Мир онлайн-технологий никогда не останавливается, и эта неделя показывает, почему. От создателей программ-вымогателей, которых ловят, до хакеров, которых поддерживают правительства и которые пробуют новые методы, — посыл ясен: киберпреступники постоянно меняют способы атак, и нам нужно идти в ногу со временем.
Хакеры используют повседневные инструменты во вред, скрывая шпионское ПО в доверенных приложениях и находя новые способы воспользоваться старыми уязвимостями в системе безопасности. Эти события не случайны — они показывают, насколько изощрёнными и гибкими могут быть киберугрозы.
В этом выпуске мы рассмотрим наиболее важные события в сфере кибербезопасности за прошедшую неделю и поделимся ключевыми выводами, которые помогут вам оставаться в безопасности и быть готовыми к любым ситуациям. Давайте начнём.
Угроза недели
Разработчику LockBit Ростиславу Паневу предъявлены обвинения в США — Ростиславу Паневу, 51-летнему гражданину России и Израиля с двойным гражданством, были предъявлены обвинения в США за то, что он якобы выступал в качестве разработчика недавно сорванной операции LockBit ransomware-as-a-service (RaaS), заработав около 230 000 долларов в период с июня 2022 по февраль 2024 года. Панев был арестован в Израиле в августе 2024 года и в настоящее время ожидает экстрадиции. В связи с последними событиями в США обвинения были предъявлены в общей сложности семи участникам LockBit. При этом группа, по-видимому, готовит новую версию, LockBit 4.0, которая должна выйти в феврале 2025 года.
Главные новости
Lazarus Group продолжает совершенствовать свою тактику — связанная с Северной Кореей Lazarus Group, как было замечено, нацелилась на инженеров-ядерщиков с помощью нового модульного вредоносного ПО под названием CookiePlus в рамках долгосрочной кампании по кибершпионажу, получившей название Operation Dream Job. CookiePlus — это лишь последнее проявление того, что исследователи в области безопасности называют растущей изощрённостью, которую злоумышленники начали внедрять в свои вредоносные программы и тактики. Разнообразие используемых методов подчёркивает универсальность и разнообразие хакерской группы.
APT29 использует инструмент с открытым исходным кодом для настройки прокси-серверов при атаках RDP. Российская государственная группа, известная как APT29, перепрофилировала легитимную методологию «красных команд» для атак, которая предполагает использование прокси-инструмента с открытым исходным кодом под названием PyRDP для настройки промежуточных серверов, отвечающих за подключение компьютеров жертв к мошенническим RDP-серверам, развёртывание дополнительных вредоносных программ и даже извлечение данных. Эта разработка показывает, что злоумышленники могут достигать своих целей, не разрабатывая специализированные инструменты.
Сербский журналист стал мишенью Cellebrite и NoviSpy — независимый сербский журналист Славиша Миланов сначала разблокировал свой телефон с помощью криминалистического инструмента Cellebrite, а затем подвергся взлому с помощью ранее не описанной шпионской программы под кодовым названием NoviSpy, которая позволяет собирать личные данные с телефона жертвы и удалённо включать микрофон или камеру телефона. Атаки с использованием шпионского ПО, подробно описанные Amnesty International, стали первым случаем, когда две разные инвазивные технологии были использованы против представителей гражданского общества для облегчения скрытого сбора данных. Полиция Сербии назвала доклад «абсолютно неверным».
«Маска» возвращается — малоизвестная кибершпионская группировка, известная как «Маска», была связана с новой серией атак, нацеленных на неназванную организацию в Латинской Америке, которые дважды происходили в 2019 и 2022 годах. Эта группировка, впервые задокументированная «Лабораторией Касперского» в начале 2014 года, заразила компанию вредоносными программами, такими как FakeHMP, Careto2 и Goreto, которые предназначены для сбора файлов, нажатий клавиш и скриншотов, выполнения команд оболочки и распространения других вредоносных программ. Происхождение субъекта угрозы в настоящее время неизвестно.
Несколько пакетов npm стали жертвами атак на цепочки поставок — неизвестным злоумышленникам удалось взломать три разных пакета npm: @rspack/core, @rspack/cli и vant, и отправить в репозиторий вредоносные версии, содержащие код для развертывания майнера криптовалют в зараженных системах. После обнаружения вредоносных версий разработчики соответствующих проектов удалили их.
Трендовые CVE
Внимание! В некоторых популярных программах есть серьёзные уязвимости, поэтому обязательно обновите их сейчас, чтобы оставаться в безопасности. Список включает в себя — CVE-2024-12727, CVE-2024-12728, CVE-2024-12729 (брандмауэр Sophos), CVE-2023-48788 (Fortinet FortiClient EMS), CVE-2023-34990, (Fortinet FortiWLM), CVE-2024-12356 (привилегированный удаленный доступ и удаленная поддержка BeyondTrust), CVE-2024-6386 (плагин WPML), CVE-2024-49576, CVE-2024-47810 (Foxit Software), CVE-2024-49775 (Siemens Opcenter Execution Foundation), CVE-2024-12371, CVE-2024-12372, CVE-2024-12373 (Rockwell Automation PowerMonitor 1000), CVE-2024-52875 (GFI KerioControl), CVE-2024-56145 (Craft CMS), CVE-2024-56050, CVE-2024-56052, CVE-2024-56054, CVE-2024-56057 (VibeThemes WPLMS), CVE-2024-12626 (плагин AutomatorWP), CVE-2024-11349 (тема AdForest), CVE-2024-51466 (IBM Cognos Analytics), CVE-2024-10244 (ISDO Software Web Программное обеспечение), CVE-2024-4995 (настольный компьютер Wapro ERP), CVE-2024-10205 (анализатор Hitachi Ops Center Analyzer) и CVE-2024-46873 (маршрутизатор Sharp)
По всему киберпространству
Компания Recorded Future получила статус «нежелательной» в России — российские власти отнесли американскую компанию Recorded Future, занимающуюся анализом угроз, к «нежелательным» организациям, обвинив её в участии в пропагандистских кампаниях и кибератаках против Москвы. Генеральная прокуратура России также заявила, что компания «активно сотрудничает» с американскими и иностранными разведывательными службами, помогая искать, собирать и анализировать данные о военной деятельности России, а также предоставляя Украине «неограниченный доступ» к программам, используемым в наступательных информационных операциях против России. «Некоторые вещи в жизни — редкость. И это одна из них», — написал исполнительный директор Recorded Future Кристофер Альберг.
Китай обвиняет США в проведении кибератак. Национальная техническая группа реагирования на чрезвычайные ситуации в компьютерных сетях/Координационный центр Китая (CNCERT) обвинил правительство США в проведении кибератак против двух китайских технологических компаний с целью кражи коммерческой тайны. CNCERT заявила, что одна из атак, обнаруженная в августе 2024 года, выделила подразделение advanced material design and research, использовав уязвимость в системе управления безопасностью электронных документов для взлома сервера управления обновлениями и доставки трояна более чем на 270 хостов и перекачки "большого количества коммерческой тайны и интеллектуальной собственности". Вторая атака, с другой стороны, была нацелена на неназванное высокотехнологичное предприятие по производству интеллектуальной энергии и цифровой информации с мая 2023 года путем использования недостатков в Microsoft Exchange Server для установки бэкдоров с целью сбора почтовых данных. «В то же время злоумышленник использовал почтовый сервер в качестве плацдарма для атаки и контроля более чем 30 устройств компании и её дочерних предприятий, похитив большое количество коммерческой тайны компании», — сообщил CNCERT. Эти обвинения прозвучали на фоне того, что США обвиняют китайские хакерские группировки, такие как Salt Typhoon, во взломе своей телекоммуникационной инфраструктуры.
Новое шпионское ПО для Android, распространяемое через Amazon Appstore — исследователи в области кибербезопасности обнаружили новое вредоносное ПО для Android, которое можно было скачать из Amazon Appstore. Приложение, замаскированное под калькулятор индекса массы тела (ИМТ) («BMI CalculationVsn» или com.zeeee.recordingappz), позволяло незаметно записывать экран, а также собирать список установленных приложений и входящих SMS-сообщений. «На первый взгляд это приложение выглядит как простой инструмент, предоставляющий одну страницу, на которой пользователи могут ввести свой вес и рост, чтобы рассчитать свой индекс массы тела, — заявили в McAfee Labs. — Однако за этим невинным внешним видом скрывается целый ряд вредоносных действий». Приложение было удалено после публикации информации о нём.
Обнаружена работа HeartCrypt Packer-as-a-Service — с февраля 2024 года в Telegram и на подпольных форумах рекламируется новый упаковщик-как-услуга (PaaS) под названием HeartCrypt для защиты от вредоносных программ, таких как Remcos RAT, XWorm, Lumma Stealer и Rhadamanthys. Сообщается, что он разрабатывается с июля 2023 года, а его операторы берут 20 долларов за упаковку одного файла, поддерживая как Windows x86, так и .NET. «В модели PaaS от HeartCrypt клиенты отправляют свои вредоносные программы через Telegram или другие сервисы обмена сообщениями, где оператор затем упаковывает и возвращает их в виде новых двоичных файлов», — сообщили в подразделении 42 компании Palo Alto Networks, добавив, что они выявили более 300 различных законных двоичных файлов, которые использовались для внедрения вредоносной полезной нагрузки. Предполагается, что сервис позволяет клиентам выбирать конкретный двоичный файл для внедрения, чтобы адаптировать его под предполагаемую цель. По сути, упаковщик работает путём вставки основной полезной нагрузки в раздел .text двоичного файла и перехвата потока управления, чтобы обеспечить выполнение вредоносного ПО. Упаковщик также добавляет несколько ресурсов, предназначенных для сокрытия от обнаружения и анализа, и одновременно предлагает дополнительный метод сохранения с помощью изменений в реестре Windows. «За восемь месяцев работы HeartCrypt с его помощью было создано более 2000 вредоносных программ, относящихся примерно к 45 различным семействам вредоносных программ», — сообщили в Unit 42.
Пользователи, говорящие по-китайски и по-вьетнамски, становятся жертвами установщика CleverSoar — очень скрытный установщик вредоносного ПО под названием CleverSoar используется для заражения пользователей, говорящих по-китайски и по-вьетнамски, с помощью фреймворка Winos 4.0 и руткита Nidhogg. Распространяется вредоносное ПО с помощью установочных пакетов MSI, которые, вероятно, выдают себя за поддельное программное обеспечение или игровые приложения, извлекают файлы и впоследствии запускают установщик CleverSoar. «Эти инструменты позволяют выполнять такие действия, как регистрация нажатий клавиш, кража данных, обход средств защиты и скрытый контроль над системой, что позволяет предположить, что эта кампания является частью потенциально продолжительной шпионской операции», — заявила Rapid7, назвав её продвинутой и целенаправленной угрозой. «Избирательное нацеливание кампании на пользователей, говорящих на китайском и вьетнамском языках, а также многоуровневые меры по сокрытию следов указывают на постоянные шпионские операции, проводимые опытным злоумышленником». Есть подозрения, что этот злоумышленник также ответственен за другие кампании по распространению Winos 4.0 и ValleyRAT.
Тысячи устройств SonicWall уязвимы для критических ошибок — 119 503 общедоступных устройства SonicWall SSL-VPN уязвимы для серьёзных ошибок в системе безопасности (25 485 критических ошибок и 94 018 ошибок высокой степени серьёзности), при этом более 20 000 из них используют версию прошивки SonicOS/OSX, которая больше не поддерживается производителем. «Большинство устройств серии 7, доступных в интернете, подвержены как минимум одной уязвимости высокой или критической степени серьёзности», — сообщила компания Bishop Fox, занимающаяся кибербезопасностью. Всего в интернете было обнаружено 430 363 уникальных экземпляра SonicOS/OSX.
Промышленные системы, ставшие мишенью для новых вредоносных атак — инженерные рабочие станции Siemens (EWS) подверглись атаке вредоносного ПО под названием Chaya_003, которое способно завершать процесс работы портала Siemens TIA, а также процессы, связанные с приложениями Microsoft Office, Google Chrome и Mozilla Firefox. После установки вредоносное ПО устанавливает соединение с веб-перехватчиком Discord для получения инструкций по проведению разведки системы и нарушению процессов. Компания Forescout сообщила, что также выявила два случая заражения рабочих станций Mitsubishi EWS червем Ramnit. В настоящее время неясно, были ли злоумышленники нацелены непосредственно на системы операционных технологий (OT) или вирус распространялся с помощью других средств, таких как фишинг или заражённые USB-накопители. Сети OT также всё чаще становятся мишенью для атак с использованием программ-вымогателей: в третьем квартале 2024 года было зарегистрировано 552 инцидента по сравнению с 312 во втором квартале 2024 года, по данным Dragos. За этот период не менее 23 новых групп, занимающихся программами-вымогателями, атаковали промышленные организации. Среди наиболее пострадавших отраслей были производство, промышленные системы управления (ICS), оборудование и проектирование, транспорт, связь, нефтегазовая отрасль, электроэнергетика и государственное управление.
Взломанная версия сканера Acunetix, связанная с турецкой ИТ-компанией — злоумышленники продают тысячи наборов учётных данных, украденных с помощью Araneida, взломанной версии сканера уязвимостей веб-приложений Acunetix. По данным Krebs on Security и Silent Push, Araneida, как считается, продаётся в качестве облачного инструмента для атак другим злоумышленникам. Дальнейший анализ цифровых следов, оставленных злоумышленниками, позволил установить, что они были связаны с разработчиком программного обеспечения из Анкары по имени Алтуг Шара, который работал в турецкой IT-компании Bilitro Yazilim.
Экспертный Вебинар
Подготовка к следующей волне программ-вымогателей в 2025 году — программы-вымогатели становятся умнее и используют шифрование, чтобы скрываться и наносить удар, когда вы меньше всего этого ожидаете. Готовы ли вы к тому, что будет дальше? Присоединяйтесь к Эмили Лауфер и Zscaler ThreatLabz, чтобы изучить последние тенденции в сфере программ-вымогателей, способы, с помощью которых злоумышленники используют зашифрованные каналы, чтобы оставаться незамеченными, и эффективные стратегии борьбы с ними. Узнайте, как защитить свою организацию, пока не стало слишком поздно, — обеспечьте свою безопасность уже сегодня!
Руководство для предприятий по автоматизации сертификатов и не только — присоединяйтесь к нашей демонстрации в реальном времени, чтобы увидеть, как DigiCert ONE упрощает управление доверием между пользователями, устройствами и программным обеспечением. Узнайте, как централизовать управление сертификатами, автоматизировать операции и соответствовать требованиям, снижая при этом сложность и риски. Независимо от того, работаете ли вы в сфере ИТ, Интернета вещей или DevOps, узнайте, как сделать свою стратегию цифрового доверия более перспективной. Не упустите возможность — зарегистрируйтесь прямо сейчас!
Инструменты кибербезопасности
AttackGen — это инструмент с открытым исходным кодом, который помогает организациям подготовиться к киберугрозам. Он использует передовые модели искусственного интеллекта и фреймворк MITRE ATT&CK для создания сценариев реагирования на инциденты с учётом размера вашей организации, отрасли и выбранных злоумышленников. Благодаря таким функциям, как быстрые шаблоны для распространённых атак и встроенный помощник для доработки сценариев, AttackGen упрощает и делает более эффективным планирование реагирования на киберинциденты. Он поддерживает как корпоративные, так и промышленные системы, помогая командам быть готовыми к реальным угрозам.
Brainstorm — это инструмент, который делает веб-фаззинг более эффективным за счёт использования локальных моделей ИИ в сочетании с ffuf. Он анализирует ссылки на целевом веб-сайте и генерирует интеллектуальные предположения о скрытых файлах, каталогах и конечных точках API. Обучаясь на каждом открытии, он сокращает количество необходимых запросов и находит больше конечных точек по сравнению с традиционными списками слов. Этот инструмент идеально подходит для оптимизации задач по фаззингу, экономии времени и предотвращения обнаружения. Его легко настроить, он работает с местными LLM, такими как Ollama, и адаптируется к вашей цели.
GPOHunter — этот инструмент помогает выявлять и устранять уязвимости в объектах групповой политики Active Directory (GPO). Он обнаруживает такие проблемы, как пароли в открытом виде, слабые настройки аутентификации и уязвимые пароли GPP, предоставляя подробные отчёты в нескольких форматах. Простой в использовании и высокоэффективный GPOHunter упрощает защиту ваших GPO и укрепляет вашу среду.
Совет недели
Не позволяйте хакерам заглядывать в ваше облако. Облачное хранилище упрощает жизнь, но оно также может раскрыть ваши данные, если не защищено должным образом. Многие люди не осознают, что неправильно настроенные параметры, такие как общедоступные папки или слабые разрешения, могут позволить любому получить доступ к их файлам. Именно так происходят крупные утечки данных, и их можно предотвратить.
Начните с аудита вашего облака. Такие инструменты, как ScoutSuite, могут выявлять уязвимости, например, открытые для общего доступа файлы или отсутствие шифрования. Затем контролируйте доступ, разрешая его только тем, кому он необходим. Такой инструмент, как Cloud Custodian, может автоматизировать эти политики для блокировки несанкционированного доступа.
И наконец, всегда шифруйте свои данные перед загрузкой. Такие инструменты, как rclone, позволяют легко заблокировать файлы с помощью ключа, доступ к которому есть только у вас. Благодаря этим шагам ваше облако будет в безопасности, а ваши данные останутся при вас.
Заключение
Праздники — это время для веселья, но они также являются пиковым сезоном для киберрисков. Киберпреступники активны как никогда, нацеливаясь на онлайн-покупателей, обмен подарками и даже праздничные поздравления по электронной почте. Вот как вы можете провести праздники в безопасности и без лишних забот:
Защитите свои цифровые подарки с помощью безопасности: если вы дарите умные гаджеты, установите на них надёжные пароли и включите обновления, прежде чем упаковывать их. Это гарантирует, что ваши близкие с самого начала будут в безопасности.
Отслеживайте посылки, а не мошенников: будьте осторожны с поддельными уведомлениями о доставке. Используйте официальные приложения или ссылки для отслеживания от проверенных продавцов, чтобы следить за своими посылками.
Сделайте свои аккаунты максимально безопасными: используйте менеджер паролей для обновления слабых паролей во всех ваших аккаунтах. Несколько минут сейчас могут сэкономить вам часы разочарования в будущем.
Играйте безопасно: если в вашем списке есть новые игровые консоли или подписки, обязательно активируйте родительский контроль и используйте уникальные данные учётной записи. Во время праздников количество случаев мошенничества в сфере игр возрастает.
Вступая в Новый год, давайте сделаем кибербезопасность приоритетом для себя и своих семей. В конце концов, безопасность в интернете — это подарок, который никогда не устареет.
С Рождеством и Новым годом, и пусть это будет безопасное и радостное время!
Комментариев нет:
Отправить комментарий