Дайджест ИБ №275 за период с 13 ноября по 24 ноября 2023 года

Новости ИБ  

• Агентство по кибербезопасности и безопасности инфраструктуры США и ФБР призвали компании не платить выкуп вымогателям. Выплата выкупа после утечки данных противоречит указаниям правоохранительных органов, поскольку такие действия поощряют кибератаки и стимулируют взлом систем одних и тех же жертв.
• Популярный плагин для WordPress, WP Fastest Cache, уязвим перед SQL-инъекциями, что позволяет неаутентифицированным злоумышленникам прочитать содержимое баз данных сайта. На данный момент более 600 000 сайтов используют уязвимую версию плагина, то есть они потенциально могут подвергаться атакам.
• Переход госорганов и ключевых предприятий РФ на отечественные софт и оборудование будет проходить с 1 сентября 2024 года до 1 января 2030 года. Постановление об этом подписал премьер-министр РФ Михаил Мишустин. 
• Роскомнадзор уведомил более тысячи операторов связи о необходимости срочно подключиться к системе верификации вызовов «Антифрод», иначе им грозят штрафы до 1 млн руб. Несмотря на то что финальный срок назначен на февраль 2024 года, регулятор уведомляет каждого участника рынка отдельно и время внедрения может отличаться. 
• Демонстрационный полигон российских IT-вендоров открыли в технопарке Санкт-Петербурга. На площадке представлена отечественная высокотехнологичная инновационная продукция - от серверов и коммутаторов до операционных систем, платформ виртуализации и офисных пакетов. -
• Intel устранила уязвимость в своих современных настольных, серверных, мобильных и встраиваемых процессорах, включая последние микроархитектуры Alder Lake, Raptor Lake и Sapphire Rapids 

Интересные посты русскоязычных блогов по ИБ 

• В блоге Бастиона описаны базовые основы инфраструктурного пентеста - те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры. Статья содержит как теорию, так и инструменты, методологию и способы разведки. 
• В блоге R‑Vision вышла статья про обнаружение атак на контейнеризированные приложения с помощью инструмента eBPF. Илья Зимин, аналитик-исследователь угроз R‑Vision, поделился примерами приемов, связанных с побегом из Docker-контейнеров на Linux-системах.
• В блоге FirstVDS эксперт поделился интересными фактами истории создателя стандарта шифрования DES — Хорста Фейстеля. Он сыграл ключевую роль в криптографических исследованиях IBM. До сих пор базовая конструкция многих алгоритмов шифрования строится на структурах, получивших его имя. 
• Юрий Шабалин, архитектор по информационной безопасности Swordfish Security, рассказал как на самом деле магазины проверяют приложения на уязвимости – каково качество этих проверок и могут ли они заменить пентест или ручной анализ защищенности.  

Интересные посты англоязычных блогов по ИБ

• На портале Help Net Security вышла статья, посвящённая мерам защиты от утечек API.  По данным Wallarm, из 239 уязвимостей 33% были связаны с аутентификацией, авторизацией и контролем доступа — основополагающими столпами безопасности API. Утечки API стали серьезной угрозой, но их часто упускают из виду. 
• Connor Jones рассказал про худшую неделю для Дании в мае 2023, когда датская критическая инфраструктура подверглась крупнейшей онлайн-атаке в истории страны. Подробное описание волн атак показало, что всего за несколько дней были взломаны 22 компании. Некоторые были вынуждены перейти в островной режим, в котором им пришлось отключиться от Интернета и отключить все другие несущественные сетевые подключения. Атакам способствовали уязвимости нулевого дня Zyxel. 
• Zeljka Zorz затронула проблему раскрытия уязвимостей в проектах с открытым исходным кодом и слабые места, которые можно использовать. Риск возникает из-за уязвимостей «полдня» и «0,75 дня». 
• Piotr Bazydło поделился разбором и 0-day уязвимости SSRF в Microsoft Exchange OWA. Автор проинформировал Microsoft о своем намерении опубликовать эту уязвимость в виде рекомендации «нулевого дня» и в своем блоге предоставил HTTP-запрос PoC, который будет использоваться для фильтрации и/или мониторинга. 

Исследования и аналитика

• FBI и CISA предупредили о росте атак, осуществляемых группировкой Rhysida, специализирующейся на вымогательском программном обеспечении. 
• Лаборатория Касперского  проанализировала тенденции 2023 года, чтобы оценить точность своего прошлогоднего прогноза, и постаралась предсказать, с какими продвинутыми АРТ- угрозами нам придется столкнуться в 2024 году. 
• Sophos опубликовала отчет 2023 Active Adversary Report for Security Practitioners, отметив резкое сокращение времени ожидания для всех атак. Исследователи отметили снижение времени ожидания атак программ-вымогателей на 44% в годовом исчислении и на 72% за все время. Один из выводов заключается в том, что злоумышленники-вымогатели не только знают, что возможности обнаружения улучшились, что требует более быстрых атак, но многие из них просто хорошо практикуются. 
• TA402 использует сложные цепочки заражения IronWind для нацеливания на государственные структуры, базирующиеся на Ближнем Востоке, по данным отчета Proofpoint. С июля по октябрь 2023 года исследователи наблюдали, как TA402 участвовал в фишинговых кампаниях, которые предоставляли новый загрузчик для начального доступа, получивший название IronWind. 
• Журналисты Reuters опубликовали расследование, в котором скептически оценили работу силовиков из ФБР, которые занимаются, или должны заниматься, киберподпольем. В центре сюжета – нашумевшая группа Scattered Spider, провернувшая крайний раз операцию, жертвами которой стали крупнейшие операторы казино - MGM Resorts International и Caesars Entertainment. 
• Illumio опубликовала исследование облачной безопасности, проведенное Vanson Bourne, согласно которому 47 % нарушений за последний год в опрошенных организациях произошли в облаке. 
• Positive Techonologies выпустили отчет Q3 2023 с глобальными тенденциями. Так атакующие часто стали маскировать фишинг в pdf, так же происходит фокус на MFT-системах (системы передачи данных в корпоративной сети), популярными были эксплуатация уязвимостей в MOVEit, Citrix и плагине WordPress. 
• Классическая банда программ-вымогателей, занимающихся двойным вымогательством и одновременно шифрующая и доксирующая своих жертв, Royal претерпевает некоторые изменения. Агентство кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) вчера  обновили свои рекомендации и записи о тактике, методах и процедурах банды Royal, а также список индикаторов компрометации (IOC).
• В сегодняшнем быстро развивающемся цифровом ландшафте риск кражи личных и профессиональных данных недобросовестными субъектами возрастает как никогда. В отчете Trend Micro «Your Stolen Data for Sale»  раскрывается суровая реальность этой угрозы, с особым акцентом на неравные риски, связанные с кражей данных и их последующим неправомерным использованием.
• BI.ZONE Threat Intelligence представили отчет «Семь ликов тьмы», в котором разобрали семь семейств вредоносного программного обеспечения, распространяющихся по модели MaaS. В отчет вошло ВПО, которое активно применяется в атаках на российские компании. Его следы встречаются в более чем 80% вредоносного трафика, поступающего на корпоративные почтовые серверы. В 2023 году с помощью описанного ВПО злоумышленники атаковали более 100 тысяч организаций в мире.
• HP Wolf Security опубликовали отчет за третий квартал 2023. Отмечается рост кампаний, использующих трояны удаленного доступа (RAT), которые находятся в файлах Excel и PowerPoint, прикрепленных к электронным письмам. По техникам выделяется: Process Injection: Process Hollowing, Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder, Command and Scripting Interpreter.
• Команда Kaspersky Cyber Threat Intelligence выпустила отчет, в котором поделилась наиболее полезными разведданными об азиатских APT-группировках. Именно эти группировки затронули больше всего стран и индустрий. Проанализировав сотни атак, эксперты обнаружили у различных группировок схожий почерк. Цели на различных этапах Cyber Kill Chain достигаются с использованием ограниченного числа одних и тех же техник. 
• Последний ежеквартальный отчет Nuspire о киберугрозах выявил увеличение активности ботнетов на 68% в третьем квартале 2023 года: Torpig Mebroot лидировал с 69% всех действий ботнетов. NetSupport, Andromeda и Mirai вернулись. Недавно обнаруженный TorrentLocker превзошел FatalRAT, поместив его за пределы топ-5.
• Исследование Сheckpoint о краже NTLM с помощью сторонних таблиц в Microsoft Access. Злоумышленники могут злоупотребить этой функцией для автоматической утечки токенов NTLM пользователя Windows на любой сервер, контролируемый злоумышленником, через любой TCP-порт, например порт 80. 
• В результате исследования Axonius выяснилось, что 74% директоров по кибербезопасности из опрошенных компаний сообщили об увеличении бюджетов на информационные технологии и кибербезопасность в их компаниях по сравнению с 2022 годом. Кроме того, 63% участников исследования отметили рост численности сотрудников в этих сферах в своих организациях.
• Исследование HYPR и Yubico  показало, что организации, использующие технологии аутентификации без пароля на основе FIDO, с наименьшей вероятностью становятся жертвами фишинговых атак, сокращают время аутентификации на 75% и значительно снижают нагрузку на службу поддержки ИТ.
• Microsoft опубликовала анализ, в котором акцентируется внимание на «потенциально беспрецедентных проблемах», связанных с кибербезопасностью предстоящих выборов. Аналитики Microsoft выдвигают предположение, что хакерские APT-группы, финансируемые различными государствами, могут предпринять попытки вмешательства в избирательные процессы не только в Соединённых Штатах, но и в ряде европейских стран. 
• ReliaQuest   отметили, что количество инцидентов информационной безопасности, связанных с фишинговыми атаками через QR-коды (так называемый квишинг), выросло на 50%. В рамках этих атак злоумышленники часто нацеливаются на личные устройства сотрудников различных организаций, особенно тех, которые не обеспечены должным уровнем корпоративной защиты.

Громкие инциденты ИБ 

• Недавняя кибератака на британскую компанию London and Zurich, специализирующуюся на сборе прямых дебетовых платежей, вызвала серьёзные проблемы с денежными потоками у клиентов, некоторым из которых пришлось брать краткосрочные кредиты из-за образовавшихся задолженностей с шестизначными суммами.
• Канадское правительство сообщило о взломе его информационных систем, в результате которого хакеры получили доступ к данным властей за последние 24 года.
• Хакерская группа SiegedSec взломала Национальную лабораторию ядерных исследований в Айдахо (INL) и выкрала конфиденциальные данные, о чем стало известно после публикации SiegedSec соответствующих данных в даркнете.
• Японский производитель мототехники Yamaha Motor и американская медицинская организация WellLife Network подтвердили факты кибератаки на свои сети после того, как данные компаний были опубликованы на сайте утечек одной из хакерских группировок, использующих вымогательский софт. 
• Toyota Financial Services (TFS) подтвердила утечку данных в результате несанкционированного доступа к ряду своих систем в Европе и Африке. Ранее об атаке на инфраструктуру дочерней компании Toyota Motor Corporation объявила хакерская группа Medusa. 
• Concevis, крупный поставщик программных решений для правительства, финансового сектора и компаний в области промышленности и логистики Швейцарии, столкнулся с вымогательской атакой. Злоумышленники похитили конфиденциальную информацию компании, среди которой могут быть старые операционные данные Федерального управления Швейцарии. Также хакеры зашифровали все серверы Concevis

Обзор событий предстоящих недель 24.11 ‑ 08.12

Офлайн-мероприятия

• 29 ноября, Москва – Технологии SOC;
• 4-5 декабря, Москва - XI Всероссийская практическая конференция «Конкурентная разведка. OSINT & Экономическая безопасность. КРЭБ 2023»;
• 6 декабря, Москва - АнтиФрод Россия'2023;
• 07 декабря, Москва - Ежегодная аналитическая конференция.

Онлайн-мероприятия

• 28 ноября, 11:00 - Цифровые технологии для ритейла и e-commerce;
• 29 ноября, 11:00 - AM Live: Защита контейнерных сред;
• 30 ноября, 14:00  – VK Security Meetup;
• 8 декабря, 11:00 - Кибербезопасность в новой реальности: как сохранить устойчивость и непрерывность бизнеса предприятий в условиях цифровизации

Вебинары

• 28 ноября, 11:00 – Вебинар Диалог-наука: ГОСТ 57580.4-2022 «Обеспечение операционной надежности» как инструмент для реализации требований Положений Банка России;
• 5 декабря, 11:00 – Вебинар Диалог-наука: Zero Trust Network Access и Zero Trust Extended: Безопасность на новом уровне от ИТ-Экспертиза.