Дайджест ИБ №278 за период с 08 января по 19 января 2024 года

Новости ИБ  

• Исследователи STM Cyber обнаружили 6 критических уязвимостей в платежных терминалах, производимых китайской компанией PAX. С их помощью злоумышленники повышают свои привилегии до уровня root и обходят защиту песочницы, фактически получая неограниченный доступ к выполнению любых операций.
• Хакеры эксплуатируют уязвимость в Windows SmartScreen для заражения пользовательских ПК вирусом Phemedrone. Вирус расшифровывает необходимые компоненты, получает конфигурацию и начинает сбор данных из определённых приложений.
• Исследователи Guardio Labs обнаружили RCE‑уязвимость в браузере Opera для Windows и macOS, которую можно использовать для установки любого файла в операционной системе.
• В GitLab устранили опасную уязвимость CVE‑2023-7028, получившую максимальные 10 баллов по шкале CVSS. Уязвимость может использоваться для захвата учетной записи путем отправки письма для сброса пароля на произвольный, непроверенный адрес электронной почты.
• ЦБ предупредил, что мошенники начали выходить на контакт с потенциальной жертвой от имени знакомых, родных или коллег, имитируя их голоса через специальные программы.
• Cisco исправила критическую уязвимость в своем программном комплексе Unity Connection, которая позволяла злоумышленникам получать root‑привилегии на уязвимых устройствах.
• Эксперты Nozomi выявили более двух десятков уязвимостей в популярной серии промышленных гайковертов, которые подключаются к сети. Исследователи предупредили, что работу устройств можно заблокировать, полностью остановив работу производства.
• Исследователи Akamai обнаружили новый ботнет NoaBot. Он построен на основе самораспространяющегося червя Mirai, который позволяет устанавливать в зараженные системы криптовалютный майнер.

Интересные посты русскоязычных блогов по ИБ 

• Эксперты компании Бастион подробно проанализировали безопасность TETRA, технологию наземной подвижной радиосвязи. В своем материале авторы поделились рядом обнаруженных уязвимостей, в том числе бэкдором в алгоритме, широко используемым военными, частными охранными фирмами и спецслужбами. 
• Автор блога exc3pti0n на Хабр поделился памяткой о легитимных процессах Windows, в которой описал функционал и свойства smss.exe, csrss.exe, services.exe и прочих процессов, использующихся в операционной системе.
• Алексей Комаров, региональный представитель Уральского центра систем безопасности, открыл новый 2024 год ежегодным рейтингом чатов и каналов в Telegram по информационной безопасности. Канал R‑Vision также вошел в подборку, расположившись в середине рейтинга.
• Автор блога zdvighkov в своем материале детально изучил токены доступа в операционную систему семейства Windows. Автор описал механизм локальной аутентификации, выдачи токена, а также способы повышения привилегий как на локальном хосте, так и в домене.

Интересные посты англоязычных блогов по ИБ 

• Jared Atkinson, главный стратег SpecterOps, рассказал, почему Red Teams и Blue Teams перестают приносить результаты в процессе обнаружения угроз. В своем блоге автор описал эффективность внедрения Purple Teams в структуру компании и объяснил их влияние на совершенствование процесса выявления уязвимостей.
• David Haber, CEO Lakera, в своей статье описал распространенные уязвимости LLM, такие как скомпрометированное качество моделей и взаимосвязанных систем, перенасыщенная пропускная способность сетей и др.   Помимо этого, автор привел варианты стратегий, которые могут быть применены для снижения рисков, связанных с использованием этих уязвимостей.
• Chris Doman, технический директор Cado Security, поделился прогнозами облачной безопасности на 2024 год. Автор предупредил, что предприятиям малого и среднего бизнеса следует остерегаться возможных атак на токены, отсутствия облачного протоколирования и атак, нацеленных на IAM.
• Gabby Xiong, эксперт Fortinet, подробно описал три новых вредоносных пакета PYPl, развертывающих исполняемый файл CoinMiner на устройствах Linux. В своем материале, автор рассмотрел основные этапы атаки Moduleseven‑1.0, Driftme‑1.0 и Catme‑1.0, уделяя особое внимание их сходству с ранее обнаруженным пакетом PyPl, получившим название «culturestreak».

Исследования и аналитика

• Согласно результатам опроса, проведенного SearchInform, почти 70% ритейлеров столкнулись с утечками данных в 2023 году. О внешних атаках заявило 28% респондентов против 33% в 2022 году. Что касается внутренних ИБ-нарушений, их в 2023 году фиксировали 24% ритейлеров.
• Команда AWS опубликовала руководство, содержащее рекомендации по настройке и использованию служб безопасности, в котором подробно описывает компоненты и функции сервиса.
• Cloudflare выпустила API Security and Management Report. Эксперты поделились наиболее распространенными ошибками и угрозами для API, а также дали свои рекомендации по их комплексной защите. Исследование подчеркивает несоответствие между внедрением API предприятиями и их способностью защищать данные, к которым относятся эти API.
• По данным Certik’s Hack3d: The Web3 Security Report 2023 кибератаки, направленные на Web3, стоили организациям $1,84 млрд в 2023 году. Эта сумма является результатом 751 инцидента в области кибербезопасности.
• CyFirma опубликовала отчет о SilverRAT, новом трояне удаленного доступа, предназначенном для обхода антивирусов и скрытого запуска приложений, браузеров и клавиатурных шпионов.
• Исследование Palo Alto Networks выявило семейство вредоносных APK‑файлов, с помощью которых, мошенники маскируются под сотрудников правоохранительных органов и сообщают, что номер телефона или банковский счет жертвы подозревается в причастности к финансовому мошенничеству.
• Эксперты Insikt Group выявили частое злоупотребление услугами GitHub со стороны киберпреступников и угрозы для различных вредоносных инфраструктурных схем. К ним относятся доставка полезной нагрузки, разрешение тупиковых ситуаций, полное командование, контроль и эксфильтрация.
• Согласно данным Recorded Future, инструменты с открытым исходным кодом, такие как Cobalt Strike, Meterpreter и Viper стали самыми популярными командно-контрольными платформами у авторов вредоносных программ в 2023 году.

Громкие инциденты ИБ 

• Foxsemicon Integrated Technology, компания-производитель полупроводников, стала жертвой хакерской атаки, в результате которой были скомпроментированы личные данные клиентов.  Злоумышленники утверждают, что сотрудники компании потеряют работу, если производитель откажется заплатить выкуп.
• На одном из киберпреступных форумов дарквеба появилось объявление о продаже данных клиентов интернет-магазина Первый Мебельный, в которой находится больше 1,5 млн уникальных телефонных номеров и e-mail.
• В сеть попали почти 71 млн уникальных данных для входа в различные социальные сети и интернет-магазины. Базы были опубликованы на известном подпольном рынке, торгующем скомпрометированными учётными данными.
• У американской дочерней компании Xerox Business Solutions произошла утечка данных, в результате атаки с использованием программы-вымогателя. Хакерам удалось украсть некоторую конфиденциальную информацию, но, как сообщается, этот инцидент не нарушил деятельность компании.
• В Германии сайты и онлайн-сервисы нескольких Ремесленных палат оказались недоступными после инцидента безопасности. В результате атаки все системы затронутых палат были отключены, а сетевые соединения с Ремесленными палатами разорваны.
• Ultra I&C, дочернее подразделение британской оборонной корпорации Ultra,  подверглась атаке группы вымогателей ALPHV. В ходе атаки похищено и опубликовано 30 ГБ аудиторских, финансовых и персональных данных сотрудников. 
• В результате хакерской атаки на испанского телекоммуникационного оператора Orange Spain произошел сбой в интернет-соединении. Атака осуществлялась путем взлома учетной записи компании в RIPE.

Обзор событий предстоящих недель 22.01 – 02.02

Онлайн-мероприятия

• 24 января, 11:00 – AM Live: Инновации в информационной безопасности в России;
• 31 января, 11:00 – AM Live: Современная защита для веб‑приложений.

Вебинары

• 25 января, 11:00 – Вебинар Ростелеком Солар: Контроль ВКС: против тех, кто демонстрирует запретное.