PS.kz - SOC

Друзья, делюсь с вами традиционным пятничным дайджестом. Что интересного было опубликовано в СМИ за последнее время: • Авторский блог в Bluescreen растет. В нем уже три статьи. Не пойман – не бот: как распознать атаку на сайт? Передохнуть: где поставить ударение правильно, если вы работаете в ИБ-отрасли? Palo Alto Networks покупает ИБ-активы IBM: как это решение повлияет на сферу ОЦИБ (SOC)? • Комментарий для Techozimiz: новый уровень фишинга или как не повестись на фейковое сообщение от техподдержки? • Интервью для 31 канала: защита от вредоносных плагинов. Как сохранить безопасность в Интернете?

🔒 Дайджест событий в области информационной безопасности с 24 по 30 июня 2024 года 💥 Взломы и атаки: ☄️ Компания TeamViewer подверглась хакерской атаке. Злоумышленники использовали скомпрометированную учетную запись одного из сотрудников для похищения корпоративной информации. Сообщается, что платформа TeamViewer и данные клиентов не пострадали. ☄️ CoinStats сообщила о хакерской атаке, в результате которой были скомпрометированы 1590 криптовалютных кошельков. CoinStats — приложение для управления криптовалютными портфелями с 1 500 000 пользователей. 😈 Малварь недели: 1️⃣ SpyMax — RAT (Remote Administration Tool) для Android, распространяется через фишинговую кампанию, нацеленную на пользователей Telegram. Собирает личную информацию с зараженного устройства, перехватывает нажатия клавиш. Для его работы не требуется повышенных привилегий. 2️⃣ P2PInfect — P2P-ботнет, нацеленный на уязвимые серверы Redis, недавно был обновлен и возобновил активность. Среди новых функций P2PInfect стоит выделить установку вымогательского ПО, шифрующего файлы с определенными расширениями и требующего выкуп в размере 1 XMR. Также был добавлен руткит, который использует переменную среды LD_PRELOAD для сокрытия вредоносных процессов и файлов от инструментов безопасности. 🔒 Уязвимости недели: ⚠️ Обнаружена новая RCE уязвимость regreSSHion (CVE-2024-6387), в серверном компоненте OpenSSH (sshd) в системах Linux с glibc. Уязвимы версии OpenSSH с 8.5p1 по 9.7p1. Исследователи выявили более 14 миллионов потенциально уязвимых серверов OpenSSH в интернете. ⚠️ Появилось сообщение о продаже эксплоита нулевого дня в GRUB-загрузчике Linux для локального повышения привилегий (LPE). ⚠️ GitLab выпустила обновления для исправления 14 уязвимостей, включая одну критическую и три уязвимости высокой степени серьезности. ⚠️ Juniper Networks выпустила исправления для уязвимости обхода аутентификации высокой степени серьезности (CVE-2024-2973) в Session Smart Router (SSR), Session Smart Conductor и WAN Assurance Router. ➕Файл ниже содержит IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности. https://t.me/pssoc

SecureCore UEFI.

🔒 Дайджест событий в области информационной безопасности с 17 по 23 июня 2024 года 💥 Взломы и атаки: ☄️ Злоумышленник IntelBroker заявляет о взломе ряда крупных вендоров: на продажу выставлены конфиденциальные данные производителя AMD, телекоммуникационной компании T-Mobile и исходный код некоторых корпоративных инструментов Apple. ☄️ Группировка LockBit утверждает, что взломала Федеральную Резервную Систему США (Federal Reserve System), предположительно похитив 33 терабайта конфиденциальных банковских данных, а также информацию о системе распределения денег Федеральной Резервной Системы по ее двенадцати банковским округам. ☄️ CDK Global, разработчик систем программного обеспечения для автодилеров, подвергся атаке программы-вымогателя BlackSuit. Инцидент привел к утечке данных и вызвал перебои в работе автосалонов в Северной Америке. 😈 Малварь недели: 1️⃣ Обнаружен новый вариант руткита Diamorphine для ядра Linux. Руткит скрывает файлы и папки, способен выполнять произвольные команды через специально сформированные пакеты, а также выгружать модуль ядра для скрытия следов своего присутствия. Новая версия руткита маскируется под модуль X_Tables в Netfilter. 2️⃣ Обнаружен новый ботнет Zergeca, ориентированный на платформу Linux. Zergeca способен выполнять DDoS-атаки, производить кражу данных, сканировать сеть, а также скачивать и устанавливать дополнительное вредоносное ПО. 🔒 Уязвимости недели: ⚠️ Уязвимость CVE-2024-26169 в Windows Error Reporting, позволяющая добиться повышения привилегий, стала эксплуатироваться вживую, что указывает на повышенную критичность уязвимости. Исправление уязвимости было выпущено в марте, рекомендуется обновление. ⚠️ ASUS выпустила обновления для устранения критической уязвимости обхода аутентификации (CVE-2024-3080) в нескольких моделях роутеров, а также критической уязвимости загрузки произвольного встроенного ПО (CVE-2024-3912). ⚠️ VMware выпустила исправления для критических уязвимостей CVE-2024-37079, CVE-2024-37080, CVE-2024-37081 в продуктах vCenter Server и Cloud Foundation, которые могут использоваться для повышения привилегий и удаленного выполнения кода. ⚠️ Уязвимость CVE-2024-0762, получившая название UEFIcanhazbufferoverflow была обнаружена в прошивке Phoenix SecureCore UEFI. Уязвимыми могут быть устройства, которые работают на процессорах Intel семейств AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake, и TigerLake. Возможность эксплуатации зависит от конфигурации и разрешений, назначенных переменной TCG2_CONFIGURATION, которые могут быть разными для каждой платформы. ➕ Файл ниже содержит IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности. https://t.me/pssoc

😢 Передохнуть: где поставить ударение правильно, если вы работаете в ИБ-отрасли Профессия киберспециалиста сегодня востребована и перспективна. А в «подарок» к этому идет еще и непрерывный поток информации, стресс и высокая нагрузка. Начинающий специалист не сразу заметит какие-то изменения, потому что такое состояние можно только «накопить». Как доказательство – цифры. По некоторым данным, уже в следующем году почти 50% профессионалов в сфере кибербезопасности поменяют место работы. А причина – профессиональное выгорание. В этой статье мы обсудим, что это вообще такое, как с этим бороться и как распознать первые тревожные звоночки. Будьте в курсе новостей ИБ – читайте важное в telegram-канале автора. #информбезопасность #кибератаки 📷 BlueScreen | Digital Kazakhstan

Коллеги, снова на связи Пушкин Александр Рабочая неделя подходит к концу, а это значит, что можно собрать воедино все самое интересное и поделиться с вами: • Пишу авторскую колонку для Bluescreen. Первая статья на тему: Palo Alto Networks покупает ИБ-активы IBM: как это решение повлияет на сферу ОЦИБ (SOC)? • Комментарий для Techozimiz: ИБ не будет прежним? Palo Alto Networks будут совместно создавать продукты на базе AI. Мнение. • ⁠Интервью для Kursiv.digital. 70% киберспециалистов выгорели и ищут новую работу. Почему так? • Интервью для Almaty.tv. Утечка персональных данных: как не попасть в ловушки мошенников? • Статья для «Деловой Казахстан». «А зачем нам это нужно?», или Какие задачи решает ОЦИБ; • Масштабный сбой в СДЭК. Что случилось? Комментарий для Digital Donut. Друзья, переходите по ссылкам, читайте и делитесь своим мнением!

🔒 Дайджест событий в области информационной безопасности с 10 по 16 июня 2024 года 💥 Взломы и атаки: ☄️ Китайская группировка взломала 20 тысяч корпоративных файрволов FortiGate, эксплуатируя уязвимость FortiOS/FortiProxy (CVE-2022-42475). Об этом заявили представители службы военной разведки и безопасности Нидерландов, отметив, что пострадали международные организации, западные правительства и оборонные предприятия. ☄️ Компания Life360, производитель Bluetooth-трекеров Tile, сообщила о кибератаке. Злоумышленники взломали платформу поддержки клиентов Tile и похитили конфиденциальные данные пользователей. 😈 Малварь недели: 1️⃣ TellYouThePass — шифровальщик, распространяемый злоумышленниками на Windows-хостах через новую RCE-уязвимость в PHP (CVE-2024-4577). Процесс заражения шифровальщиком начинается с запуска HTA-файла (dd3.hta), содержащего вредоносный VBScript. Вредоносный трафик на сервер управления маскируется под HTTP-обращения к CSS-ресурсам. 2️⃣ Обнаружен новый бэкдор BadSpace, распространяемый через зараженные WordPress-сайты. После открытия пользователем зараженного сайта отображается окно с предложением скачать обновление Google Chrome. Загрузка этого "обновления" запускает в системе вредоносный код. BadSpace использует файлы JScript для развертывания, подменяя расширения, например ".pdf.js", чтобы избежать обнаружения. 3️⃣ Shinra — недавно обнаруженный шифровальщик для Windows, выполняет удаление теневых копий и изменение политик состояния загрузки. Характерные расширения файлов после шифрования — ".SHINRA2.", ".SHINRA3", ".SHINRA7" и ".SHINRA9". 🔒 Уязвимости недели: ⚠️ Вышел июньский Microsoft Patch Tuesday. Из наиболее обсуждаемых уязвимостей этого пакета обновлений — критическая RCE-уязвимость (CVE-2024-30080) в Microsoft Message Queuing (MSMQ) и уязвимость в валидации DNSSEC (CVE-2023-50868). ⚠️ Arm и Nvidia сообщили об уязвимостях в GPU-драйверах. Пользователям рекомендуется срочно установить обновления. ⚠️ Google выпустил исправления безопасности для устранения 50 уязвимостей в смартфонах Pixel. Одна из уязвимостей (CVE-2024-32896) уже используется в атаках. ⚠️ Уязвимость Prompt Injection (CVE-2024-5184) в расширении EmailGPT для Google Chrome позволяет злоумышленникам получить доступ к конфиденциальной информации. Эту уязвимость может использовать любой человек, имеющий доступ к сервису. ➕Файл ниже содержит IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности. https://t.me/pssoc