19.01.2024
Новости ИБ
- Исследователи STM Cyber обнаружили 6 критических уязвимостей в платежных терминалах, производимых китайской компанией PAX. С их помощью злоумышленники повышают свои привилегии до уровня root и обходят защиту песочницы, фактически получая неограниченный доступ к выполнению любых операций.
- Хакеры эксплуатируют уязвимость в Windows SmartScreen для заражения пользовательских ПК вирусом Phemedrone. Вирус расшифровывает необходимые компоненты, получает конфигурацию и начинает сбор данных из определённых приложений.
- Исследователи Guardio Labs обнаружили RCE‑уязвимость в браузере Opera для Windows и macOS, которую можно использовать для установки любого файла в операционной системе.
- В GitLab устранили опасную уязвимость CVE‑2023-7028, получившую максимальные 10 баллов по шкале CVSS. Уязвимость может использоваться для захвата учетной записи путем отправки письма для сброса пароля на произвольный, непроверенный адрес электронной почты.
- ЦБ предупредил, что мошенники начали выходить на контакт с потенциальной жертвой от имени знакомых, родных или коллег, имитируя их голоса через специальные программы.
- Cisco исправила критическую уязвимость в своем программном комплексе Unity Connection, которая позволяла злоумышленникам получать root‑привилегии на уязвимых устройствах.
- Эксперты Nozomi выявили более двух десятков уязвимостей в популярной серии промышленных гайковертов, которые подключаются к сети. Исследователи предупредили, что работу устройств можно заблокировать, полностью остановив работу производства.
- Исследователи Akamai обнаружили новый ботнет NoaBot. Он построен на основе самораспространяющегося червя Mirai, который позволяет устанавливать в зараженные системы криптовалютный майнер.
Интересные посты русскоязычных блогов по ИБ
- Эксперты компании Бастион подробно проанализировали безопасность TETRA, технологию наземной подвижной радиосвязи. В своем материале авторы поделились рядом обнаруженных уязвимостей, в том числе бэкдором в алгоритме, широко используемым военными, частными охранными фирмами и спецслужбами.
- Автор блога exc3pti0n на Хабр поделился памяткой о легитимных процессах Windows, в которой описал функционал и свойства smss.exe, csrss.exe, services.exe и прочих процессов, использующихся в операционной системе.
- Алексей Комаров, региональный представитель Уральского центра систем безопасности, открыл новый 2024 год ежегодным рейтингом чатов и каналов в Telegram по информационной безопасности. Канал R‑Vision также вошел в подборку, расположившись в середине рейтинга.
- Автор блога zdvighkov в своем материале детально изучил токены доступа в операционную систему семейства Windows. Автор описал механизм локальной аутентификации, выдачи токена, а также способы повышения привилегий как на локальном хосте, так и в домене.
Интересные посты англоязычных блогов по ИБ
- Jared Atkinson, главный стратег SpecterOps, рассказал, почему Red Teams и Blue Teams перестают приносить результаты в процессе обнаружения угроз. В своем блоге автор описал эффективность внедрения Purple Teams в структуру компании и объяснил их влияние на совершенствование процесса выявления уязвимостей.
- David Haber, CEO Lakera, в своей статье описал распространенные уязвимости LLM, такие как скомпрометированное качество моделей и взаимосвязанных систем, перенасыщенная пропускная способность сетей и др. Помимо этого, автор привел варианты стратегий, которые могут быть применены для снижения рисков, связанных с использованием этих уязвимостей.
- Chris Doman, технический директор Cado Security, поделился прогнозами облачной безопасности на 2024 год. Автор предупредил, что предприятиям малого и среднего бизнеса следует остерегаться возможных атак на токены, отсутствия облачного протоколирования и атак, нацеленных на IAM.
- Gabby Xiong, эксперт Fortinet, подробно описал три новых вредоносных пакета PYPl, развертывающих исполняемый файл CoinMiner на устройствах Linux. В своем материале, автор рассмотрел основные этапы атаки Moduleseven‑1.0, Driftme‑1.0 и Catme‑1.0, уделяя особое внимание их сходству с ранее обнаруженным пакетом PyPl, получившим название «culturestreak».
Исследования и аналитика
- Согласно результатам опроса, проведенного SearchInform, почти 70% ритейлеров столкнулись с утечками данных в 2023 году. О внешних атаках заявило 28% респондентов против 33% в 2022 году. Что касается внутренних ИБ-нарушений, их в 2023 году фиксировали 24% ритейлеров.
- Команда AWS опубликовала руководство, содержащее рекомендации по настройке и использованию служб безопасности, в котором подробно описывает компоненты и функции сервиса.
- Cloudflare выпустила API Security and Management Report. Эксперты поделились наиболее распространенными ошибками и угрозами для API, а также дали свои рекомендации по их комплексной защите. Исследование подчеркивает несоответствие между внедрением API предприятиями и их способностью защищать данные, к которым относятся эти API.
- По данным Certik’s Hack3d: The Web3 Security Report 2023 кибератаки, направленные на Web3, стоили организациям $1,84 млрд в 2023 году. Эта сумма является результатом 751 инцидента в области кибербезопасности.
- CyFirma опубликовала отчет о SilverRAT, новом трояне удаленного доступа, предназначенном для обхода антивирусов и скрытого запуска приложений, браузеров и клавиатурных шпионов.
- Исследование Palo Alto Networks выявило семейство вредоносных APK‑файлов, с помощью которых, мошенники маскируются под сотрудников правоохранительных органов и сообщают, что номер телефона или банковский счет жертвы подозревается в причастности к финансовому мошенничеству.
- Эксперты Insikt Group выявили частое злоупотребление услугами GitHub со стороны киберпреступников и угрозы для различных вредоносных инфраструктурных схем. К ним относятся доставка полезной нагрузки, разрешение тупиковых ситуаций, полное командование, контроль и эксфильтрация.
- Согласно данным Recorded Future, инструменты с открытым исходным кодом, такие как Cobalt Strike, Meterpreter и Viper стали самыми популярными командно-контрольными платформами у авторов вредоносных программ в 2023 году.
Громкие инциденты ИБ
- Foxsemicon Integrated Technology, компания-производитель полупроводников, стала жертвой хакерской атаки, в результате которой были скомпроментированы личные данные клиентов. Злоумышленники утверждают, что сотрудники компании потеряют работу, если производитель откажется заплатить выкуп.
- На одном из киберпреступных форумов дарквеба появилось объявление о продаже данных клиентов интернет-магазина Первый Мебельный, в которой находится больше 1,5 млн уникальных телефонных номеров и e-mail.
- В сеть попали почти 71 млн уникальных данных для входа в различные социальные сети и интернет-магазины. Базы были опубликованы на известном подпольном рынке, торгующем скомпрометированными учётными данными.
- У американской дочерней компании Xerox Business Solutions произошла утечка данных, в результате атаки с использованием программы-вымогателя. Хакерам удалось украсть некоторую конфиденциальную информацию, но, как сообщается, этот инцидент не нарушил деятельность компании.
- В Германии сайты и онлайн-сервисы нескольких Ремесленных палат оказались недоступными после инцидента безопасности. В результате атаки все системы затронутых палат были отключены, а сетевые соединения с Ремесленными палатами разорваны.
- Ultra I&C, дочернее подразделение британской оборонной корпорации Ultra, подверглась атаке группы вымогателей ALPHV. В ходе атаки похищено и опубликовано 30 ГБ аудиторских, финансовых и персональных данных сотрудников.
- В результате хакерской атаки на испанского телекоммуникационного оператора Orange Spain произошел сбой в интернет-соединении. Атака осуществлялась путем взлома учетной записи компании в RIPE.
Обзор событий предстоящих недель 22.01 – 02.02
Онлайн-мероприятия
- 24 января, 11:00 – AM Live: Инновации в информационной безопасности в России;
- 31 января, 11:00 – AM Live: Современная защита для веб‑приложений.
Вебинары
- 25 января, 11:00 – Вебинар Ростелеком Солар: Контроль ВКС: против тех, кто демонстрирует запретное.