая ФБР и министерство внутренней безопасности.

Обзор событий предстоящих недель 16.10-27.10

Офлайн-мероприятия

• 17 октября, Москва - Road Show SearchInform 2023. ИБ-защита: от малых компаний до корпораций-гигантов;
• 18-19 октября, Тюмень – Инфотекс 2023;
• 23 октября, Москва - Конференция Защита данных: сохранить всё;
• 24 октября, Санкт-Петербург – Партнерская конференция СёрчИнформ: Как стать сервис-провайдером в инфобезе: быстрый старт.

Онлайн-конференции

• 18 октября, 11:00 – AM Live: Российская практика киберразведки (Threat Intelligence);
• 25 октября, 11:00 – AM Live: Концепция безопасности Zero Trust (доступ с нулевым доверием).

Вебинары

• 18 октября, 11:00 – Вебинар ИКС – NGFW-решение для миграции и обеспечения информационной безопасности;
• 18 октября, 12:00 – Вебинар Ростелеком-Солар: Безопасная разработка: как своими силами автоматизировать SAST, DAST и SCA;
• 19 октября, 11:00 – Вебинар Код безопасности: Практика импортозамещения NGFW;
• 19 октября, 11:00 – Вебинар Ростелеком-Солар: Криптошлюзы со статусом ТОРП: кого коснутся изменения?;
• 19 октября 15:00 – Вебинар R‑Vision: обзор возможностей R-Vision VM.