Порвали два трояна

👮 Какие техники злоумышленников чаще всего встречаются в кибератаках? Мы проанализировали недавние отчёты наших сервисов MDR и Incident Response, и попробовали объединить самые часто встречающиеся техники ATT&CK, применяемые хакерами, в нечто вроде хит-парада. Встречайте горячую десятку приёмов: от фишинга и эксплойтов до манипуляции аккаунтами и LOLbins. Командам ИБ есть что противопоставить всем этим трюкам — мы снабдили каждый из них кратким описанием и рекомендациями по противодействию. 🟢 Изучить топ-10 #советы @П2Т

📌 Вышел монументальный отчёт «Лаборатории Касперского» о ландшафте угроз в РФ и СНГ, основанный на большом количестве источников — от статистики Kaspersky Security Network и работы ханипотов до анализа реальных инцидентов и OSINT. Пересказывать добрую сотню страниц не будем, но пару интересных и печальных моментов хочется отметить. Во-первых, в топе сетевых уязвимостей, которые пытаются эксплуатировать злоумышленники, до сих пор доминируют баги 2018-2021 годов: Log4shell, Bluekeep, а также старые дефекты в OpenSMTPD, Spring Framework, Apache Struts и Confluence. То есть защититься от значительного количества атак можно, если обновлять свои системы чаще раза в год 🙈 Или, говоря более точно, грамотно выстроив процесс Patch Management и применяя решения со встроенными средствами управления уязвимостями и установкой исправлений. 📊 Высокую остроту сохраняет угроза шифровальщиков. При этом увеличивается совокупный размер выкупов, а вот наиболее активные игроки и штаммы ВПО каждый год новые. В 2024 году топ-5 самых распространённых шифровальщиков снова значительно обновился. Что ещё есть в отчёте? ✔️ перечень атакованных стран и индустрий; ✔️ популярные TTPs; ✔️ перечень сопутствующих угроз в регионе; ✔️ описание митигаций рисков. Скачать отчёт #статистика #киберугрозы @П2Т

➡️Интересные исследования APT и новости ИБ за неделю 👀 Интересная разновидность ViperSoftX: распознаёт изображения на компьютере при помощи опенсорсной OCR Tesseract, отправляет атакующим всё, похожее на пароли, ключи криптокошельков и другую подобную информацию. 🥸 Новая уязвимость протокола 802.11: SSID confusion позволяет при определённых условиях обходить VPN. 😶 Вторая часть подробного отчёта про APT Earth Hundun. — разбор механик работы имплантов Deuterbear и Waterbear. Напомним, что целью обычно являются правительственные, технологические и исследовательские организации в АТР. Продолжая путешествие по Азии, прикоснёмся и к китайскому инфосеку — разбору кампаний APT-C-08 (гугл-перевод), атакующих примерно тот же круг жертв. 🔄 Анализ нового ВПО Gomir, атакующего Linux-системы и применяемого APT Kimsuky/Springail. Имплант является развитием более старого Gobear. 🗿 А в России нашёлся загрузчик PhantomDL, доставляющий ВПО группировки PhantomCore. Как и предполагалось, первоначальное заражение идёт через целевой фишинг и RAR/ZIP архивы, эксплуатирующие CVE-2023-38831. Майнинг крипты на серверах по-прежнему в моде: ещё одна цепочка атак с применением Log4shell и установкой XMrig. ⛔️ Интересные инструменты Turla: LunarWeb ведет коммуникации с C2 при помощи невинно выглядящих https-запросов и стеганографии, а LunarMail устанавливается как дополнение к Outlook и связывается с C2 по e-mail 🐦. 🎁 Целая группа отчётов, посвященная вредоносному спаму и распространяемым через него инструментам: - приманки в виде документов на подпись (DocuSign) - RemcosRAT распространяется через вредоносный архив, эксплуатирующий легитимный бинарник GotoMeeting для запуска - ещё RemcosRAT, но завёрнутый в MaaS PrivateLoader. - Agent Tesla - Sugar Gh0stRAT - Vidar infostealer, умело замаскированный под юридические письма о нарушении авторских прав Много атак различных коммерческих RAT на пользователей Foxit PDF reader: в неудачно сделанных предупреждениях безопасности слишком легко кликнуть на «разрешить» и таким образом запустить ВПО с удалённого сервера. 🍏 Apple отчиталась о том, что в 2023 году предотвратила мошеннических транзакций в App Store на $1,8 млрд. Заблокировано 374 млн. мошеннических аккаунтов. В общем, в огороженном саду довольно неспокойно. #новости #APT @П2Т

💬 Как XDR решает проблемы ИБ-команд и что превращает концепцию XDR в работоспособный и удобный продукт? 💬 Каков «прожиточный минимум», необходимый для эффективного мониторинга, расследования и реагирования на инциденты? 💬 Что даёт Single Management Platform? Всё о практике и перспективах внедрения XDR — в интервью Евгении Лагутиной для портала Anti-Malware.ru! 🎬 Смотреть интервью #видео @П2Т

😎⭐️😎 Инфостилеры и утечки данных: объясняем наглядно Финдиректор и отдел кадров не понимают, что такое утечки данных и почему «какие-то базы в Телеграме» могут привести к серьёзному инциденту ИБ в компании? Мы сталкивались с этой проблемой не раз, поэтому стараемся объяснять сложные темы даже совсем «нетехническими» словами и способами. Перешлите эти ролики коллегам, и они за 30 секунд поймут: 🆗 как хакеры используют украденные данные; 🆗 чем опасны утечки лично для них; 🆗 как утечка помогает проникнуть в организацию. 🔗 Ну а тем, кто заинтересовался этой темой, можно прислать и полноценный отчёт Kaspersky Digital Footprint Intelligence о проблеме и описание способов борьбы с ней. Смотрите и делитесь! #видео #Азбука_ИБ

Снова обновление Chrome — третий 0day за неделю 😳 Google выкатили обновление Chrome до версии 5.0.6422.60/.61 для Windows и 125.0.6422.60 для Linux. Ключевым устранённым дефектом является критическая CVE-2024-4947 в движке V8. О ней сообщили разработчикам исследователи «Лаборатории Касперского» и она используется в целевых атаках. Время обновляться! Для тех, кто неделю не обновлялся 👿, заодно будут устранены две других 0day, также используемые в атаках и закрытые ранее: CVE-2024-4671 и CVE-2024-4761. #новости @П2Т

💻 Майский вторник патчей: три зиродея Свежее обновление Microsoft закрывает 59 уязвимостей, в том числе одну критическую, две эксплуатируемые до разглашения и одну разглашённую до устранения (но это не точно). 25 дефектов приводили к RCE, 17 — к повышению привилегий, 7 — к разглашению информации, также есть 3 DoS и 2 обхода функций безопасности. Один зиродей был обнаружен нами, он используется для повышения привилегий до System и его вероятно используют несколько групп киберпреступников, в том числе для инсталляции QakBot. Сама уязвимость является EoP в библиотеке Windows DWM (CVE-2024-30051, CVSS 7.8) Второй 0day (CVE-2024-30040, CVSS 8.8) является обходом функций безопасности в MSHTML и позволяет выполнить произвольный код после того, как жертва взаимодействует c вредоносным документом. Третий зиродей — DoS в Visual Studio, обозначен как разглашённый публично, но без каких-либо подробностей. Возможно, это очередная опечатка Редмонда. Внимания стоит критическая уязвимость CVE-2024-30044 (CVSS 8.8) в SharePoint Server. Это RCE, но для её эксплуатации нужно аутентифицироваться с правами Site Owner. #новости @П2Т

👏 Secure by design: лайт-версия от CISA На конференции RSA не то 68, не то 80 крупных ИТ-компаний под эгидой CISA подписали добровольное обязательство создавать безопасные продукты (secure by design). Мы, признаться, не поверили такой решительности, потому что в нашем понимании secure by design — это как минимум, продукт, созданный в методологии SDL, а как максимум — кибериммуннный. Но, как говорится, ставьте перед собой выполнимые задачи. За следующие 12 месяцев подписанты обязуются показать измеримый прогресс в семи направлениях: 🟣внедрять в продукты механизмы, расширяющие применение MFA; 🟣избавляться от стандартных паролей; 🟣применять методы программирования, избавляющие продукты от целых классов уязвимостей: SQLi, XSS, повреждение участков памяти; 🟣стимулировать оперативное применение патчей: внедрять автообновление или упрощать пользователям ручную установку обновлений; 🟣выработать политику по разглашению уязвимостей, разрешить поиск уязвимостей, опубликовать контактные данные для этих целей, публично отказаться от юридического преследования исследователей безопасности, ответственно их разглашающих; 🟣прозрачно и оперативно отчитываться о найденных CVE, включать данные о CWE и CPE для каждой уязвимости; 🟣упростить пользователям сбор артефактов, если кибератака затронула продукты разработчика. Всё перечисленное на самом деле очень нужно и полезно, даже если не называть эти меры secure by design. Посмотрим, как будут двигаться по этому роадмэпу Cisco, Fortinet, Ivanti, Microsoft, Netgear или Okta, которые его подписали 🤪 #новости @П2Т

Зацените какая интересная штукенция! Чуваки запилили полноценный PoC (proof of concept) создания С2 сервера (command and control) на базе принтеров! Вы наверное неоднократно слышали про взломанные и обезумевшие принтеры которые начинали печатать всякую дичь. Дак вот хорватские чуваки из Diverto пошли дальше- показали, что атакующий может использовать системную службу Microsoft, которая отвечает за работу принтеров, в качестве сервака управления малварой, например. Вторая важная штука - они показали, как это безобразие можно детектить в сети, если кто-то уже это эксплуатирует. То есть тут и вектор атаки и как его находить. Самое крутое, что чуваки из Diverto, судя по всему, уже использовали этот подход в своих проектах по тестированию на проникновение/Red Team проектах. Нужно брать такое на заметку Пацаны вообще ребята!