Порвали два трояна

👮‍♂️ Ransomware: ключевые тенденции 2024 года Ransomware отвечает за 33% критических инцидентов в минувшем году, затронув бизнесы в каждой отрасли и по всему миру. Многие страны считают ransomware проблемой национальной безопасности, что привело к более координированным операциям правоохранительных органов против известных киберпреступников. Результат? Банды становятся всё более фрагментированными, распадаются на мелкие группы, что усложняет полиции охоту за ними. К сожалению, для защитников эта фрагментация тоже усложняет задачу, количество желающих «пощупать» инфраструктуру компании увеличится. При этом всё больше атак почти молниеносны: более 43% завершаются шифрованием менее чем за сутки. Вторая тревожная тенденция — существенный рост атак через подрядчиков и поставщиков услуг, включая ИТ-услуги. Это стало одним из трёх основных векторов атак. Другие два — уязвимые приложения, доступные из интернета, а также скомпрометированные учетные данные. В подробном отчёте на Securelist мы собрали: 🟢 список заметных штаммов ransomware и их излюбленные мишени; 🟢 тактики и техники групп ransomware; 🟢 советы по защите ИТ-инфраструктуры от ransomware-атак. #статистика #ransomware @П2Т

🌐 Критическая уязвимость в TinyProxy — обновление через ручную пересборку 😞 Уязвимость CVE-2023-49606 (CVSS 9.8) в TinyProxy может приводить к исполнению произвольного кода неаутентифицированным атакующим после отправки специального HTTP-запроса. Дефект присутствует в последней официальной версии 1.11.1, а также в 1.10.0. Учитывая простоту эксплуатации уязвимости, а также присутствие TinyProxy во многих сборках Linux и в устройствах IoT, проблема может стать массовой. На сегодня в интернете доступно более 90 тысяч хостов, на которых установлен TinyProxy, в основном в США, Южной Корее, Китае, Франции и Германии. Уязвимо более половины 😞 Патчинг затруднён тем, что разработчики пока не выпустили обновлённую версию, доступен только отдельный коммит в Github и инструкции по самостоятельной пересборке. #новости @П2Т

🗂 IR-рекомендации от Microsoft Команда Incident Response из Microsoft собрала удобный набор шпаргалок по использованию различных неочевидных служб и логов Windows при расследовании инцидентов. Редмонд называет этот документ «руководством по IR», но это пожалуй слишком громко. Это именно набор советов. Но очень полезных для всех, кто собирает артефакты с Windows-машин: ⏺ проверка существования файлов и их SHA1 через AmCache; ⏺ проверка существования (и удаления) файлов по LNK и Jumplist; ⏺ контроль создания и запуска бинарников при помощи Prefetch; ⏺ изучение взаимодействия пользователя с папками и файлами через ShellBags; ⏺ проверка существования файлов и их связи между собой через Shimcache; ⏺ проверка запуска файлов и сетевого трафика через SRUM и UserAssist; ⏺ контроль аномальных доступов и горизонтального перемещения при помощи UAL. Забирайте и пользуйтесь! #советы @П2Т

✈️ Интересные новости ИБ и исследования APT за неделю 🤨 Технический анализ сложного модульного импланта Cuttlefish, который заражает SOHO-роутеры и на лету вылавливает в трафике пароли и другие секреты. ВПО способно подменять DNS- и HTTP-запросы, перехватывать трафик при обращении к серверам в интрасети, но особо интересуется доступами к популярным облачным сервисам. 🤔 Ежегодный отчёт по взломам и утечкам, Verizon DBIR, отмечает двукратный рост числа инцидентов и трёхкратный рост случаев, когда для проникновения использовалась эксплуатация уязвимостей. Львиная доля роста обеспечена атаками вымогателей. Интересно сравнить данные с нашим недавним отчётом по расследованию инцидентов — некоторые тренды очень схожи. 🐱 Детальный обзор деятельности кластера APT42, состоящего из таких подгрупп, как Charming Kitten, TA 453 и др. В своей шпионской деятельности APT умело комбинирует ВПО и социальную инженерию. Среди продвинутых социальных трюков — приглашение жертв на различные мероприятия и интервью. После установления доверительных отношений, жертве присылают убедительную фишинговую ссылку для выманивания пароля с обходом MFA. В дальнейшем интересные данные извлекаются из облачных сред Microsoft 365 или Citrix Apps. В разделе про ВПО описаны два свежих изделия группировки, TAMECAT и NICECURL. ✈️ Другие умелые фишеры, Kimsuky/APT43, освоили новые техники целевого фишинга, основанные на обходе слабых политик DMARC в атакованной организации. 🍄 Разбор деятельности MaaS DarkGate, которые отличились в этом году обходом предупреждений SmartScreen. 😞 Кибер-агентства «пяти глаз» выпустили предупреждение о защите «малых форм АСУ ТП» вроде городских водонапорных станций. Их, якобы, пытаются взламывать пророссийские хактивисты. Оставляя политическую часть за скобками, отметим, что панели HMI, торчащие в интернет и доступные через давно устаревшие версии VNC — это очень плохо и требует устранения, вне зависимости от того, в какой стране происходит. Рекомендации по харденингу вполне толковые и выполнимые. 🔜 Запутанный DNS-детектив про пассивную разведку мировой интернет-инфраструктуры при помощи Великого Самизнаетечьего Файрвола. Цели атакующих до конца не ясны, ясно только, что терпения и технологической грамотности им не занимать. 🔥 Эту новость мы не могли обойти — новые требования к ИБ автомобилей в Европе вынуждают производителей прекратить продажу на этом рынке ряда моделей, включая, например, Porsche Macan. 🤡 Новый релиз на Github: встречайте MS-DOS 4.0. 😂 #дайджест @П2Т

#ИБ_мем

👀 Сколько паролей ваших сотрудников гуляет по даркнету? Легитимные учётные записи являются одним из основных векторов начального проникновения в организацию. Поэтому разработка и распространение инфостилеров, крадущих пароли, продолжает быть оживлённым теневым бизнесом. 🔥 В свежем отчёте Kaspersky Digital Footprint Intelligence разобраны основные тенденции рынка скомпрометированных учётных данных, очень рекомендуем ознакомиться. Число утечек из корпоративных сред растёт, а реагирование на них часто бывает неполным. 👽 При обнаружении скомпрометированного пароля недостаточно его просто сменить. Необходимо провести расследование и проверить подозрительные события на атакованном устройстве, чтобы исключить распространение ВПО или дальнейшую утечку информации, а также настойчиво потребовать у сотрудника проверить личные устройства на признаки компрометации. #статистика @П2Т

🤔 Разобрали имеющуюся информацию по взлому Dropbox Sign. Ключевой момент — сервис в значительной мере отделён от файлового сервиса Dropbox, поэтому если вы не пользовались именно функциями электронной подписи документов, скорее всего вы не затронуты этой утечкой. Интересно посмотреть, как этот сюжет будет развиваться далее. Ведь утечка API-ключей и токенов Oauth в принципе позволяла злоумышленникам подписывать чужие документы юридически значимой подписью. Говорят, доступа к документам не обнаружили, но расследование продолжается, поэтому сюрпризы возможны. Надо отметить, что пароли всем пользователям сбросили автоматически, а вот для Oauth и API только «координируют ротацию секретов». То есть неправомерный доступ возможно продолжается и сегодня. #новости @П2Т

🤔 Квантовые компьютеры ещё не появились, но уже создают проблемы совместимости В некоторых организациях обновление до Chrome 124 и Edge 124 привело к масштабным сбоям. При попытке установления соединения через обновлённый браузер, оно обрывается на этапе рукопожатия TLS (ClientHello). Всё дело в квантовых компьютерах. 😈 В число поддерживаемых алгоритмов согласования ключей для TLS и QUIC у Chromium начиная с версии 115 входит квантово устойчивый алгоритм Kyber768. Теперь он включён по умолчанию. Размер сообщения ClientHello из-за этой доработки оказывается слишком большим, и его не могут корректно обработать многие веб-приложения, прокси и межсетевые экраны. Временное решение проблемы - отключить Kyber768 через настройки. Но поскольку поддержка постквантовых алгоритмов уже включена во все мыслимые стандарты, долгосрочным решением является обновления несовместимых веб-серверов и ИБ-инструментов. Больше деталей о проблеме и ее решении собрано на специальном сайте tldr.fail. #советы @П2Т

💎 Не пропустите! Самые полезные материалы апреля Если не успевали в течение месяца, может хотя на майских заглянете 😉 🔖Сага с троянизацией XZ Utlis, включая влияние на русские сборки Linux (1, 2, 3) 🔖Новая CISO mindmap 2024 🔖Разбор опасных схем мошенничества с письмом/сообщением от босса. 🔖Видеодемонстрация Kaspersky Symphony XDR. 🔖Основные тренды ИБ по версии Gartner и куда вообще тратить деньги. 🔖Безопасно выглядящие ссылки на топ-репо в GitHub и как на них публикуют ВПО 🔖Как защититься от атак с применением домашних прокси. 🔖Способы эксплуатации доменов организации через ошибки в DNS. #дайджест @П2Т

➡️Интересные исследования APT и новости ИБ за неделю 🦊 Обзор инструментов сбора и эксфильтрации данных APT ToddyCat, преимущественно атакующей организации в Юго-Восточной Азии для кражи конфиденциальной и оборонной информации. 🔓 Okta выпустила предупреждение о кратном росте числа атак credential stuffing с применением домашних прокси. Преимущественно стучатся в VPN и прочие сервисы удалённого доступа. Рекомендуют блокировать на WAF любые IP с низкой репутацией, применять аппаратные способы MFA. Напомним, мы недавно давали советы по этой же проблеме. 🐀 Новые атаки старых знакомцев ScarCruft/APT-C-28, шпионская кампания основана на ВПО RokRat. 💻 Microsoft переходит ко второй фазе отзыва небезопасных сертификатов Secure Boot, который необходим после появления UEFI-буткита BlackLotus. 👮 Несколько разборов штаммов ransomware, которые активно работают без резонанса в СМИ: KageNoHitobito и DoNex, Cactus. А вот новички Quilong, наоборот, хотят публичности и начали с публикации фото клиентов клиники пластической хирургии. 🍏 Обзор MacOS-импланта F_Warehouse, применяемого APT Lighthouse. В мире open source опять всё спокойно нашли троянизированные пакеты, снова в npm, 25 штук. 🤖 Анализ новых версий популярных инфостилеров и загрузчиков: Redline stealer, Fletchen Stealer, IDAT. 📬 Новые рекорды фишинга: трафик на фейковые домены почты США догнал и возможно перегнал трафик на оригинальный сайт 🤦‍♂️ Microsoft опубликовала исходники инструмента ICSpector, предназначенного для анализа конфигурации ПЛК. 🥱 Google в очередной раз отложил дату отключения сторонних куки, на сей раз на начало 2025 года. #новости @П2Т