Дайджест ИБ №275 за период с 13 ноября по 24 ноября 2023 года
Поделиться
Новости ИБ
Агентство по кибербезопасности и безопасности инфраструктуры США и ФБР призвали компании не платить выкуп вымогателям. Выплата выкупа после утечки данных противоречит указаниям правоохранительных органов, поскольку такие действия поощряют кибератаки и стимулируют взлом систем одних и тех же жертв.
Популярный плагин для WordPress, WP Fastest Cache, уязвим перед SQL-инъекциями, что позволяет неаутентифицированным злоумышленникам прочитать содержимое баз данных сайта. На данный момент более 600 000 сайтов используют уязвимую версию плагина, то есть они потенциально могут подвергаться атакам.
Роскомнадзор уведомил более тысячи операторов связи о необходимости срочно подключиться к системе верификации вызовов «Антифрод», иначе им грозят штрафы до 1 млн руб. Несмотря на то что финальный срок назначен на февраль 2024 года, регулятор уведомляет каждого участника рынка отдельно и время внедрения может отличаться.
Демонстрационный полигон российских IT-вендоров открыли в технопарке Санкт-Петербурга. На площадке представлена отечественная высокотехнологичная инновационная продукция - от серверов и коммутаторов до операционных систем, платформ виртуализации и офисных пакетов. -
Intel устранила уязвимость в своих современных настольных, серверных, мобильных и встраиваемых процессорах, включая последние микроархитектуры Alder Lake, Raptor Lake и Sapphire Rapids
Интересные посты русскоязычных блогов по ИБ
В блоге Бастиона описаны базовые основы инфраструктурного пентеста - те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры. Статья содержит как теорию, так и инструменты, методологию и способы разведки.
В блоге FirstVDS эксперт поделился интересными фактами истории создателя стандарта шифрования DES — Хорста Фейстеля. Он сыграл ключевую роль в криптографических исследованиях IBM. До сих пор базовая конструкция многих алгоритмов шифрования строится на структурах, получивших его имя.
На портале Help Net Security вышла статья, посвящённая мерам защиты от утечек API. По данным Wallarm, из 239 уязвимостей 33% были связаны с аутентификацией, авторизацией и контролем доступа — основополагающими столпами безопасности API. Утечки API стали серьезной угрозой, но их часто упускают из виду.
Connor Jones рассказал про худшую неделю для Дании в мае 2023, когда датская критическая инфраструктура подверглась крупнейшей онлайн-атаке в истории страны. Подробное описание волн атак показало, что всего за несколько дней были взломаны 22 компании. Некоторые были вынуждены перейти в островной режим, в котором им пришлось отключиться от Интернета и отключить все другие несущественные сетевые подключения. Атакам способствовали уязвимости нулевого дня Zyxel.
Piotr Bazydło поделился разбором и 0-day уязвимости SSRF в Microsoft Exchange OWA. Автор проинформировал Microsoft о своем намерении опубликовать эту уязвимость в виде рекомендации «нулевого дня» и в своем блоге предоставил HTTP-запрос PoC, который будет использоваться для фильтрации и/или мониторинга.
Лаборатория Касперского проанализировала тенденции 2023 года, чтобы оценить точность своего прошлогоднего прогноза, и постаралась предсказать, с какими продвинутыми АРТ- угрозами нам придется столкнуться в 2024 году.
Sophos опубликовала отчет 2023 Active Adversary Report for Security Practitioners, отметив резкое сокращение времени ожидания для всех атак. Исследователи отметили снижение времени ожидания атак программ-вымогателей на 44% в годовом исчислении и на 72% за все время. Один из выводов заключается в том, что злоумышленники-вымогатели не только знают, что возможности обнаружения улучшились, что требует более быстрых атак, но многие из них просто хорошо практикуются.
TA402 использует сложные цепочки заражения IronWind для нацеливания на государственные структуры, базирующиеся на Ближнем Востоке, по данным отчета Proofpoint. С июля по октябрь 2023 года исследователи наблюдали, как TA402 участвовал в фишинговых кампаниях, которые предоставляли новый загрузчик для начального доступа, получивший название IronWind.
Журналисты Reuters опубликовали расследование, в котором скептически оценили работу силовиков из ФБР, которые занимаются, или должны заниматься, киберподпольем. В центре сюжета – нашумевшая группа Scattered Spider, провернувшая крайний раз операцию, жертвами которой стали крупнейшие операторы казино - MGM Resorts International и Caesars Entertainment.
Positive Techonologies выпустили отчет Q3 2023 с глобальными тенденциями. Так атакующие часто стали маскировать фишинг в pdf, так же происходит фокус на MFT-системах (системы передачи данных в корпоративной сети), популярными были эксплуатация уязвимостей в MOVEit, Citrix и плагине WordPress.
Классическая банда программ-вымогателей, занимающихся двойным вымогательством и одновременно шифрующая и доксирующая своих жертв, Royal претерпевает некоторые изменения. Агентство кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) вчера обновили свои рекомендации и записи о тактике, методах и процедурах банды Royal, а также список индикаторов компрометации (IOC).
В сегодняшнем быстро развивающемся цифровом ландшафте риск кражи личных и профессиональных данных недобросовестными субъектами возрастает как никогда. В отчете Trend Micro «Your Stolen Data for Sale» раскрывается суровая реальность этой угрозы, с особым акцентом на неравные риски, связанные с кражей данных и их последующим неправомерным использованием.
BI.ZONE Threat Intelligence представили отчет «Семь ликов тьмы», в котором разобрали семь семейств вредоносного программного обеспечения, распространяющихся по модели MaaS. В отчет вошло ВПО, которое активно применяется в атаках на российские компании. Его следы встречаются в более чем 80% вредоносного трафика, поступающего на корпоративные почтовые серверы. В 2023 году с помощью описанного ВПО злоумышленники атаковали более 100 тысяч организаций в мире.
HP Wolf Security опубликовали отчет за третий квартал 2023. Отмечается рост кампаний, использующих трояны удаленного доступа (RAT), которые находятся в файлах Excel и PowerPoint, прикрепленных к электронным письмам. По техникам выделяется: Process Injection: Process Hollowing, Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder, Command and Scripting Interpreter.
Команда Kaspersky Cyber Threat Intelligence выпустила отчет, в котором поделилась наиболее полезными разведданными об азиатских APT-группировках. Именно эти группировки затронули больше всего стран и индустрий. Проанализировав сотни атак, эксперты обнаружили у различных группировок схожий почерк. Цели на различных этапах Cyber Kill Chain достигаются с использованием ограниченного числа одних и тех же техник.
Последний ежеквартальный отчет Nuspire о киберугрозах выявил увеличение активности ботнетов на 68% в третьем квартале 2023 года: Torpig Mebroot лидировал с 69% всех действий ботнетов. NetSupport, Andromeda и Mirai вернулись. Недавно обнаруженный TorrentLocker превзошел FatalRAT, поместив его за пределы топ-5.
Исследование Сheckpoint о краже NTLM с помощью сторонних таблиц в Microsoft Access. Злоумышленники могут злоупотребить этой функцией для автоматической утечки токенов NTLM пользователя Windows на любой сервер, контролируемый злоумышленником, через любой TCP-порт, например порт 80.
В результате исследования Axonius выяснилось, что 74% директоров по кибербезопасности из опрошенных компаний сообщили об увеличении бюджетов на информационные технологии и кибербезопасность в их компаниях по сравнению с 2022 годом. Кроме того, 63% участников исследования отметили рост численности сотрудников в этих сферах в своих организациях.
Исследование HYPR и Yubico показало, что организации, использующие технологии аутентификации без пароля на основе FIDO, с наименьшей вероятностью становятся жертвами фишинговых атак, сокращают время аутентификации на 75% и значительно снижают нагрузку на службу поддержки ИТ.
Microsoft опубликовала анализ, в котором акцентируется внимание на «потенциально беспрецедентных проблемах», связанных с кибербезопасностью предстоящих выборов. Аналитики Microsoft выдвигают предположение, что хакерские APT-группы, финансируемые различными государствами, могут предпринять попытки вмешательства в избирательные процессы не только в Соединённых Штатах, но и в ряде европейских стран.
ReliaQuest отметили, что количество инцидентов информационной безопасности, связанных с фишинговыми атаками через QR-коды (так называемый квишинг), выросло на 50%. В рамках этих атак злоумышленники часто нацеливаются на личные устройства сотрудников различных организаций, особенно тех, которые не обеспечены должным уровнем корпоративной защиты.
Громкие инциденты ИБ
Недавняя кибератака на британскую компанию London and Zurich, специализирующуюся на сборе прямых дебетовых платежей, вызвала серьёзные проблемы с денежными потоками у клиентов, некоторым из которых пришлось брать краткосрочные кредиты из-за образовавшихся задолженностей с шестизначными суммами.
Японский производитель мототехники Yamaha Motor и американская медицинская организация WellLife Network подтвердили факты кибератаки на свои сети после того, как данные компаний были опубликованы на сайте утечек одной из хакерских группировок, использующих вымогательский софт.
Toyota Financial Services (TFS) подтвердила утечку данных в результате несанкционированного доступа к ряду своих систем в Европе и Африке. Ранее об атаке на инфраструктуру дочерней компании Toyota Motor Corporation объявила хакерская группа Medusa.
Concevis, крупный поставщик программных решений для правительства, финансового сектора и компаний в области промышленности и логистики Швейцарии, столкнулся с вымогательской атакой. Злоумышленники похитили конфиденциальную информацию компании, среди которой могут быть старые операционные данные Федерального управления Швейцарии. Также хакеры зашифровали все серверы Concevis
