🥥 BI.ZONE WAF защищает от RCE в Confluence

CVE-2023-22527 была найдена в прошлом году, но информацию о ней опубликовали лишь 16 января. На днях в открытом доступе появился и пример эксплуатации (PoC), который упрощает проведение атак. Уязвимость обнаружили в продуктах Confluence Server и Confluence Data Center.

Чем опасна уязвимость

Эксплуатация CVE-2023-22527 дает возможность злоумышленникам без аутентификации выполнить программный код на удаленном сервере. Опасность уязвимости оценили в 10 из 10 баллов по шкале CVSS, что соответствует критическому уровню.

Как защититься

Уязвимости подвержены версии Confluence Server и Confluence Data Center 8, выпущенные до прошлого декабря, а в более поздних релизах ошибка исправлена.

Если нет возможности обновиться до безопасных версий, BI.ZONE WAF поможет защитить Confluence от CVE-2023-22527. Наша команда экспертов разработала правила для закрытия уязвимости: они не нарушают работу приложения и контролируют все передаваемые запросы и их параметры.

🌚 Sticky Werewolf снова «в поиске работы»

Наша команда BI.ZONE Threat Intelligence выявила новую кампанию группы Sticky Werewolf. Атаки нацелены на промышленный сектор.
Атакующие рассылали фишинговые письма, к которым прикладывали архив с «резюме», содержащий вредоносный файл.

О похожих атаках Sticky Werewolf мы писали в ноябре прошлого года. Однако если тогда фишинговые письма содержали популярный стилер RedLine, то в этот раз группировка обзавелась собственным ВПО Glory Stealer.

Атака проходила следующим образом.
В письме с архивом Резюме.7z, находился исполняемый файл Резюме.doc.exe. Это самораспаковывающийся архив, при запуске которого происходила реализация действий:

1. Распаковка внутренних файлов autoit.exe и выполняемого скрипта AutoIt, собирающихся с помощью командной строки: cmd.exe /c copy /b [части исходного файла] [случайное число]\[название файла]. В данном случае название выполняемого файла AutoIt — Meets.pif, а скрипта — n.

2. Запуск скрипта AutoIt, который расшифровывал и внедрял полезную нагрузку нового .NET-стилера Glory Stealer в создаваемый процесс \Microsoft.NET\Framework\v4.0.30319\jsc.exe.

При запуске стилер открывает поддельный документ, находящийся в ресурсах, и получает информацию о компьютере. Также он собирает пароли к подключенным точкам Wi-Fi, данные для доступа к кошелькам и пароли, сохраненные в браузерах Chrome, Opera, Yandex, Edge.

Подробнее о группировке Sticky Werewolf читайте в нашем отчете.

🦴 Не верьте своим ушам: мошенники обновляют схемы подделки голоса

Звонки от близких и аудиосообщения от коллег в мессенджерах с просьбой о помощи могут быть уловкой. Злоумышленники все чаще подделывают голоса, чтобы обманывать жертв.

Руководитель управления по противодействию мошенничеству BI.ZONE Алексей Лужнов рассказал «Известиям», как разоблачить такие манипуляции и сохранить свои деньги.

Вот три совета, которые помогут разобраться в ситуации:

🔵Если у вас возникают сомнения, что вам звонит знакомый человек, не стесняйтесь задавать уточняющие вопросы.
Они должны касаться таких вещей, которые может знать только ваш реальный собеседник.

🔵Перезвоните сами, выбрав номер из сохраненных контактов.
Самое главное — не перезванивать на последний номер из журнала вызовов.

🔵Запросите подтверждение другими способами.
Если звонит молодой человек или подросток, попросите связаться в другом мессенджере. Людям старшего возраста предложите встретиться лично. Если на другом конце провода действительно мошенники, они будут всячески отказываться.

🌚 Scaly Wolf убедительно маскирует фишинговые письма со стилером White Snake

Злоумышленники идут по классическому фишинговому сценарию: сперва рассылают письма от лица российских государственных служб, где призывают запустить вредоносный файл, а после устанавливают на компьютер свое ПО. В данном случае — стилером White Snake, о котором мы писали ранее.

Scaly Wolf заметно выделяется среди подобных групп юридической грамотностью. Команда BI.ZONE Threat Intelligence наблюдает за группировкой с лета 2023, и во всех кампаниях текст выглядит убедительно. Поэтому у многих пользователей не возникает подозрений, что полученное письмо представляет опасность.

Еще примечательно то, что разработчики стилера запретили применять его на территории России и СНГ, но Scaly Wolf сумела обойти ограничение. Для этого злоумышленники отключили функцию, которая немедленно прекращала работу программы при ее запуске на устройстве с IP-адресом из заблокированных регионов.

Судя по непрекращающейся активности группы, ее атаки на российские компании будут продолжаться еще долго и, скорее всего, по той же схеме — с использованием фишинговых рассылок для распространения стилера.

Мы рекомендуем внимательнее относиться к письмам от государственных служб. Чтобы свести риски к минимуму, воспользуйтесь сервисами для фильтрации нежелательной почты, например BI.ZONE CESP.

Подробнее о группировке

🐟 Старый новый White Snake: Scaly Wolf рассылает стилер под видом требования от крупного федерального ведомства

В начале февраля команда BI.ZONE Threat Intelligence зафиксировала новую кампанию Scaly Wolf. 

Атака снова реализовалась через фишинг — изменилось только учреждение, которым прикрывалась группировка. Всего было зафиксировано три вредоносные рассылки.

Ход атаки выглядел так:

1. Жертва получала фишинговое письмо якобы от крупного федерального ведомства. Причем для рассылки использовались адреса сервиса бесплатной почты mail.ru:
— hunsubourviraword@mail.ru,
— alorconglobrolta@mail.ru,
— juisporettaihundpi@mail.ru.

2. К письму были приложены PDF-документ и архив, защищенный паролем, который находился в имени файла.

Архив содержал документы и исполняемый файл, замаскированный под приложение к ним.

3. Исполняемый файл — это экземпляр семейства White Snake, которое позволяет атакующим получить аутентификационные данные, сохраненные в браузерах и других приложениях, и данные криптокошельков.

В обнаруженной атаке исполняемый файл выполнял следующие действия:

— проверку геолокации;
— закрепление в системе;
— получение данных о профилях Wi-Fi-сетей;
— создание SSH-соединения через сервис Serveo;
— использование Telegram для обновления статуса работы на зараженном хосте.

О группировке Scaly Wolf мы писали ранее. Ее основной инструмент — ВПО White Snake, маскировка которого постоянно меняется. Об этом стилере мы рассказали в отдельном исследовании.

🌝 Нашли пять уязвимостей в рамках red team. Чем они опасны и как защититься

Наша команда анализа защищенности веб-приложений под руководством старшего специалиста Дениса Погонина исследовала платформу автоматизации HR-процессов Websoft HCM (ранее WebTutor). Найденные уязвимости ФСТЭК России зарегистрировала в Банке данных угроз безопасности информации.

Вот эти уязвимости (оценка по шкале CVSS):

🔵BDU:2024-00878 — 9,9 балла — Websoft HCM до 2023.1.827

Позволяет аутентифицированным пользователям выполнять произвольные команды в системе. Относится к критическим уязвимостям нулевого дня.

🔵BDU:2024-00755 — 9,9 балла — Websoft HCM до 2022.1.3.451

Дает возможность аутентифицированному пользователю внедрить произвольный код, который выполнится веб-приложением.

🔵BDU:2023-08666 — 7,5 балла — Websoft HCM до 2020.4.3 (266) REL

Позволяет неаутентифицированному злоумышленнику создать пользователя в системе.

🔵BDU:2024-00756 — 7,5 балла — Websoft HCM до 2022.1.3.451

Помогает атакующему читать произвольные файлы системы.

🔵BDU:2024-00757 — 5,4 балла — Websoft HCM до 2022.1.3.451

Применяется для запуска вредоносного кода в браузере жертвы, которая перешла по специальной ссылке.

Как защититься

Если у вас нет возможности использовать последнюю версию платформы, где исправлены все пять уязвимостей, то помогут специализированные решения. 

Команда BI.ZONE CPT доработала настройки сканеров, а эксперты BI.ZONE WAF создали правила для защиты от эксплуатации уязвимостей. Эти же правила помогают расширить возможности мониторинга в рамках BI.ZONE TDR.

Читать подробности

🌝 Threat Zone: последние новости киберразведки

Мы начинаем серию эфиров, где будем рассказывать, как изменился ландшафт киберугроз за последний месяц.

Ведущий — руководитель BI.ZONE Threat Intelligence Олег Скулкин. В первом выпуске, 29 февраля, он расскажет:

🟦о новых атаках группировок Scaly Wolf и Red Wolf;
🟦информации из теневых ресурсов;
🟦уязвимостях, которые активно эксплуатировались в феврале;
🟦других находках нашей киберразведки.

В конце вы сможете задать вопросы ведущему, а после мероприятия мы пришлем вам видеозапись.

Кому будет полезно:

Сотрудникам и руководителям SOC, а также тем, кто отвечает за кибербезопасность компании и работает с инцидентами.

Когда: 29 февраля, четверг, 18:00–19:30 (мск).

Зарегистрироваться

⚙️ Реверсер с паяльником, или Кто ломает банкоматы и умные колонки

Недавно наш старший специалист по обратной разработке Владимир Кононович получил премию портала Cyber Media «Киберпросвет» за свой рассказ о взломе саундбара Yamaha. Почитайте, если пропустили — история действительно увлекательная.

Редакция пообщалась с победителем и опубликовала интервью, где он рассказал про свои рабочие задачи, сравнил подходы к взлому вредоносного ПО и физических устройств, а также поделился советами для будущих реверс-инженеров.

Читать

🎍 Все про машинное обучение в кибербезопасности: встретимся на BI.ZONE Cybersecurity Meetup

14 марта проведем наш второй офлайн-митап про кибербез. Обсудим, как машинное обучение помогает компаниям решать задачи кибербезопасности.

Приглашенные эксперты поделятся опытом и расскажут о сложностях, с которыми столкнулись в процессе внедрения.

Приходите послушать доклады, обсудить важные темы с единомышленниками, задать вопросы спикерам и пообщаться в неформальной обстановке.

Когда: 14 марта, четверг, 18:00.

Где: в московском офисе BI.ZONE.

Программой поделимся чуть позже в отдельном посте.

Чтобы попасть на митап, зарегистрируйтесь и дождитесь подтверждения.

🍈 У каждого 19-го сотрудника утекают данные корпоративной почты

В 2023 году эксперты BI.ZONE Brand Protection помогли российским компаниям выявить утечки 75 000 email-адресов и минимизировать последствия этих инцидентов.

Почему утекали данные

Некоторые сотрудники использовали корпоративные адреса, чтобы зарегистрироваться на популярных площадках: в соцсетях, на сайтах служб доставок, онлайн-магазинов и т. д.

В случае взлома таких ресурсов в открытом доступе оказывались данные пользователей. А если логин и пароль совпадали с учетными данными корпоративных аккаунтов, злоумышленники могли воспользоваться этим, чтобы проникнуть в инфраструктуру компании.

Как защититься

🟦Для разных ресурсов придумывайте разные пароли, периодически меняйте их, а для хранения используйте менеджеры паролей.
🟦Регулярно проверяйте наличие email-адресов компании в базах утечек. В этом поможет платформа BI.ZONE Brand Protection, которая позволяет выявлять утечки корпоративных данных, а также случаи неправомерного использования бренда компании.

Чем еще опасны утечки, читайте на сайте.

🌝 Последние новости киберразведки — через неделю на эфире Threat Zone

Уже в следующий четверг Олег Скулкин разберет новые атаки группировок, самые эксплуатируемые в феврале уязвимости и многое другое.

Зарегистрироваться

🍋 SD-WAN для бизнеса: трансформация распределенных сетей

Компании с распределенной сетью филиалов сталкиваются с необходимостью создания, поддержки и масштабирования единой сети связи. В этом им поможет технология SD-WAN.

Приглашаем на наш совместный с Trust Technologies бесплатный вебинар, где мы:

🟦Расскажем о технологии SD-WAN и ее преимуществах для современного бизнеса.
🟦Рассмотрим, как трансформируются распределенные сети с помощью SD-WAN.
🟦Поговорим об особенностях BI.ZONE Secure SD-WAN.
🟦Обсудим безопасность и защиту данных в сетях с помощью нашего решения, а также разберем кейс его успешного использования.

Спикер: Иван Сафонов, специалист направления сетевой и инфраструктурной безопасности, BI.ZONE.

Кому будет полезно: сетевым инженерам, IT-директорам, сотрудникам отделов кибербезопасности, руководителям цифровой трансформации.

Когда: 28 февраля, среда, 11:00–12:30 (мск).

Зарегистрироваться

🍌 BI.ZONE Compliance Platform получила модуль для работы с КИИ

Новые возможности будут полезны всем российским компаниям, которые должны выполнять требования законодательства в части КИИ.

Обновленная BI.ZONE Compliance Platform поможет полностью автоматизировать выполнение требований 187-ФЗ и других нормативных актов, а также поддерживать процессы в актуальном состоянии при изменении законодательства.

Использование платформы значительно снизит риск штрафов со стороны регуляторов и позволит компаниям избежать дополнительных расходов на привлечение специализированных сотрудников.

Вот основные задачи, которые можно автоматизировать при помощи нового модуля:

🟦учет процессов, включая критические;
🟦категорирование и перекатегорирование объектов КИИ;
🟦разработка модели угроз, технического задания и технического проекта для создания системы защиты объектов КИИ;
🟦разработка внутренних нормативных документов;
🟦оценка защиты КИИ;
🟦ведение перечня инцидентов.

Подробнее о возможностях нового модуля — на сайте.

🥝 Эшелонированная защита веб-приложений на практике

Все говорят, что такая защита нужна, но мало кто рассказывает о подводных камнях и тонкостях:

🟦Стоит ли использовать несколько похожих сервисов от разных вендоров?
🟦Защитит ли WAF от DDoS, как это иногда обещают провайдеры?
🟦Какой критерий играет ключевую роль при подборе поставщика решений?
🟦А всем ли на самом деле нужна эшелонированная защита?

Чтобы разобраться в этой теме, приходите на бесплатный вебинар, который мы проводим совместно с партнерами из Qrator Labs.

Расскажем обо всем на примерах из практики специалистов BI.ZONE WAF и BI.ZONE CDP, ответим на вопросы и наградим самых активных участников дискуссии.

Спикеры:

🟦Сергей Буслаев, руководитель направления обеспечения клиентского сопровождения BI.ZONE WAF;
🟦Эдгар Микаелян, руководитель отдела технического пресейла в Qrator Labs.

Кому будет полезно:

🟦руководителям по безопасности и IT;
🟦инженерам по кибербезопасности, сетевым инженерам, архитекторам внутренней инфраструктуры;
🟦владельцам онлайн-сервисов, руководителям интернет-направлений бизнеса.

Когда: 6 марта 2024 г., среда, 11:00–12:30 (мск).

Зарегистрироваться

🌚 Новые атаки от старых знакомых: Mysterious Werewolf атакует ВПК с помощью оригинального бэкдора RingSpy

Команда BI.ZONE Threat Intelligence обнаружила еще одну кампанию кластера Mysterious Werewolf, который активен как минимум с 2023 года. 

Злоумышленники продолжают использовать фишинговые письма и уязвимость CVE-2023-38831 в WinRAR для выполнения вредоносного кода в целевых системах, но теперь они обзавелись новым инструментом — бэкдором RingSpy.

Это вредоносное ПО выступает вместо агента Athena фреймворка Mythic, который Mysterious Werewolf применяла в предыдущих атаках. RingSpy позволяет злоумышленнику удаленно выполнять команды, получать их результат и скачивать файлы с сетевых ресурсов.

Кибергруппировки все чаще обращаются к легитимным сервисам, чтобы взаимодействовать со скомпрометированными системами. В этот раз управляющим сервером бэкдора стал бот в Telegram.

Противостоять атакам поможет надежная защита и круглосуточный мониторинг конечных точек. Такие функции есть у сервиса BI.ZONE TDR.

А узнавать о новых методах злоумышленников на ранних этапах и повышать эффективность средств защиты позволит платформа BI.ZONE Threat Intelligence.

Читать отчет

🍒 Приглашаем на вебинар «Управление поверхностью атаки»

В постоянно меняющейся цифровой среде непросто контролировать безопасность внешнего периметра компании и вести непрерывную инвентаризацию цифровых активов. Границы инфраструктуры размываются, в результате компания может неверно приоритизировать риски и оставлять угрозы без внимания.

Исправить ситуацию позволяет управление поверхностью атаки (attack surface management, ASM). Этот набор подходов объединяет методы непрерывного контроля внешней инфраструктуры, которые помогают отслеживать угрозы и предупреждать потенциальные атаки.

Чтобы узнать больше о том, как работают разные методы и о каких деталях часто забывают компании, приходите на наш бесплатный вебинар.

Вы узнаете:

🟦как работают классические подходы к оценке внешнего периметра: пентесты и сканирование на уязвимости;
🟦как управлять поверхностью атаки: нюансы, на которые стоит обращать внимание компаниям;
🟦каковы возможности для автоматизации с BI.ZONE CPT.

Спикер: Павел Загуменнов, руководитель решений анализа защищенности.

Кому будет полезно:

🟦CISO,
🟦руководителям по кибербезопасности,
🟦старшим специалистам отделов кибербезопасности,
🟦командам по реагированию на инциденты,
🟦специалистам по управлению уязвимостями,
🟦архитекторам внешней инфраструктуры.

Когда: 12 марта, вторник, 11:00–12:00 (мск).

Зарегистрироваться

🌝 Завтра ждем вас на первом выпуске Threat Zone

Олег Скулкин расскажет о последних атаках группировок и предложениях на теневых ресурсах, а еще об уязвимостях, востребованных у киберпреступников в феврале.

В конце мероприятия вы сможете задать вопросы, а позже мы пришлем вам видеозапись выпуска.

Еще есть время зарегистрироваться!

🎍Как machine learning помогает в кибербезопасности

Делимся программой нашего второго офлайн-митапа, который пройдет 14 марта в 18:00 в нашем московском офисе.
Приходите — будем обсуждать практики машинного обучения, строить безопасное комьюнити и просто хорошо проводить время!

В программе: 

🔵Применение больших языковых моделей в кибербезопасности
Дмитрий Лекомцев, ведущий специалист по машинному обучению и исследованию данных, BI.ZONE

🔵Как находить аномалии в трафике с использованием технологий машинного обучения
Алина Землевская, специалист группы анализа трафика, Positive Technologies

🔵Восстание машин: возможно ли заменить аналитика SOC искусственным интеллектом?
Глеб Иванов, аналитик SOC в группе исследований и разработки, «Лаборатория Касперского»

🔵Кейсы применения ML-моделей в Angara SOC
Максим Павлунин, руководитель центра мониторинга, Angara

Количество мест ограничено.
Зарегистрироваться

🌝 Через час начинаем первый эфир Threat Zone

Подключайтесь, чтобы узнать февральские новости киберразведки.