ISACARuSec

Встречаем и изучаем очередное исследование "2024 Verizon Data Breach Investigations Report (DBIR)". По традиции много букв, цифр и статистики по итогам анализа более 30 тысяч инцидентов ИБ. Инфографика после титульной страницы, иллюстрирующая векторы и каналы атак, как бы намекает, что в мире всё стабильно😁 Очень сложно выделить что-то крайне интересное и полезное, поэтому остановлюсь только на "тревожном" выводе Verizon, что пользователи попадают в ловушку фишингового письма менее чем за 60 секунд:

...the median time to click on a malicious link after the email is opened is 21 seconds and then only another 28 seconds for the person caught in the phishing scheme to enter their data. This leads to an alarming finding: The median time for users to fall for phishing emails is less than 60 seconds.

Не совсем понятно их удивление и настороженность – как будто обычные легитимные письма мы читаем дольше😐 Если поискать аналитику по работе с корпоративной почтой, то можно узнать, что ежегодно время на прочтение одного письма уменьшается и, по состоянию на 2023, составляет в среднем 9 секунд😐 А в целом, читайте отчет и черпайте для себя полезную информацию👍

https://github.com/SigmaHQ/sigma/releases Свежий релиз бесплатных правил для siem включает обнаружение компрометации набора утилит xz utils.

🔄 ATT&CK подготовил к майским праздникам мажорное обновление матрицы MITRE ATT&CK v15 23 апреля вышло плановое мажорное обновление матрицы MITRE ATT&CK v15 (v14.1 - v15.0). Это уже третье мажорное обновление проекта с апреля 2023 (v 13 – апрель, v14 - октябрь). Пару дней до этого также был обновлен ATT&CK Roadmap на 2024 год В новой версии авторы проекта сделали упор на: ✔️ Изменение и расширение руководств по обнаружению атак, большое изменение коснулось тактического шага Execuition. Если ранее MITRE использовала псевдокод из CAR («easy button» - текстовые вставки), которые многим были не понятны, в v15 использован стиль реального языка запросов (например, Splunk). Вот пример изменений ✔️ Расширение набора защитных мер и аналитической информации для CI/CD, инфраструктуры как кода (IaC) и идентификации. Добавлены новые mitigation и источники данных по защите токенов ✔️ Защиту облаков: в соответствии с ATT&CK 2024 Roadmap усилия авторов проекта направлены на поступательное улучшение Cloud Matrix Что интересного: 🔹 Поскольку злоумышленники все чаще используют инструменты искусственного интеллекта (LLM) для своих задач: разработка полезной нагрузки, генерация фишинговых писем, исследование уязвимостей, автоматизация отдельных технических задач и другие задачи была добавлена техника: T1588.007: Obtain Capabilities: Artificial Intelligence 🔹 Добавлена техника атак на периферийные и сетевые устройства с выходом в сеть Интернет, компрометация которых направлена не на получение первоначального доступа, а для дальнейшего таргетинга 🔹 Обновлен раздел Campaigns, описаны новые атаки на промышленные объекты: Triton, Unitronics и другие. Сухая статистика: ▪️В Enterprise добавлено 12 новых техник, внесены изменения в 150 ▪️В Mobile добавлено 5 новых техник, изменены 3 ▪️И в ICS новые 2 техники и изменены 3 Полный лог изменений в том числе по группировкам, ПО, методам смягчения доступен в ATT&CK SYNC, release notes и официальной странице проекта не medium. Приятного чтива на майские! #mitre

🆔 Пятьдесят оттенков угона DNS Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний: 🔵 истекающие вспомогательные домены; 🔵 устаревшие CNAME-записи; 🔵 доверенные домены в SPF-записях. Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции. Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге. #советы @П2Т

Изобретательности киберподполья не перестаешь удивляться. Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний. Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет. Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}. Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами: - https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip; - https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip. При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома. Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто. Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами. Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта. Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.