Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

CyberNews дайджест №1 Вересень 2023

Check Point визнана лідером в галузі міжмережевих екранів нового покоління NGFW

07.09.2023
1) Вразливості Notepad++На даний момент виявлено кілька уразливостей у програмі Notepad++, які можуть бути використані зловмисниками для виконання зловмисного коду. Серйозність цих уразливостей розподіляється від 5,5 (Середня) до 7,8 (Висока).Уразливості ґрунтуються на переповненні буфера кучі та переповненні читання буфера кучі в деяких функціях і бібліотеках, що використовуються в програмі Notepad++, ідентифіковані дослідником з безпеки Gitlab Ярославом Лобачевським (@JarLob).Дані уразливості ще не виправлені. Однак відповідно до їх політики скоординованого розкриття, GitLab опублікував ці уразливості разом з доказами їх наявності.
Джерело: https://cybersecuritynews.com/multiple-notepad-flaw/
2) Нові правила NIS2 готуються до введенняДиректива NIS 2 була опублікована в Офіційному журналі Європейського Союзу як Директива (ЄС) 2022/2555 в грудні 2022р. До 17 жовтня 2024 року повинні прийнятись акти про впровадження, які встановлюють технічні і методологічні вимоги щодо заходів стосовно постачальників DNS-послуг, реєстрів доменних імен верхнього рівня, постачальників хмарних обчислень, постачальників дата-центрів, постачальників мережі доставки контенту, постачальників керованих служб, постачальників керованих служб з кібербезпеки, постачальників інтернет-торгових площадок, постачальників пошукових систем в Інтернеті та платформ соціальних мереж, а також довірчих постачальників.Правила повинні базуватися на "всеобхідному підході", який спрямований на захист мереж і інформаційних систем та фізичного середовища цих систем від подій, і повинні включати щонайменше такі елементи:● політику з аналізу ризиків та безпеки інформаційних систем;● реагування на інциденти;● забезпечення бізнес-континуітету, таке як управління резервним копіюванням та відновленням після кризи і кризового управління;● безпеку ланцюга постачання, включаючи аспекти безпеки, що стосуються відносин між кожною сутністю та її прямими постачальниками або постачальниками послуг;● безпеку в придбанні, розробці та обслуговуванні мереж і інформаційних систем, включаючи обробку та розкриття вразливостей;● політики та процедури для оцінки ефективності заходів управління ризиками кібербезпеки;● основні практики кібергігієни та навчання з кібербезпеки;● політики і процедури, щодо використання криптографії та, де це застосовно, шифрування;● безпеку людських ресурсів, політику контролю доступу та управління активами;● використання багатофакторної аутентифікації або рішень для постійної аутентифікації, безпечних голосових, відео та текстових комунікацій і безпечних систем надзвичайного зв'язку всередині сутності, де це застосовно.Важлива примітка для організацій, що не засновані в ЄС, але пропонують свої послуги відповідно до статті 26: дана організація повинна призначити свого представника в ЄС. Вважається, що така організація підпадає під юрисдикцію держави-члена, де було засновано даного представника. За відсутності представника будь-яка держава-член, у якій організація надає послуги, може вжити судових позовів проти організації за порушення цієї Директиви.
Джерело: https://www.nis-2-directive.com/
3) Українські поліцейські закрили підозрювану схему цифрового шахрайстваКіберполіція України провела чергове затримання, яке припинило діяльність угруповання з 800 осіб, що підозрюються у викраденні даних та переконанні жертв "інвестувати" у фальшиві криптовалютні схеми.В результаті спецоперації поліція припинила діяльність "шахрайських кол-центрів" у Львові, Одесі, Дніпрі та Кривому Розі після проведення більше десятка обшуків. Під час операції було вилучено близько 900 одиниць цифрового обладнання, а також мобільні телефони, сім-карти, жорсткі диски та документи.Поліція повідомляє, що за фактом інциденту порушено чотири кримінальні справи, ведеться робота зі встановлення інших організаторів.
Джерело: https://cybernews.com/news/ukraine-police-bust-digital-fraud/
4) Британська розвідка попередила про небезпеку для Android-телефонів українських військовихНаціональний центр кібербезпеки Британії (NCSC) спільно з міжнародними партнерами опублікував звіт про кампанію шкідливого програмного забезпечення, націлену на мобільні пристрої Android, які використовуються українськими військовими.Як зазначається у зведенні, шкідливе ПЗ, що отримало назву Infamous Chisel, використовувалося російською групою кіберзлочинців, відомою як Sandworm. Відомо, що раніше NCSC приписував розробку Infamous Chisel Головному центру спеціальних технологій Головного розвідувального управління (ГРУ) Генерального штабу Росії.За даними британської розвідки, Infamous Chisel забезпечує постійний доступ до скомпрометованих Android-пристроїв, а також їх обробку та фільтрацію. Сюди входять у тому числі додатки для націлювання, які використовуються українськими військовими.«Infamous Chisel, швидше за все, використовувався з метою крадіжки конфіденційної військової інформації. Ця діяльність демонструє використання Росією кіберможливостей для підтримки вторгнення в Україну», - зазначають у Міноборони Британії.
Джерело: https://twitter.com/DefenceHQ/status/1698575355919859937
5) Meta видалила тисячі акаунтів, причетних до дезінформаційних операцій з Китаю та РосіїКомпанія Meta повідомила, що зірвала дві найбільші відомі операції прихованого впливу з Китаю та Росії, заблокувавши тисячі акаунтів і сторінок на своїй платформі.Під удар потрапили понад 50 додатків, зокрема Facebook, Instagram, X (колишній Twitter), YouTube, TikTok, про що заявив Гай Розен, директор з інформаційної безпеки Meta, розповідаючи про китайську дезінформаційну групу. Мережа, яка включала 7 704 акаунти у Facebook, 954 сторінки, 15 груп і 15 акаунтів в Instagram, керувалася "географічно розподіленими операторами" по всьому Китаю, які розміщували контент про Китай, критикували США, західну зовнішню політику і китайський уряд. Головним елементом операції був обмін спам-посиланнями, походження яких сягає кластера під назвою Spamouflage, в рамках якого Meta виявила зв'язки з особами, пов'язаними з китайськими правоохоронними органами у зв'язку з цією операцією.Гігант соціальних медіа заявив, що також заблокував тисячі доменів шкідливих веб-сайтів, а також спроби запуску підроблених облікових записів і сторінок на своїх платформах, пов’язаних з російською операцією, відомою як Doppelganger, яку приписують двом компаніям Structura National Technologies and Social Design Agency, які використовували методи typosquatting в доменних іменах, щоб видати їх за легітимні сайти новин. «Ця операція була зосереджена на імітації веб-сайтів провідних ЗМІ та урядових установ для розміщення фейкових статей, спрямованих на послаблення підтримки України», — сказав Розен. «Тепер він розширився на Францію, Німеччину та Україну, а також охопив США та Ізраїль».«Погані актори не перестануть намагатися — наша мета — зробити їхню роботу складнішою, дорожчою та менш ефективною», — заявив у понеділок керівник Global Threat Intelligence Meta Бен Німмо.
Джерело: https://thehackernews.com/2023/09/meta-takes-down-thousands-of-accounts.html
6) Приховування HTML з подальшим використанням програм-вимагачів NokoyawaНа початку листопада 2022 року зафіксовано інциденти з використанням програм-вимагачів Nokoyawa, у якій початковий доступ здійснювався через макрос Excel і зловмисне програмне забезпечення IcedID. До користувачів передавався запоролений ZIP-файл із файлом ISO в середині, який розгортав вірус IcedID. Це призводило до використання Cobalt Strike і, в кінці кінців, вимагання викупу. 28 серпня 2023 року опубліковано аналіз нової версії даного зловмисного програмного забезпечення. Відомо кодові назви суб'єктів загроз: дистриб'ютор TA551 та команда пентестерів Storm-0390 під керуванням Periwinkle Tempest (раніше відстежувалися як Storm-0193 і DEV-0193). Наразі з'ясовано, що реферальна програма вимагання викупу була помічена при спробі входу в середовище через RDP з сервера під назвою WIN-5J00ETD85P5 через 12 годин після початкового компрометування. Даний сервер є активним на 78.128.113[.]154, розташованний на AS209160 Miti2000 на 4vendeta.com в Болгарії.
Джерело: https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware/
7) Зросла активність шкідливої програми DarkGateБула помічена нова спам-кампанія, яка розгортає готове зловмисне програмне забезпечення під назвою DarkGate."Поточний стрибок активності шкідливої програми DarkGate є відомим, враховуючи той факт, що розробник цієї шкідливої програми нещодавно почав здавати її в оренду обмеженій кількості партнерів", - зазначається в звіті компанії Telekom Security, опублікованому минулого тижня.Атака розпочинається з фішингової URL-адреси, яка, якщо на неї натиснути, проходить через систему управління трафіком (TDS), щоб перенести жертву до MSI-пакета за певних умов. Це включає наявність заголовка оновлення у відповіді HTTP. Відкриття файлу MSI спричиняє багатоетапний процес, який включає в себе виконання коду AutoIt для запуску shellcode, який діє як канал для розшифрування та запуску DarkGate через криптор (або завантажувач). Зокрема, завантажувач призначений для розбору коду AutoIt та вилучення зашифрованого зразка шкідливої програми.Було помічено альтернативну варіацію атак, в якій використовується Visual Basic Script замість файлу MSI, який, в свою чергу, використовує cURL для отримання виконуваного файлу AutoIt та файлу сценарію. Зараз точний спосіб доставки VB Script невідомий.Наразі відомо, що дане зловмисне ПЗ продається під назвою RastaFarEye. Передплата починається від 1 000 доларів на день до 15 000 доларів на місяць і 100 000 доларів на рік. Її автор рекламує як "остаточний інструмент для пентестерів/redteamers" та заявляє, що вона має “функції, які ви не знайдете ніде”, бо DarkGate має можливості ухилення від виявлення антивірусними програмами, налаштування змін в реєстрі Windows, підвищення привілеїв та крадіжку даних з веб-переглядачів та інших програм, таких як Discord та FileZilla. Відповідно до нещодавнього звіту, опублікованого HP Wolf Security, фішинг електронних пошт залишається основним вектором атаки. На фішингові атаки припадало 79% загроз, виявлених у другому кварталі 2023 року.
Джерело: https://thehackernews.com/2023/08/darkgate-malware-activity-spikes-as.html
8) CERT Thwarts APT28 - кібератака на критично важливу енергетичну інфраструктуруКоманда реагування на комп'ютерні надзвичайні ситуації України (CERT-UA) у вівторок заявила, що зірвала кібератаку проти неназваного об'єкта критичної енергетичної інфраструктури в країні.Вторгнення, згідно з агентством, почалося з фішингової електронної пошти, що містить посилання на шкідливий ZIP-архів, який активує ланцюг зараження.«Відвідавши посилання, ви завантажите ZIP-архів, що містить три зображення JPG (приманки) і файл формату BAT 'weblinks.cmd' на комп'ютер жертви», - сказав CERT-UA, приписавши його російському хакеру, відомому як APT28 (він же BlueDelta, Fancy Bear, Forest Blizzard, або FROZENARD LAKE).«При запуску CMD-файлу буде відкрито кілька веб-сторінок decoy, будуть створені файли .bat і .vbs, а також запущений файл VBS, який в свою чергу виконає файл BAT».Наступний етап атаки передбачає запуск команди «whoami» на скомпрометованому хості та вилучення інформації, а також завантаження прихованої служби TOR для маршруту шкідливого трафіку.Стійкість досягається за допомогою запланованого завдання, а віддалене виконання команди реалізується за допомогою cURL через законний сервіс під назвою webhook.site, який нещодавно був розкритий як використаний агентом загрози, відомим як Dark Pink.CERT-UA сказав, що атака в кінцевому підсумку була невдалою через те, що доступ до Mocky і Windows Script Host (wscript.exe) був обмежений. Варто відзначити, що APT28 був пов'язаний з використанням API Mocky в минулому.Розкриття відбувається на тлі триваючих фішингових атак, спрямованих на Україну, деякі з яких були помічені, використовуючи захист від шкідливого програмного забезпечення під назвою ScruptCrypt для розповсюдження AsyncRAT.Інший кібер-напад, встановлений GhostWriter (він же UAC-0057 або UNC1151), як кажуть, озброїв нещодавно розкритий недолік нульового дня в WinRAR (CVE-2023-38831, оцінка CVSS: 7,8) для розгортання PicassoLoader і Cobalt Strike, повідомляє агентство.
Джерело: https://thehackernews.com/2023/09/ukraines-cert-thwarts-apt28s.html

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90 

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124