Дайджест ИБ №294 за период с 5 по 19 сентября 2024 года

Новости ИБ

• Raptor Train: зафиксировано более 200 000 устройств, которые стали частью ботнета.
• Уязвимость CVE-2024-43461 в Windows MSHTML используется группировкой Void Banshee.
• Госдума укрепляет защиту прав потребителей на рынке цифровых подписок: четкие правила для компаний, которые предлагают подписочные услуги.
• CVE-2024-38217 позволяла запускать недоверенные или опасные приложения без предупреждений системы безопасности, обходя защитные механизмы Smart AppControl и Mark of the Web.
• В сети появился PoC-эксплоит для критической уязвимости удаленного выполнения кода (CVE-2024-29847) в Ivanti Endpoint Manager.
• Мошенники под видом приложения Минздрава вынуждают установить троян.
• Малварь пыталась использовать «Яндекс Браузер» для закрепления в системе.
• Более 1,3 млн телеприставок на устаревших версиях ОС Android заражены Vo1d по всему миру.
• Android-вредонос SpyAgent применяет OCR для кражи ключей от криптокошельков.
• В WordPress-плагине LiteSpeed Cache нашли критическую уязвимость под идентификатором CVE-2024-44000.
• Сбер прогнозирует ущерб от киберпреступлений в 300 млрд руб., что на 20% больше уровня 2023 г.

Интересные посты русскоязычных блогов по ИБ

• В корпоративном блоге R-Vision на Habr вышла статья про эксплуатацию уязвимости CVE-2023-38831 в WinRAR.
• Автор Денис на портале «Хакер» опубликовал статью про эмулятор Qiling для автоматизации выявления функций, вызываемых через API Hashing, при анализе малвари.
• В корпоративном блоге RUVDS на Habr эксперты рассказали о портировании AV1-декодера с C на Rust для повышения быстродействия и безопасности.
• Автор Максим Рогов на портале «Хакер» опубликовал статью про протокол OAuth, в которой подробно изучил его и рассказал про основные уязвимости.
• Автор RalfHacker на портале «Хакер» рассказал, как повысить права в Linux через уязвимость в раннере Ansible.

Интересные посты англоязычных блогов по ИБ

• Скотт Сазерленд, вице-президент по исследованиям в NetSPI, рассказал о  захвате учетных данных SQL Server с использованием заданий агента для повышения привилегий домена.
• Мирко Зорз, директор по контенту Help Net Security, выделил важные показатели для эффективной оценки программы обеспечения безопасности.
• Билл Тулас, технический писатель, рассказал, как новая вредоносная программа Linux Hadooken нацелена на серверы Oracle WebLogic.
• У. Кертис Престон, эксперт в области резервного копирования, поделился с командами cybersecurity red советами, как повысить эффективность защиты от резервного копирования.
• Авторы CSO Online Майкл Хилл, Дэн Суинхо и Джон Лейден провели анализ и представили 18 крупнейших утечек данных 21 века.

Исследования и аналитика

• Searchlight Cyber выпустила отчет, в котором сообщила, что число активных группировок программ-вымогателей выросло на 56% в 2024 году.
• В отчёте команды Cisco Talos эксперты заявили, что хакеры используют инструмент MacroPack, предназначенный для киберучений и для развёртывания вредоносного ПО.
• По данным исследования Cohesity, более 50% взломанных компаний в Великобритании платят требуемый хакерами выкуп.
• В 2024 году брокеры начального доступа (IAB) все чаще нацелены на крупные организации с миллиардными доходами, согласно исследованию Cyberint.
• По данным исследовательского отчета LexisNexis, каждая четвертая попытка сброса пароля через браузеры на ПК является мошенничеством.

Громкие инциденты ИБ 

• Компания Fortinet сообщила, что пострадала от утечки данных.  Злоумышленник похитил 440 ГБ данных.
• Компания «Спасские ворота» сообщила об утечке данных. В дампе около 70 000 уникальных телефонных номеров, 100 000 уникальных email-адресов и другая информация.
• Компания «Доктор Веб» подверглась целевой кибератаке.
• Атака на провайдера платежных шлюзов затронула 1,7 млн человек.
• Хакеры украли данные у Halliburton. Инцидент не только нарушил работу компании и ограничил доступ к некоторым ее системам, но и привел к утечке данных.