Порвали два трояна

💎 Не пропустите! Самые полезные материалы апреля Если не успевали в течение месяца, может хотя на майских заглянете 😉 🔖Сага с троянизацией XZ Utlis, включая влияние на русские сборки Linux (1, 2, 3) 🔖Новая CISO mindmap 2024 🔖Разбор опасных схем мошенничества с письмом/сообщением от босса. 🔖Видеодемонстрация Kaspersky Symphony XDR. 🔖Основные тренды ИБ по версии Gartner и куда вообще тратить деньги. 🔖Безопасно выглядящие ссылки на топ-репо в GitHub и как на них публикуют ВПО 🔖Как защититься от атак с применением домашних прокси. 🔖Способы эксплуатации доменов организации через ошибки в DNS. #дайджест @П2Т

➡️Интересные исследования APT и новости ИБ за неделю 🦊 Обзор инструментов сбора и эксфильтрации данных APT ToddyCat, преимущественно атакующей организации в Юго-Восточной Азии для кражи конфиденциальной и оборонной информации. 🔓 Okta выпустила предупреждение о кратном росте числа атак credential stuffing с применением домашних прокси. Преимущественно стучатся в VPN и прочие сервисы удалённого доступа. Рекомендуют блокировать на WAF любые IP с низкой репутацией, применять аппаратные способы MFA. Напомним, мы недавно давали советы по этой же проблеме. 🐀 Новые атаки старых знакомцев ScarCruft/APT-C-28, шпионская кампания основана на ВПО RokRat. 💻 Microsoft переходит ко второй фазе отзыва небезопасных сертификатов Secure Boot, который необходим после появления UEFI-буткита BlackLotus. 👮 Несколько разборов штаммов ransomware, которые активно работают без резонанса в СМИ: KageNoHitobito и DoNex, Cactus. А вот новички Quilong, наоборот, хотят публичности и начали с публикации фото клиентов клиники пластической хирургии. 🍏 Обзор MacOS-импланта F_Warehouse, применяемого APT Lighthouse. В мире open source опять всё спокойно нашли троянизированные пакеты, снова в npm, 25 штук. 🤖 Анализ новых версий популярных инфостилеров и загрузчиков: Redline stealer, Fletchen Stealer, IDAT. 📬 Новые рекорды фишинга: трафик на фейковые домены почты США догнал и возможно перегнал трафик на оригинальный сайт 🤦‍♂️ Microsoft опубликовала исходники инструмента ICSpector, предназначенного для анализа конфигурации ПЛК. 🥱 Google в очередной раз отложил дату отключения сторонних куки, на сей раз на начало 2025 года. #новости @П2Т

Олды тут? #ИБ_мем @П2Т

🆔 Пятьдесят оттенков угона DNS Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний: 🔵 истекающие вспомогательные домены; 🔵 устаревшие CNAME-записи; 🔵 доверенные домены в SPF-записях. Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции. Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге. #советы @П2Т

🤯 AI Patch Thursday Благодаря багбаунти-программе huntr, технологический стек для запуска и эксплуатации ML-моделей обзавёлся чем-то вроде «вторника патчей». Сводный бюллетень уязвимостей, закрытых в апреле, включает 48 дефектов в популярных инструментах MLops, включая PyTorch, BentoML, ZenML, MLflow, Gradio, FastAPI, и др. 16 уязвимостей имеют рейтинг критических, для некоторых доступен PoC. Большинство критических уязвимостей приводят к выполнению произвольного кода или возможности прочитать/записать файлы на сервере. При этом их природа печально знакома исследователям веб-приложений: недостаточная защита от CSRF и SSRF, небезопасная десериализация объектов, SQL-инъекции. Только одна атака специфична именно для ML — это промпт-инъекция в llama_index. Чемпионом в печальном зачёте по дырявости стало приложение anything-llm. В нём было обнаружено 9 уязвимостей, включая 3 критических. Их эксплуатация позволяет удалять данные других пользователей приложения, в том числе удалить все данные всех пользователей, повышать привилегии пользователя на атакованной машине, а также инициировать отказ в обслуживании. Все проанализированные приложения относятся к open source. К сожалению, бурное развитие индустрии AI и конкуренция за скорейший выход новых моделей и сервисов практически исключают возможность внимательно отнестись к безопасности всего стека MLops. И пока топовые компании думают, как бы защититься от злого гения GAI, вся индустрия исправно плодит типовые ошибки класса MoveIT Transfer meets Ivanti Connnect Secure. 😞 #новости @П2Т

👀 Опубликовали вторую часть анализа бэкдора в XZ Utils. Исследователи GReAT сосредоточились на социоинженерном аспекте этой атаки, подробно проанализировав личность и динамику участников операции по вытеснению мейнтейнера XZ Utils и троянизации пакета. Помимо большой длительности атаки, интересен фокус атакующих на компрометации в процессе сборки — до этого такая техника была замечена в резонансном инциденте SolarWinds. Самое печальное — вряд ли инцидент с XZ Utils единичен. Следы аналогичных атак на мейнтейнеров популярных проектов исследуются прямо сейчас и вероятно приведут к новым громким разоблачениям в скором будущем. Все подробности — на securelist! #APT #новости @П2Т

👀 Особенность Github и Gitlab упрощает фишниг и хостинг ВПО Злоумышленники активно эксплуатируют особенность Github и Gitlab, которую некоторые называют багом. В любом публичном проекте можно завести отчёт о проблеме (issue) и приложить к нему вспомогательные файлы, описывающие проблему. Если приложить файлы с ВПО, но не завершить публикацию проблемы, то файл будет лежать на CDN Github по ссылке вида github[.]com/owner/repo/files/id/filename но владельцы репозитория не будут его видеть и не смогут удалить. О проблеме известно с марта, но она не решается, несмотря на то, что среди репозиториев, эксплуатируемых таким образом, находятся проекты самой Microsoft. В GitLab — аналогичная проблема, вредоносные файлы можно подгрузить в черновик комментария к проекту, не публикуя комментарий. Файлы оказываются доступны по адресу gitlab[.]com/owner/repo/uploads/filehash/filename Очевидно, что злоумышленники получают тут не только хостинг на популярном и доверенном сайте, но и фишинговую ссылку очень убедительного вида, включающую именитые компании и проекты. Владельцы репозиториев ничего не могут с этим сделать, они даже не видят этот контент, и он доступен только по прямой ссылке на вредоносные файлы. Пока Gitlab и Github не изменят политику по работе с вложениями в проблемы/комментарии, защищаться можно только повышением осведомлённости сотрудников, использованием allowlists для запуска приложений или селективной блокировкой загрузки файлов с github/gitlab. #новости @П2Т

🌐Обновили SD-WAN — всё ближе к SASE! Решение Kaspersky SD-WAN обновилось до версии 2.2. Оно значительно расширяет возможности команд ИБ и ИТ: ⏺ позволяет централизованно отправлять телеметрию NetFlow c CPE и упрощает детектирование аномалий в сетевом трафике SIEM-системой и Kaspersky CyberTrace; ⏺ улучшена интеграция с Kaspersky Unified Monitoring and Analysis Platform, Kaspersky Industrial CyberSecurity for Networks, а также Kaspersky Anti Targeted Attack; ⏺ появилась возможность управлять правилами файрволла и NAT на всех маршрутизаторах SD-WAN из единой консоли с использованием шаблонов; ⏺ реализованы настройка Direct Internet Access (DIA) и поддержка протокола PPPoE. Выход новой версии — ещё один шаг в развитии транспортной базы для SASE (Secure Access Service Edge). ❕ Полный список улучшений и обновлённый обзор решения — уже у нас на сайте! #новости @П2Т

🗣 Как XDR отвечает на современные вызовы ИБ? В ответ на растущую сложность киберугроз множатся и усложняются сами средства защиты. Разрозненные ИБ-инструменты делают работу безопасников сложнее, расследования инцидентов занимают всё больше времени, а нанять нужных специалистов трудно. Как XDR поможет преодолеть эти вызовы?  Об этом расскажем на вебинаре, посвящённом новой версии Kaspersky Symphony XDR 2.0: ▶️ изменения в Kaspersky Symphony XDR: обновлённые состав, архитектура и сценарии использования;  ▶️ новые возможности и особенности;  ▶️ преимущества Single Management Platform в составе решения. Встречаемся в эту среду: 24 апреля 2024 в 11:00 (МСК). Нужна предварительная регистрация. Зарезервировать место на вебинаре  ⟶  #события @П2Т 

➡️Интересные исследования APT и новости ИБ за неделю 📌  Итоги года по версии нашего сервиса MDR: классификация алёртов по критичности, индустрии, географии и конечно TTP атакующих. 📌 А вот разбор инцидентов, которые потребовали расширенного реагирования с привлечением экспертов Kaspersky. Резко возросло число атак через взломанных подрядчиков 😳. ⏳ Новая кампания DuneQuixote нацелена на шпионаж за ближневосточными организациями. Для этого используется имплант в памяти под названием CR4T и хорошо фильтрующие клиентов серверы С2. ⚡️Снова геополитика перемешалась с ИБ: китайские исследователи спорят с атрибуцией по группе Volt Typhoon и утверждают, что это на самом деле криминальная группировка Dark Power. 🐶 Анализ ransomware кампании Cerber, заражающей организации через уязвимости в сервере Confluence. 🤑 И англо-голландский анализ Akira, которых называют новой личиной банды Conti. ⭕️ Разбор опенсорсного кроссплатформенного троянца PupyRAT, его дорабатывают и применяют как преступники мелкого калибра, так и серьёзные APT. ⚙️ Обновлённый разбор билдера Lockbit 3.0 и тактик злоумышленников по его кастомизации под конкретную жертву. 👾 Новый банкер Soumnibot для Android, примечателен многочисленными техниками ухода от сканирования с помощью неверного манифеста. 🖱 Вечером в пятницу (традиционно для плохих новостей) MITRE отчиталась, что её взломали через дыру в правильно, Ivanti Connect Secure.  Расследование продолжается, но уже можно почитать подробный отчёт с разбором найденных этапов атаки (разложенном по ATT&CK) и рекомендации по харденингу инфраструктуры. Кстати, Ivanti снов закрыла 27 (!) багов в Avalanche. #дайджест #APT @П2Т