#APT #дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Securelist
Coyote: A multi-stage banking Trojan abusing the Squirrel installer
We will delve into the workings of the infection chain and explore the capabilities of the new Trojan that specifically targets users of more than 60 banking institutions, mainly from Brazil.
Phishing-Frenzy-C-Suite-Receives-42x-More-QR-Code-Attacks.pdf
7.5 MB
🐠 Фишинг и QR-коды: под прицелом начальство
Маскировка вредоносных ссылок за QR--кодами не нова, но в 2023 году её активно нацеливали на руководство компаний, атакуя их в 42 раза чаще, чем рядовых сотрудников. К такому выводы пришли в Abnormal security в своём отчёте за первое полугодие 2024 года (название периода странное, мы согласны). Фишинговые письма часто маскируются под запросы 2FA и требования подписать что-то в системах электронного документооборота.
Индустриальный срез жертв показывает, что атаковать предпочитают строительные и инжиниринговые организации. Но и всем остальным расслабляться не стоит — писем категории BEC стало вдвое больше, чем в 2022 году. При этом фишинг с QR-кодами чаще всего нацеливают на небольшие компании, а BEC — на крупные.
Отчёт за маркетинговым забором можно скачать здесь илипосмотреть в аттаче к этом сообщению.
#статистика @П2Т
Маскировка вредоносных ссылок за QR--кодами не нова, но в 2023 году её активно нацеливали на руководство компаний, атакуя их в 42 раза чаще, чем рядовых сотрудников. К такому выводы пришли в Abnormal security в своём отчёте за первое полугодие 2024 года (название периода странное, мы согласны). Фишинговые письма часто маскируются под запросы 2FA и требования подписать что-то в системах электронного документооборота.
Индустриальный срез жертв показывает, что атаковать предпочитают строительные и инжиниринговые организации. Но и всем остальным расслабляться не стоит — писем категории BEC стало вдвое больше, чем в 2022 году. При этом фишинг с QR-кодами чаще всего нацеливают на небольшие компании, а BEC — на крупные.
Отчёт за маркетинговым забором можно скачать здесь или
#статистика @П2Т
Microsoft Patch Tuesday: лучшее, конечно, впереди! 😎
Для влюблённых в свою работу, вторник патчей пришёлся как раз в канун дня влюблённых, а для полной надёжности он включает важные обновления Office и Exchange Server.
Критическая уязвимость в Outlook (CVE-2024-21413, CVSS 9.8) позволяет атакующим создавать вредоносные ссылки, которые, будучи присланными по почте, обходят меры защищённого просмотра (protected view) и приводят к утечке хэшей NTLMv2 и даже запуску произвольного кода. Патчи на 2016-ю линейку Office доступны, но требуют последовательной установки нескольких обновлений.
Уязвимость в Exchange Server (CVE-2024-21410, CVSS 9.8) также приводит к утечке хэшей и позволяет проводить атаки PtH, повышая привилегии атакующего. Эксплуатацию этой дыры в Microsoft оценивают как более вероятную.
Хотя оба бага не эксплуатируются вживую, на них наверняка прямо сейчас смотрят многочисленные APT, уж очень они полезны в популярных сценариях атак. Поэтому если не сегодня, то завтра уже точно надо начинать патчинг.
Менее впечатляющие, но уже используемые в реальных атаках уязвимости, закрытые в этот вторник: CVE-2024-21412 и -21351 (CVSS 8.1 и 7.6). Обе классифицируются как обход функций безопасности, подавляя предупреждения Windows Smartscreen. Про первую известно, что она эксплуатировалась группой DarkCasino/WaterHydra для атак на финансовые организации.
В целом, если не считать исправлений в MS Edge, выпущенных неделей ранее, Microsoft закрыла 73 дыры, включая 30 RCE, 16 EoP, 9 DoS и 10 Spoofing. Рейтинг critical получили 5 уязвимостей, important — 65.
В этом месяце не стоит обделять вниманием и патчи Adobe, которая закрыла 29 уязвимостей в Acrobat и Reader, включая 5 критических RCE. Правда, ни один из багов не отмечен как реально эксплуатируемый на сегодня.
#новости @П2Т
Для влюблённых в свою работу, вторник патчей пришёлся как раз в канун дня влюблённых, а для полной надёжности он включает важные обновления Office и Exchange Server.
Критическая уязвимость в Outlook (CVE-2024-21413, CVSS 9.8) позволяет атакующим создавать вредоносные ссылки, которые, будучи присланными по почте, обходят меры защищённого просмотра (protected view) и приводят к утечке хэшей NTLMv2 и даже запуску произвольного кода. Патчи на 2016-ю линейку Office доступны, но требуют последовательной установки нескольких обновлений.
Уязвимость в Exchange Server (CVE-2024-21410, CVSS 9.8) также приводит к утечке хэшей и позволяет проводить атаки PtH, повышая привилегии атакующего. Эксплуатацию этой дыры в Microsoft оценивают как более вероятную.
Хотя оба бага не эксплуатируются вживую, на них наверняка прямо сейчас смотрят многочисленные APT, уж очень они полезны в популярных сценариях атак. Поэтому если не сегодня, то завтра уже точно надо начинать патчинг.
Менее впечатляющие, но уже используемые в реальных атаках уязвимости, закрытые в этот вторник: CVE-2024-21412 и -21351 (CVSS 8.1 и 7.6). Обе классифицируются как обход функций безопасности, подавляя предупреждения Windows Smartscreen. Про первую известно, что она эксплуатировалась группой DarkCasino/WaterHydra для атак на финансовые организации.
В целом, если не считать исправлений в MS Edge, выпущенных неделей ранее, Microsoft закрыла 73 дыры, включая 30 RCE, 16 EoP, 9 DoS и 10 Spoofing. Рейтинг critical получили 5 уязвимостей, important — 65.
В этом месяце не стоит обделять вниманием и патчи Adobe, которая закрыла 29 уязвимостей в Acrobat и Reader, включая 5 критических RCE. Правда, ни один из багов не отмечен как реально эксплуатируемый на сегодня.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Для полной защиты от этой и подобных уязвимостей, Microsoft требует включить на серверах Exchange опцию Extended Protection. Начиная с 2024 H1 Cumulative Update (CU14), расширенная защита будет активирована по умолчанию.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Для тех, кто интересуется безопасной разработкой, подходом Secure by Design и новинками на KasperskyOS, мы собрали подборку полезных статей с блога:
#дайджест #про_кибериммунитет @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Киберпреступники могут украсть не только деньги или секретные документы атакованной компании, но и на первый взгляд неинтересные атакующим активы вроде доступа к корпоративной платформе рассылки или блогу. Ресурсы маркетингового отдела могут пригодиться коммерческому киберкриминалу для собственного «маркетинга», например запуска вредоносной рекламы. Последствиями для жертв будут и прямые денежные потери, и репутационный ущерб.
Разобрали пять распространённых кибератак на маркетинг в нашем блоге, а главное — составили простой список мер, которые нужны именно этому отделу, чтобы защитить компанию и сотрудников от весьма неприятных угроз.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
www.kaspersky.ru
Киберугрозы маркетингу компании
Как киберпреступники крадут рекламные деньги, рассылки и веб-сайты и чем их защитить.
🎁 Все на борт! Защищаем контейнерные среды в 2024 году
Чтобы убедиться в разнообразии и актуальности угроз, специально нацеленных на контейнерные инфраструктуры, достаточно полистать наш канал или любую ленту ИБ-новостей на ваш выбор. Как сохранить спокойный сон девопсам, а компании — ускорить и одновременно обезопасить свои процессы разработки?
Об этом поговорим на онлайн-мероприятии «Лаборатории Касперского» 21 февраля!
Обсудим:
🟣 как правильно защищать контейнерные среды;
🟣 какие регуляторные требования выдвигаются к безопасности контейнеров;
🟣 что нового появилось в Kaspersky Container Security 1.1;
🟣 наши планы на следующие версии.
Регистрируйтесь прямо сейчас, чтобы не пропустить онлайн-трансляцию и демо!
Ждём вас в среду, 21 февраля, в 11:00 (МСК). Приходите!
Забронировать себе место ⟶
#события @П2Т
Чтобы убедиться в разнообразии и актуальности угроз, специально нацеленных на контейнерные инфраструктуры, достаточно полистать наш канал или любую ленту ИБ-новостей на ваш выбор. Как сохранить спокойный сон девопсам, а компании — ускорить и одновременно обезопасить свои процессы разработки?
Об этом поговорим на онлайн-мероприятии «Лаборатории Касперского» 21 февраля!
Обсудим:
Регистрируйтесь прямо сейчас, чтобы не пропустить онлайн-трансляцию и демо!
Ждём вас в среду, 21 февраля, в 11:00 (МСК). Приходите!
Забронировать себе место ⟶
#события @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Учитывая вал уязвимостей и инцидентов с продукцией Ivanti, её пользователям может пригодиться подробное руководство по анализу потенциально скомпрометированных устройств.
🔓 Полезный репозиторий сертификатов, которые были украдены и используются в кибератаках.
Анализ новых версий ВПО Glupteba — ещё один коммерческий троян обзавёлся UEFI-буткитом.
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
У вымогателей тоже плохо с управлением уявзимостями
Ну а пока силовики троллят партнёрскую сеть Lockbit сообщением в их внутренней админке (на скриншоте).
Судя по имеющимся данным, атаковать инфраструктуру удалось через незакрытую уязвимость в PHP. Правда, сами рансомварщики говорят, что у них есть бэкапы, с которыми всё в порядке.
Разумеется, подобные операции полезны для очистки сети от всякой заразы, но интересно посмотреть, будут ли следом реальные аресты. Только привлечение преступников к настоящей ответственности может серьёзно охладить энтузиазм киберкриминала.
Иначе через полгода на смену Lockbit придёт что-то ещё, как это уже было после закрытия ALPHV или Hive.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Можно до хрипоты талдычить офисным коллегам, что использование чатботов приводит к утечкам корпоративной информации на серверы разработчиков. Они всё равно будут приспосабливать ботов Яндекса или Гугла в лучшем случае для написания рекламных текстов, а в худшем — для внутренней переписки или обработки отчётов. Чтобы применять автоматизацию безопасно, ИИ-модели нужно запускать локально.
К счастью, для этого есть нормальные модели в open source и приложения, которые работают даже на не самых свежих ноутбуках 😃. Пошаговый рецепт — в нашем посте на блоге.
#советы #AI @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
www.kaspersky.ru
Как запускать языковые модели и другие ИИ-инструменты на своем компьютере | Блог Касперского
Какое железо и приложения нужны для использования ИИ на локальном компьютере, без Интернета и угрозы утечки данных
Атаки с применением подручных инструментов (LOTL) известны давно, но число атакующих, которые ими умело пользуются, к сожалению, всё растёт. Прошлогодняя серия атак Volt Typhoon сильно повысила градус внимания к этой проблеме, благодаря чему Microsoft, например, недавно заставили бесплатно предоставлять расширенные логи своим заказчикам. Техники подобных группировок мы подробно описали в документе, посвящённом TTP азиатских APT.
К чести CISA, NCSC и прочих причастных к защите критических ИТ-инфраструктур агентств, они стараются не только ради своих госорганов, но и делятся наработками с широкой общественностью. По защите от LOTL было написано монументальное руководство, учитывающее реалии изученных инцидентов и проведённых аудитов/пентестов. Рекомендации приоритизированы по эффективности, хотя конечно некоторые из них весьма трудоёмки в воплощении.
Пара интересных моментов:
Документ, конечно, на английском, поэтому мы ещё вернёмся к его подробному рассмотрению.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
#новости #дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Стандарт описания уязвимостей OVAL крайне удобен для автоматического поиска уязвимого ПО и небезопасных настроек в вашей инфраструктуре. Его можно применять и в АСУ ТП, учитывая что сканеры работают в мягком режиме и не нарушают работу промышленного оборудования. В нашем видео мы демонстрируем это на примере бесплатного сканера Ovaldi,
Также описываем, как реализовать регулярное обнаружение и оценку уязвимостей, варианты мер по устранению этих дефектов, способы удобной автоматизации при помощи Kaspersky Security Center.
К сожалению, несмотря на открытую природу OVAL, в свободном доступе фидов по промышленному оборудованию нет, да и коммерческие фиды нужно ещё поискать. В этом смысле данные Kaspersky ICS CERT почти эксклюзивны
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Защита автоматизированных систем управления: Данные об уязвимостях в формате OVAL
В этом видео мы разбираем, как работают потоки данных для защиты от различных угроз.
Сегодня наш эксперт, Павел Нестеров, старший исследователь угроз в «Лаборатории Касперского», поделится своим опытом использования OVAL и существующими у нас наработками…
Сегодня наш эксперт, Павел Нестеров, старший исследователь угроз в «Лаборатории Касперского», поделится своим опытом использования OVAL и существующими у нас наработками…
33-кратный рост учётных данных для сервисов OpenAI в утечках отмечен экспертами Kaspersky Digital Footprint Intelligence за прошлый год. Аккаунты преимущественно продаются в виде «логов» инфостилеров. В объявлениях дарквеба предложение и спрос на аккаунты ChatGPT резко выросли в прошлом марте и оставались на высоком уровне до конца года, всего в обороте удалось обнаружить 664 тысячи украденных записей.
Это неудивительно, учитывая как взрывной рост подписной базы ИИ-сервисов, так и интерес самих киберпреступников к применению ИИ. Более того, учитывая высокий уровень использования ИИ-сервисов на работе, преступники могут рассчитывать на беспечность жертв, применяющих один и тот же пароль как в условном ChatGPT, так и на рабочих аккаунтах. Печально, но по-прежнему правдиво.
Спрос на другие популярные «околорабочие» аккаунты можно оценить на втором графике. Кстати, и Canva и Grammarly теперь тоже считаются ИИ-сервисами
#статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
3D-принтеры в этом смысле ничуть не лучше. Вот пользователи принтеров Anycubic со вторника обсуждают, что анонимный исследователь через уязвимые API положил на 3 миллиона принтеров 🖨🖨🖨 файл-модель с предупреждением, а компания реагирует на это... почти никак. Точнее говоря, представители пока «собирают информацию» у жалующихся пользователей, а также фирменное приложение больше не работает у владельцев принтеров.
В другом посте исследователи говорят, что пытаются заставить вендора закрыть две критические уязвимости вот уже два месяца, но производитель не реагирует.
При всём этом Anycubic — один из популярнейших на рынке 3D-принтеров. Возможно, теперь это изменится
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Ну вот и дожили до весны 🌱
Надеемся, вы будете находить больше времени на отдых! Москвичи, например, смогут сходить в Мариинку, не покупая билеты на поезд или самолёт — впервые за 25 лет питерцы выступят на сцене Большого театра.
Ну а мы позаботимся о том, чтобы в Большом было кибербезопасно! Мировому культурному наследию почти 250 лет, но его инфраструктура постоянно цифровизируется и обрастает новыми технологиями.
💃 Как мы защищаем Большой театр?
🟠 фундаментальная превентивная защита от массовых угроз;
🟠 защита физических и виртуальных рабочих станций и серверов;
🟠 безопасность корпоративной переписки;
🟠 непрерывная управляемая защита от сложных киберугроз на базе Kaspersky Symphony MDR.
🔗 Узнать больше о нашей защите для Большого театра можно на специальной странице.
@П2Т
Надеемся, вы будете находить больше времени на отдых! Москвичи, например, смогут сходить в Мариинку, не покупая билеты на поезд или самолёт — впервые за 25 лет питерцы выступят на сцене Большого театра.
Ну а мы позаботимся о том, чтобы в Большом было кибербезопасно! Мировому культурному наследию почти 250 лет, но его инфраструктура постоянно цифровизируется и обрастает новыми технологиями.
💃 Как мы защищаем Большой театр?
@П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Приятного чтения и просмотра!
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM