Дайджест ИБ №273 за период с 16 по 27 октября 2023 года

Новости ИБ  

• Компания Cisco предупредила клиентов об уязвимости нулевого дня в IOS и IOS XE -  CVE-2023-20109, которую уже пытаются эксплуатировать злоумышленники. Баг связан с некорректной проверкой атрибутов протоколов Group Domain of Interpretation (GDOI) и G-IKEv2 в функции GET VPN.
• Rapid7 обнаружила несколько уязвимостей в серверах Titan MFT и Titan SFTP компании South River Technologies в рамках проекта по изучению рисков управляемой передачи файлов, в том числе JAOAPE MFT и Fortra Globalscape EFT Server.
• В ките для создания веб-сайтов Royal Elementor Addons and Templates от WordPress Royal нашли критическую уязвимость, которую в настоящее время злоумышленники используют в реальных кибератаках.
• В рамках вредоносной кампании EtherHiding, обнаруженной специалистами Guardio Labs два месяца назад, злоумышленники скрывают вредоносный код в смарт-контрактах Binance Smart Chain (BSC).
• CISA, ФБР, АНБ и Минфин США совместно представили рекомендации по усилению безопасности Open-source-ПО (OSS) в средах операционных технологий (OT) и промышленных систем управления (ICS).
• Open Source Security Foundation (OpenSSF) запустил инициативу под названием Malicious Packages Repository. С момента своего запуска репозиторий уже накопил более 15 000 отчетов о вредоносных пакетах, используя данные систем анализа пакетов от OpenSSF, Checkmarx и GitHub.
• Исследователь KrebsOnSecurity Брайан Кребс рассказал о новом типе мошенничества с использованием старого метода, который заключается в том, чтобы заставить пользователей перейти на вредоносные сайты якобы для обновления браузера.
• Троян удалённого доступа с открытым исходным кодом Quasar RAT использует технику DLL Sideloading, чтобы незаметно извлекать данные из заражённых устройств на базе Windows.
• Администратор Jabber-сервера jabber.ru (xmpp.ru) выявил атаку по расшифровке трафика пользователей (MITM), проводимую на протяжении от 90 дней до 6 месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode, в которых размещён сервер проекта и вспомогательные VPS-окружения. Атака организована через перенаправление трафика на транзитный узел, подменяющий TLS-сертификат для XMPP-соединений, шифруемых с использование расширения STARTTLS.
• Глобальная коалиция технологических компаний, ученых и экспертов в области конфиденциальности и кибербезопасности - Global Encryption Coalition - опубликовала открытое письмо с просьбой к правительствам по всему миру прекратить попытки санкционировать небезопасные алгоритмы шифрования, стандарты, инструменты или технологии.
• Специалисты компании Qnap сообщают, что им удалось вывести из строя вредоносный сервер, использовавшийся в массовых брутфорс-атаках, направленных на устройства NAS со слабыми паролями.
• С сентября устройства Cisco под управлением IOS XE находятся под массовыми атаками из-за недавно обнаруженных 0-day уязвимостей CVE-2023-20198 и CVE-2023-20273. Как и опасались ИБ-эксперты, недавнее снижение количества зараженных устройств Cisco IOS XE было вызвано тем, что атакующие обновили свою малварь, и та перестала обнаруживаться в ходе сканирований. На деле более 37 000 устройств все еще содержат написанный на Lua бэкдор.
• В Москве состоялось открытие Кибердома - нового пространства, посвященного сфере информационной безопасности.  Глава Минцифры Максут Шадаев сообщил на открытии, что ведомство намерено принимать активное участие в работе Кибердома.

Интересные посты русскоязычных блогов по ИБ 

• К2.Кибербезопасность провела исследование, на базе которого сформировала целостную картину происходящего в области защиты КИИ. Компания выяснила, как организации реагируют на изменения, насколько они далеки от поставленных целей и хватит ли вендорам и поставщикам услуг возможностей и компетенций, чтобы удовлетворить спрос и требования рынка.
• То, что копируется в буфер обмена, например, пароли, номера кредитных карт, сообщения или личные данные, могут оставаться в буфере устройства достаточно длительное время. RUVDS изучили Android Clipboard Manager и продемонстрируем необходимость более качественной защиты копируемых данных.
• GlobalSign рассказали на основании отчета Mozilla какую информацию современный автомобиль собирает о водителе и пассажирах. 84% брендов признают, что могут делиться персональными данными водителей с поставщиками услуг, брокерами данных и другими компаниями. Девятнадцать (76%) утверждают, что могут продавать персональные данные водителей на сторону.

Интересные посты англоязычных блогов по ИБ   

• Обнаружение того, что компания, с которой вы поделились своими личными данными, стала жертвой кибератаки, является отрезвляющим опытом. К сожалению, в эпоху непрекращающихся киберугроз это становится все более распространенным явлением. Blackcloak рассказали, что можно сделать, если ваши данные утекли.
• В блоге RedTeamRecipe опубликована статья с описанием полезных веток реестра со стороны форензики и со стороны атакующих, а также перечень примеров атак.
• У Embee есть вышло сразу три публикации в блоге, посвященные анализу полезных нагрузок Cobalt Strike: Manually decoding a Cobalt Strike .vbs Loader utilising advanced CyberChef and Shellcode Emulation; Decoding a .hta script with CyberChef and analysing Shellcode with the SpeakEasy Emulator; Ghidra Tutorial - Using Entropy To Locate a Cobalt Strike Decryption Function.
• Успешные атаки могут иметь разрушительные последствия для операций и конфиденциальных данных. Kaye Timonera поделилась 15-ю лучшими практиками и рекомендациями по предотвращению атак вредоносного ПО.

Исследования и аналитика

• Эксперты Kaspersky обнаружили кибершпионскую кампанию, получившую название TetrisPhantom и направленную на государственные организации в Азиатско-Тихоокеанском регионе. Хакеры использовали скомпрометированный защищенный USB-накопитель определенного типа, который обычно применяется для безопасного хранения данных.
• Исследователи Kaspersky опубликовали второй анализ Triangle DB, шпионского ПО для iOS, которое было внедрено в рамках операции Triangulation. Целью операции были российские правительственные чиновники, иностранные дипломаты, работающие в России, и сотрудники "Касперского".
• Proofpoint, Inc. и Ponemon Institute опубликовали результаты отчета «Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023», согласно которому 88% опрошенных организаций подверглись в среднем 40 атакам за последние 12 месяцев. Средняя общая стоимость кибератаки составила 4,99 миллиона долларов, что на 13% больше, чем в предыдущем году.
• The 2023 Online Authentication Barometer показал, что, несмотря на продолжающееся широкое использование паролей, потребители хотят использовать более надежные и удобные в использовании альтернативы. Потребители вводят пароль вручную в среднем почти четыре раза в день, или около 1280 раз в год. Единственным исключительным сценарием в этой тенденции были финансовые услуги, где биометрия (33%) едва не превзошла пароли (31%)* как наиболее используемый метод входа в систему.
• Федеральная торговая комиссия представила два отчета, в которых подробно описываются усилия агентства по борьбе с трансграничным мошенничеством в рамках Закона США о безопасной сети и работа, способствующая борьбе с программами-вымогателями и другими кибератаками, которые происходят за пределами Соединенных Штатов.
• Исследователи Shielder опубликовали анализ CVE-2023-33466, уязвимости в Orthanc, программном обеспечении с открытым исходным кодом для управления, обмена и визуализации данных медицинской визуализации.
• Assetnote выпустили подробный обзор уязвимости CVE-2023-4966 ("Citrix Bleed" NetScaler ADC/Citrix ADC и NetScaler Gateway) и выложили PoC  для утечки памяти.
• Опрос Cisco 2023 Consumer Privacy Survey показывает, что молодые потребители принимают меры для защиты своей конфиденциальности: 42% потребителей в возрасте 18-24 лет интересовались личными данными, которыми располагают организации о них, в семь раз больше, чем потребителей в возрасте 75 лет и старше (6%). 60% потеряли доверие к организациям из-за использования ими искусственного интеллекта.

Громкие инциденты ИБ 

• Компания Ampersand по продаже телевизионной рекламы и технологий, совместно принадлежащая трем крупнейшим операторам кабельного телевидения США, подверглась атаке программы-вымогателя, которая отразилась на ее деятельности. Группировка Black Basta взяла на себя ответственность за атаку на компанию.
• На хакерском форуме опубликованы генетические данные из 4,1 млн профилей пользователей 23andMe. На этот раз утечка затрагивает жителей Великобритании и Германии, и злоумышленник утверждает, что в дампе можно найти генетическую информацию о королевской семье, Ротшильдах и Рокфеллерах.
• Компания Sphero из Гонконга, столкнулась с крупной утечкой данных, затронувшей личную информацию более миллиона преподавателей и студентов.
• Американская страховая компания "American Family Insurance" подтвердила, что причиной недавних сбоев в работе её ИТ-систем стала кибератака. Инцидент произошёл на прошлой неделе и привёл к временному отключению ряда сервисов, включая онлайн-сервисы для клиентов. 
• В результате фишинговой атаки на сотрудника компании D-Link хакеры получили доступ к ее конфиденциальной информации, включая персональные данные клиентов. В самой компании утверждают, что утекло небольшое количество конфиденциальной информации устаревшего характера. Тайваньский производитель сетевого оборудования D-Link подтвердил утечку данных из своей сети.
• В результате кибератаки с использованием вируса-вымогателя Medusa украдены данные по меньшей мере 13 млн клиентов Филиппинской корпорации медицинского страхования (PhilHealth). Также утекли персональные данные ряда сотрудников корпорации.
• Данные офицеров армии Чехии, преподающих в Университете обороны в городе Брно, оказались опубликованы в интернете в результате хакерской атаки.

Обзор событий предстоящих недель 

Мероприятия

• 1 ноября, Москва – CNews Forum 2023.

Офлайн-конференции

• 3 ноября - Межотраслевой форум директоров по информационной безопасности CISO Eurasia 2023;
• 9 ноября, 11:00 – AM Camp: Развитие российской платформы кибербезопасности.

Онлайн-мероприятия

• 1 ноября, 11:00 – AM Live: Практические основы наступательной безопасности;

Вебинары

• 2 ноября, 14:00 – Вебинар Ростелеком-Солар: Новый российский NGFW: итоги первых пилотов, новые возможности версии 1.1;
• 9 ноября, 12:00 – Вебинар Ростелеком-Солар: Игра по правилам ИБ: держим под контролем угрозы удаленного доступа.