➡️ Интересные исследования APT и новости ИБ за неделю

👮‍♀️ Бразилия уверенно стремится к лидерству в спорной номинации «центр инноваций в банковском ВПО». Вот и новый троянец Coyote пришёл из тех краёв, судя по умению «обслуживать» клиентов 60 местных финансовых организаций. Сама функциональность банкера не нова, но в цепочке заражения применено несколько новых и сложных техник: язык программирования Nim, инсталлятор Squirrel вместо MSI и прослойка из Node.js перед разворачиванием финальной вредоносной нагрузки. Пока 90% детектов приходится на Бразилию, но в прошлом удачные штаммы банкеров рано или поздно выходили на все крупные рынки.

📌 Фундаментальный обзор эволюции Qbot/Quakbot/Pinkslipbot, одного из самых старых штаммов ВПО, которое продолжает существовать и использоваться даже сегодня, спустя 15 лет эволюции и 5 мажорных номеров версий. В прошлом августе правоохранительные органы с фанфарами отключили Qbot, но он вернулся уже в декабре. Изначально Qbot был банковским троянцем, но в последние годы преимущественно используется в прелюдиях к атакам ransomware (в том числе в целевых атаках с элементами BEC).

🔎 Про китайцев из Volt Typhoon вышел бюллетень CISA, который очерчивает солидный масштаб вторжения в госсети и длительность атаки. Отчёт полон технических подробностей, а начинается с конкретных рекомендаций по противодействию угрозе. Учитывая любовь этой группировки к LotL, рекомендации максимально логичны и одновременно сложны в исполнении — устраните все уязвимости и совершенствуйте мониторинг.

🗿 Неприятное ВПО TrollStealer распространяется через таргетированный фишинг и ворует данные на целевых системах. Инфостилер написан на Go, инсталлятор подписан действительным сертификатом корейского разработчика ПО и якобы устанавливает «свежие сертификаты безопасности». Атаку приписывают группировке Kimsuky.

💎 Немножко Кристофера Нолана в потоке новостей: фишинг, рассылаемый от имени Sendgrid, распространяется через... Sendgrid. Очень удобно, заодно через домен Sendgrid маскируются исходящие ссылки. В цепочке обфускации также используется удобный атакующим сервис JSPen, позволяющий передавать фрагмент вредоносного скрипта прямо в параметре URL.

👍 Продолжая тему Нолана, перескажем кинематографичную, но правдивую историю из Гонконга. Мошенники убедили сотрудника крупной компании совершить денежный перевод на 25 миллионов долларов, для чего организовали видеозвонок с участием нескольких коллег жертвы, включая её непосредственного начальника. А теперь — внезапный поворот сюжета — все участники созвона, кроме жертвы, были дипфейками. Полиция Гонконга утверждает, что уже совершила 6 арестов. В РФ пока таких случаев не известно (по крайней мере публично), а вот голосовые варианты атаки уже описаны Центробанком.

👀 Печальный итог 2023 года: по данным Chainalysis, выплаты операторам ransomware за год превысили 1 миллиард долларов. При это платежи больше миллиона постоянно растут в общей доле, демонстрируя, что кибербандиты продолжают охотиться за крупной дичью.

⌨️ Бэкдор на Rust, креативно названный RustDoor, атакует разработчиков ПО, поскольку замаскирован под обновление Visual Studio. При этом он ориентирован на платформу macOS, поддерживания процессоры и ARM и Intel. Авторы исследования отмечают пересечение инфраструктуры С2 с семействами ransomware Black Basta и BlackCat.

🆔 Не APT, но тоже неприятно

🔐 В App Store некоторое время жило и здравствовало приложение-клон менеджера паролей LastPass. От этого решения давно пора отказываться в рамках импортонезависимости, но хвалёная ручная модерация Apple очередной раз очень расстроила.

👀 Fortinet не утерпели до регулярного бюллетеня безопасности и опубликовали в пятницу срочное оповещение про CVE-2024-21762 (CVSS 9.6), критическую уязвимость в FortiOS, приводящую к RCE. Обновление доступно для FortiOS 6 и 7 линейки, а также для FortiProxy 1.0-1.2. Если установить его оперативно невозможно, в качестве временной смягчающей меры рекомендуют отключить SSL VPN. В бюллетене есть тонизирующий постскриптум: потенциально эксплуатируется вживую.

#APT #дайджест @П2Т

Microsoft Patch Tuesday: лучшее, конечно, впереди! 😎

Для влюблённых в свою работу, вторник патчей пришёлся как раз в канун дня влюблённых, а для полной надёжности он включает важные обновления Office и Exchange Server.

Критическая уязвимость в Outlook (CVE-2024-21413, CVSS 9.8) позволяет атакующим создавать вредоносные ссылки, которые, будучи присланными по почте, обходят меры защищённого просмотра (protected view) и приводят к утечке хэшей NTLMv2 и даже запуску произвольного кода. Патчи на 2016-ю линейку Office доступны, но требуют последовательной установки нескольких обновлений.

Уязвимость в Exchange Server (CVE-2024-21410, CVSS 9.8) также приводит к утечке хэшей и позволяет проводить атаки PtH, повышая привилегии атакующего. Эксплуатацию этой дыры в Microsoft оценивают как более вероятную.

Хотя оба бага не эксплуатируются вживую, на них наверняка прямо сейчас смотрят многочисленные APT, уж очень они полезны в популярных сценариях атак. Поэтому если не сегодня, то завтра уже точно надо начинать патчинг.

Менее впечатляющие, но уже используемые в реальных атаках уязвимости, закрытые в этот вторник: CVE-2024-21412 и -21351 (CVSS 8.1 и 7.6). Обе классифицируются как обход функций безопасности, подавляя предупреждения Windows Smartscreen. Про первую известно, что она эксплуатировалась группой DarkCasino/WaterHydra для атак на финансовые организации.

В целом, если не считать исправлений в MS Edge, выпущенных неделей ранее, Microsoft закрыла 73 дыры, включая 30 RCE, 16 EoP, 9 DoS и 10 Spoofing. Рейтинг critical получили 5 уязвимостей, important — 65.

В этом месяце не стоит обделять вниманием и патчи Adobe, которая закрыла 29 уязвимостей в Acrobat и Reader, включая 5 критических RCE. Правда, ни один из багов не отмечен как реально эксплуатируемый на сегодня.

#новости @П2Т

🔴 Закрытая вчера CVE-2024-21410 в Exchange видимо эксплуатируется вживую, а для CVE-2024-21413 (RCE в Outlook) вышел PoC. Мы пошутили, что если не сегодня, так уж завтра надо патчить, но теперь это святая правда. Патчить надо сегодня.

Для полной защиты от этой и подобных уязвимостей, Microsoft требует включить на серверах Exchange опцию Extended Protection. Начиная с 2024 H1 Cumulative Update (CU14), расширенная защита будет активирована по умолчанию.

#новости @П2Т

⚙️ Интересные материалы блога KasperskyOS

Для тех, кто интересуется безопасной разработкой, подходом Secure by Design и новинками на KasperskyOS, мы собрали подборку полезных статей с блога:

➡️Подробный разбор Kaspersky Thin Client: зачем тонкому клиенту кибериммунность, какова его архитектура и как он достигает поставленных целей безопасности.

⌨️ Как скачать KasperskyOS и поставить её на свой ноутбук (да, теперь это возможно! нет, не на замену Windows или Linux).

❔ Ответы на часто задаваемые вопросы о мобильной версии KasperskyOS, предназначенной для смартфонов, планшетов и других профессиональных мобильных устройств.

#дайджест #про_кибериммунитет @П2Т

❣️ 5 кибератак на... пиар и маркетинг

Киберпреступники могут украсть не только деньги или секретные документы атакованной компании, но и на первый взгляд неинтересные атакующим активы вроде доступа к корпоративной платформе рассылки или блогу. Ресурсы маркетингового отдела могут пригодиться коммерческому киберкриминалу для собственного «маркетинга», например запуска вредоносной рекламы. Последствиями для жертв будут и прямые денежные потери, и репутационный ущерб.

Разобрали пять распространённых кибератак на маркетинг в нашем блоге, а главное — составили простой список мер, которые нужны именно этому отделу, чтобы защитить компанию и сотрудников от весьма неприятных угроз.

✅ Изучить чеклист защиты.

#советы @П2Т

🎁 Все на борт! Защищаем контейнерные среды в 2024 году

Чтобы убедиться в разнообразии и актуальности угроз, специально нацеленных на контейнерные инфраструктуры, достаточно полистать наш канал или любую ленту ИБ-новостей на ваш выбор. Как сохранить спокойный сон девопсам, а компании — ускорить и одновременно обезопасить свои процессы разработки?

Об этом поговорим на онлайн-мероприятии «Лаборатории Касперского» 21 февраля!

Обсудим:
🟣 как правильно защищать контейнерные среды;
🟣какие регуляторные требования выдвигаются к безопасности контейнеров;
🟣что нового появилось в Kaspersky Container Security 1.1;
🟣наши планы на следующие версии.

Регистрируйтесь прямо сейчас, чтобы не пропустить онлайн-трансляцию и демо!

Ждём вас в среду, 21 февраля, в 11:00 (МСК). Приходите!

Забронировать себе место ⟶

#события @П2Т

🔎 Интересные исследования APT и новости ИБ за неделю

🚓 Ещё один отчёт о деятельности предположительно азиатских APT, на сей раз с акцентом на их интерес к энергетической инфраструктуре. Авторы находят у группы, которую называют VOLTZITE, пересечения с Volt Typhoon, включая работу с подручными средствами (LotL) и применение скомпрометированных бытовых роутеров в качестве прокси, для повышения скрытности. Для перемещений по атакованной инфраструктуре воруют дополнительные учётки.

🟢 В тот же хор влились и Fortinet, чьи уязвимости так любят атакующие. Авторы подробнейшего отчёта напоминают, что APT не обязательно искать зиродеи, потому что незакрытые известные уязвимости (N-day) для них оказвыаются вполне эффективными. Примеры — CVE-2022-42475 от декабря 2022 года и CVE-2023-27997 от июня 2023, которые многими были не закрыты и в ноябре. 😓

🆔 Новое в целевом фишинге — атакующие из CharmingCypress создали целую фальшивую платформу для проведения вебинаров, чтобы более убедительно заманивать жертв. Атака начинается с приглашения стать докладчиком на вебинаре, причём организаторы и тема вебинара соответствуют профессиональной деятельности жертвы. Дальше - фальшивая веб-платформа и скачивание полноценных бэкдоров. Все жертвы — с Ближнего Востока, целью кампании является шпионаж.

🔺Анализ цепочки заражения вредоносом Darkme, в котором применялся запатченный на прошлой неделе зиродей в Windows Smartscreen. Целью атаки были биржевые трейдеры.

💼 Подробный анализ целевой фишинговой компании, атакующие пытаются взять под контроль почтовые ящики руководства организаций, использующих Azure — вероятно для шпионажа или дальнейшего проведения нелегальных финансовых операций.

Учитывая вал уязвимостей и инцидентов с продукцией Ivanti, её пользователям может пригодиться подробное руководство по анализу потенциально скомпрометированных устройств.

🔓 Полезный репозиторий сертификатов, которые были украдены и используются в кибератаках.

🟦 Кстати, о сертификатах. В февральские обновления Microsoft входит важное и, что приятно, заблаговременное дополнение. Сертификаты Windows Production PCA 2011, Microsoft UEFI CA 2011 и KEK CA 2011, которые лежат в основании всей инфраструктуры Secure Boot и истекут в 2026 году, были обновлены. Обновлённые DBX и сертификаты начнут медленно раскатывать с апреля, чтобы не ничего ненароком не окирпичить. Но уже сейчас администраторы могут протестировать добавление новых сертификатов в контролируемых условиях, следуя инструкции из блога Microsoft.

✏️ Не APT, но тоже интересно

Анализ новых версий ВПО Glupteba — ещё один коммерческий троян обзавёлся UEFI-буткитом. 😞

👮‍♂️ Какие-то талантливые социнженеры придумали воровать фото документов и лиц жертв на iOS и Android, притворяясь приложением местных госуслуг, банков и пенсионных фондов. Жертвы, скачавшие фальшивое приложение, отправляют всё это добровольно. Эксперты предполагают, что в дальнейшем с помощью этих данных пытаются обойти дистанционные проверки в банках при краже денег. Воровства собственно биометрических данных (FaceID и проч.) не происходит. Атака Goldfactory замечена в Азии, но техника безусловно может быть адаптирована в других странах.

📸 Явно к 14 февраля был припасён подробный разбор мошеннических схем pig butchering, призванных выманить крупные суммы денег после длительной романтической переписки. В целом азбучный, но есть интересные детали про тактики мошенников. Вторая часть материала менее очевидная и посвящена финансовым аспектам схемы: очень часто выманивают криптовалюты, а не фиатные деньги.

#дайджест @П2Т

👮‍♂️ Полиция захватила серверы Lockbit

У вымогателей тоже плохо с управлением уявзимостями 😂. Сайт утечек и другие части инфраструктуры Lockbit показывают сообщение о том, что они конфискованы в рамках совместной полицейской операции 11 стран, красиво названной «Хронос». Сегодня днём полиция обещает расширенный пресс-релиз.

Ну а пока силовики троллят партнёрскую сеть Lockbit сообщением в их внутренней админке (на скриншоте).

Судя по имеющимся данным, атаковать инфраструктуру удалось через незакрытую уязвимость в PHP. Правда, сами рансомварщики говорят, что у них есть бэкапы, с которыми всё в порядке.

Разумеется, подобные операции полезны для очистки сети от всякой заразы, но интересно посмотреть, будут ли следом реальные аресты. Только привлечение преступников к настоящей ответственности может серьёзно охладить энтузиазм киберкриминала.

Иначе через полгода на смену Lockbit придёт что-то ещё, как это уже было после закрытия ALPHV или Hive.

#новости @П2Т

🤖 Чатботы по фэншую on premises

Можно до хрипоты талдычить офисным коллегам, что использование чатботов приводит к утечкам корпоративной информации на серверы разработчиков. Они всё равно будут приспосабливать ботов Яндекса или Гугла в лучшем случае для написания рекламных текстов, а в худшем — для внутренней переписки или обработки отчётов. Чтобы применять автоматизацию безопасно, ИИ-модели нужно запускать локально.
К счастью, для этого есть нормальные модели в open source и приложения, которые работают даже на не самых свежих ноутбуках 😃. Пошаговый рецепт — в нашем посте на блоге.

#советы #AI @П2Т

➡️ Ищем и пресекаем атаки living off the land

Атаки с применением подручных инструментов (LOTL) известны давно, но число атакующих, которые ими умело пользуются, к сожалению, всё растёт. Прошлогодняя серия атак Volt Typhoon сильно повысила градус внимания к этой проблеме, благодаря чему Microsoft, например, недавно заставили бесплатно предоставлять расширенные логи своим заказчикам. Техники подобных группировок мы подробно описали в документе, посвящённом TTP азиатских APT.

К чести CISA, NCSC и прочих причастных к защите критических ИТ-инфраструктур агентств, они стараются не только ради своих госорганов, но и делятся наработками с широкой общественностью. По защите от LOTL было написано монументальное руководство, учитывающее реалии изученных инцидентов и проведённых аудитов/пентестов. Рекомендации приоритизированы по эффективности, хотя конечно некоторые из них весьма трудоёмки в воплощении.

Пара интересных моментов:

🟡логи, логи, логи. Стандартный уровень протоколирования из коробки почти во всех популряных ИТ-продуктах недостаточен, нужно включать расширенное логирование. Хранить логи нужно централизованно в месте, исключающем модификацию и удаление. И конечно, разбираться в этих логах без SIEM и доступа к TI примерно совсем вообще невозможно;

🟡чтобы не утонуть в оповещениях и сузить возможности атакующих, незаменим верно настроенный EDR. Он собирает телеметрию, которая более эффективна в применении защитниками, повышает гибкость в детектировании техник атакующих и снижает количество ложных срабатываний;

🟡очень важно настраивать автоматизацию и хорошо изучить нормальную активность в сети;

🟡в сотрудничестве с ИТ нужно деятельно подавлять в сети всё лишнее: ограничивать разнообразие видов аутентификации, удалять или блокировать ненужные LOLBAS. Для высокопривилегированных операций лучше заводить отдельные рабочие станции;

🟡мониторинг и харденинг нужны во всех элементах инфраструктуры. Часто забывают настроить Маки, часто не забирают нужные логи или события из облачных сервисов;

🟡тесная дружба IT и ИБ — залог эффективного расследования инцидентов и движения к оптимальной конфигурации всей инфраструктуры.

Документ, конечно, на английском, поэтому мы ещё вернёмся к его подробному рассмотрению.

#советы @П2Т

⏩ Интересные исследования APT и новости ИБ за неделю

🚓 Прошедшая на прошлой неделе облава на LockBit дала интересные плоды — анализ ВПО следующей версии lockbit-ng, которое авторы ещё не выпустили «на рынок». Целью разработчиков явно была предельная универсальность и возможность запускаться на максимальном числе платформ. Весьма вероятно, что эти наработки ещё всплывут, если не у lockbit, то у кого-то из их конкурентов, как мы описывали в crimeware-прогнозе.

📱 Статистика Android-угроз за прошлый год от «Лаборатории Касперского». Преступники значительно активизировались, но разнообразие используемых инсталляционных пакетов немного уменьшилось. Наибольшую угрозу представляли приложения с агрессивной рекламой, но многие пользователи пострадали также от мошеннических инвестиционных приложений и скама про похудение.

🔐 Обзор угроз и итоги 2023 года из параллельной вселенной от IBM. Удивительным образом наблюдают падение атак ransomware на 12% и падение числа случаев, когда жертва решила заплатить.

👀 Анализ новых активностей группировки Octo Tempest/Scattered Spider, проводящей финансово мотивированные атаки на очень крупные организации. Тревожный сигнал — начав с США, теперь они выходят в новые регионы.

💻 Ботнет Lucifer обновился и теперь в него рекрутируют серверы на базе Apache Druid, Flink и Hadoop, эксплуатируя как уязвимости, так и ошибки в конфигурации. Учитывая, что серверы часто мощные, на них дополнительно запускают криптомайнинг.

⚙️ Многословный разбор новых сервисов по аренде «жилых» IP, позволяющих атакующим обходить проверки антифрода и геоблокировки корпоративных сетей. Практическую часть поста с IOC можно искать по слову Hydra.

⏩ Новая неделя — новое ВПО в репозиториях open source. Ещё 19 пакетов npm к вашим услугам 😞

➡️ А вредоносный пакет в PyPi демонстрирует усложнение техники атакующих — явно зловредного кода в пакете нет, но он вызывает легитимный бинарник, который затем подгружает вредоносный dll.

🤖 Анализ новых ransomware-атак LvtLocker на NAS (оригинал, гуглоперевод на русский). Китайские исследователи не называют бренд, но упомянутые в отчете CVE относятся к изделиям TerraMaster.

#новости #дайджест @П2Т

🔩 Используем OVAL для управления уязвимостями в АСУ ТП

Стандарт описания уязвимостей OVAL крайне удобен для автоматического поиска уязвимого ПО и небезопасных настроек в вашей инфраструктуре. Его можно применять и в АСУ ТП, учитывая что сканеры работают в мягком режиме и не нарушают работу промышленного оборудования. В нашем видео мы демонстрируем это на примере бесплатного сканера Ovaldi, дырявого устаревшего ПО Simatic и фида от Kaspersky ICS CERT.
Также описываем, как реализовать регулярное обнаружение и оценку уязвимостей, варианты мер по устранению этих дефектов, способы удобной автоматизации при помощи Kaspersky Security Center.

К сожалению, несмотря на открытую природу OVAL, в свободном доступе фидов по промышленному оборудованию нет, да и коммерческие фиды нужно ещё поискать. В этом смысле данные Kaspersky ICS CERT почти эксклюзивны 😎

#советы @П2Т

🤨 Мы всегда недоумевали, почему производителям принтеров так нравится подключать свои устройства к центральному серверу управления, а пользователи это терпят. Возможности утечки данных и кибератак через этот канал открываются нешуточные, а сказать, что производители активно заботятся о безопасности, мы не рискнём.

3D-принтеры в этом смысле ничуть не лучше. Вот пользователи принтеров Anycubic со вторника обсуждают, что анонимный исследователь через уязвимые API положил на 3 миллиона принтеров 🖨🖨🖨 файл-модель с предупреждением, а компания реагирует на это... почти никак. Точнее говоря, представители пока «собирают информацию» у жалующихся пользователей, а также фирменное приложение больше не работает у владельцев принтеров.

В другом посте исследователи говорят, что пытаются заставить вендора закрыть две критические уязвимости вот уже два месяца, но производитель не реагирует.

При всём этом Anycubic — один из популярнейших на рынке 3D-принтеров. Возможно, теперь это изменится 😐

#новости @П2Т

Ну вот и дожили до весны 🌱

Надеемся, вы будете находить больше времени на отдых! Москвичи, например, смогут сходить в Мариинку, не покупая билеты на поезд или самолёт — впервые за 25 лет питерцы выступят на сцене Большого театра.

Ну а мы позаботимся о том, чтобы в Большом было кибербезопасно! Мировому культурному наследию почти 250 лет, но его инфраструктура постоянно цифровизируется и обрастает новыми технологиями.

💃 Как мы защищаем Большой театр?
🟠фундаментальная превентивная защита от массовых угроз;
🟠защита физических и виртуальных рабочих станций и серверов;
🟠безопасность корпоративной переписки;
🟠непрерывная управляемая защита от сложных киберугроз на базе Kaspersky Symphony MDR.

🔗 Узнать больше о нашей защите для Большого театра можно на специальной странице.

@П2Т

🗣 Не пропустите! Самые интересные материалы февраля

🔖 Управление уязвимостями в организации: взрослый подход

👀 Закладки недокументированные функции теперь надо искать даже в поездах

🔖 Почему в сфере ИБ трудно давать актуальное высшее образование и что с этим делать

🎬 Упрощаем поиск и устранение уязвимостей в АСУ ТП с помощью OVAL.

🔖 Запускаем LLM без утечек данных в облако — локально!

🔖 Какие виды ущерба наносит атака ransomware. Спойлер: ответов больше, чем кажется на первый взгляд.

🔖 Вам пришёл нежданный код OTP для входа на сайт. Что делать?

Приятного чтения и просмотра!

#дайджест @П2Т