Дайджест ИБ №278 за период с 08 января по 19 января 2024 года
Поделиться
Новости ИБ
Исследователи STM Cyber обнаружили 6 критических уязвимостей в платежных терминалах, производимых китайской компанией PAX. С их помощью злоумышленники повышают свои привилегии до уровня root и обходят защиту песочницы, фактически получая неограниченный доступ к выполнению любых операций.
Хакеры эксплуатируют уязвимость в Windows SmartScreen для заражения пользовательских ПК вирусом Phemedrone. Вирус расшифровывает необходимые компоненты, получает конфигурацию и начинает сбор данных из определённых приложений.
Исследователи Guardio Labs обнаружили RCE‑уязвимость в браузере Opera для Windows и macOS, которую можно использовать для установки любого файла в операционной системе.
В GitLab устранили опасную уязвимость CVE‑2023-7028, получившую максимальные 10 баллов по шкале CVSS. Уязвимость может использоваться для захвата учетной записи путем отправки письма для сброса пароля на произвольный, непроверенный адрес электронной почты.
ЦБ предупредил, что мошенники начали выходить на контакт с потенциальной жертвой от имени знакомых, родных или коллег, имитируя их голоса через специальные программы.
Cisco исправила критическую уязвимость в своем программном комплексе Unity Connection, которая позволяла злоумышленникам получать root‑привилегии на уязвимых устройствах.
Эксперты Nozomi выявили более двух десятков уязвимостей в популярной серии промышленных гайковертов, которые подключаются к сети. Исследователи предупредили, что работу устройств можно заблокировать, полностью остановив работу производства.
Исследователи Akamai обнаружили новый ботнет NoaBot. Он построен на основе самораспространяющегося червя Mirai, который позволяет устанавливать в зараженные системы криптовалютный майнер.
Интересные посты русскоязычных блогов по ИБ
Эксперты компании Бастион подробно проанализировали безопасность TETRA, технологию наземной подвижной радиосвязи. В своем материале авторы поделились рядом обнаруженных уязвимостей, в том числе бэкдором в алгоритме, широко используемым военными, частными охранными фирмами и спецслужбами.
Автор блога exc3pti0n на Хабр поделился памяткой о легитимных процессах Windows, в которой описал функционал и свойства smss.exe, csrss.exe, services.exe и прочих процессов, использующихся в операционной системе.
Алексей Комаров, региональный представитель Уральского центра систем безопасности, открыл новый 2024 год ежегодным рейтингом чатов и каналов в Telegram по информационной безопасности. Канал R‑Vision также вошел в подборку, расположившись в середине рейтинга.
Автор блога zdvighkov в своем материале детально изучил токены доступа в операционную систему семейства Windows. Автор описал механизм локальной аутентификации, выдачи токена, а также способы повышения привилегий как на локальном хосте, так и в домене.
Интересные посты англоязычных блогов по ИБ
Jared Atkinson, главный стратег SpecterOps, рассказал, почему Red Teams и Blue Teams перестают приносить результаты в процессе обнаружения угроз. В своем блоге автор описал эффективность внедрения Purple Teams в структуру компании и объяснил их влияние на совершенствование процесса выявления уязвимостей.
David Haber, CEO Lakera, в своей статье описал распространенные уязвимости LLM, такие как скомпрометированное качество моделей и взаимосвязанных систем, перенасыщенная пропускная способность сетей и др. Помимо этого, автор привел варианты стратегий, которые могут быть применены для снижения рисков, связанных с использованием этих уязвимостей.
Chris Doman, технический директор Cado Security, поделился прогнозами облачной безопасности на 2024 год. Автор предупредил, что предприятиям малого и среднего бизнеса следует остерегаться возможных атак на токены, отсутствия облачного протоколирования и атак, нацеленных на IAM.
Gabby Xiong, эксперт Fortinet, подробно описал три новых вредоносных пакета PYPl, развертывающих исполняемый файл CoinMiner на устройствах Linux. В своем материале, автор рассмотрел основные этапы атаки Moduleseven‑1.0, Driftme‑1.0 и Catme‑1.0, уделяя особое внимание их сходству с ранее обнаруженным пакетом PyPl, получившим название «culturestreak».
Исследования и аналитика
Согласно результатам опроса, проведенного SearchInform, почти 70% ритейлеров столкнулись с утечками данных в 2023 году. О внешних атаках заявило 28% респондентов против 33% в 2022 году. Что касается внутренних ИБ-нарушений, их в 2023 году фиксировали 24% ритейлеров.
Cloudflare выпустила API Security and Management Report. Эксперты поделились наиболее распространенными ошибками и угрозами для API, а также дали свои рекомендации по их комплексной защите. Исследование подчеркивает несоответствие между внедрением API предприятиями и их способностью защищать данные, к которым относятся эти API.
По данным Certik’s Hack3d: The Web3 Security Report 2023 кибератаки, направленные на Web3, стоили организациям $1,84 млрд в 2023 году. Эта сумма является результатом 751 инцидента в области кибербезопасности.
CyFirma опубликовала отчет о SilverRAT, новом трояне удаленного доступа, предназначенном для обхода антивирусов и скрытого запуска приложений, браузеров и клавиатурных шпионов.
Исследование Palo Alto Networks выявило семейство вредоносных APK‑файлов, с помощью которых, мошенники маскируются под сотрудников правоохранительных органов и сообщают, что номер телефона или банковский счет жертвы подозревается в причастности к финансовому мошенничеству.
Эксперты Insikt Group выявили частое злоупотребление услугами GitHub со стороны киберпреступников и угрозы для различных вредоносных инфраструктурных схем. К ним относятся доставка полезной нагрузки, разрешение тупиковых ситуаций, полное командование, контроль и эксфильтрация.
Согласно данным Recorded Future, инструменты с открытым исходным кодом, такие как Cobalt Strike, Meterpreter и Viper стали самыми популярными командно-контрольными платформами у авторов вредоносных программ в 2023 году.
Громкие инциденты ИБ
Foxsemicon Integrated Technology, компания-производитель полупроводников, стала жертвой хакерской атаки, в результате которой были скомпроментированы личные данные клиентов. Злоумышленники утверждают, что сотрудники компании потеряют работу, если производитель откажется заплатить выкуп.
На одном из киберпреступных форумов дарквеба появилось объявление о продаже данных клиентов интернет-магазина Первый Мебельный, в которой находится больше 1,5 млн уникальных телефонных номеров и e-mail.
В сеть попали почти 71 млн уникальных данных для входа в различные социальные сети и интернет-магазины. Базы были опубликованы на известном подпольном рынке, торгующем скомпрометированными учётными данными.
У американской дочерней компании Xerox Business Solutions произошла утечка данных, в результате атаки с использованием программы-вымогателя. Хакерам удалось украсть некоторую конфиденциальную информацию, но, как сообщается, этот инцидент не нарушил деятельность компании.
В Германии сайты и онлайн-сервисы нескольких Ремесленных палат оказались недоступными после инцидента безопасности. В результате атаки все системы затронутых палат были отключены, а сетевые соединения с Ремесленными палатами разорваны.
Ultra I&C, дочернее подразделение британской оборонной корпорации Ultra, подверглась атаке группы вымогателей ALPHV. В ходе атаки похищено и опубликовано 30 ГБ аудиторских, финансовых и персональных данных сотрудников.
