58% компаний сталкиваются с атаками на свою инфраструктуру два раза в год и более

Компания Гарда выпустила итоги опроса, в котором приводится статистика взаимодействия компаний с кибератаками

Самые распространенные атаки за прошедший год: фишинг, DDoS-атака, социальная инженерия

- 79% компаний столкнулись с фишингом🎏

- половина была подвержена DDoS-атаке🤖

- у 67% опрошенных стоят файерволы, на втором месте по популярности SIEM системы, третье место занимает WAF🛡

- 6% готовы полностью перейти на автоматическое реагирование, без участия специалистов ИБ⚙️

- 41% готовы или уже внедрили систему автоматического оповещения о возникновении инцидента💡

NetCase Day - это новый формат мероприятия.

Митап честных кейсов по сетевой безопасности от наших партнеров Positive Technologies. Уже завтра, 24 сентября в 16:00 по мск, пользователи будут делиться своим опытом работы с PT NAD и PT Sandbox.

Рассматривать будем с трех сторон: разработчики, интеграторы и заказчики.

Взгляд интегратора на PT NAD будет представлять наш эксперт по сетевой безопасности!

Регистрируйтесь и слушайте профессионалов! 😎

🔨 Исследователи кибербезопасности из голландской компании ThreatFabric обнаружили новую версию банковского трояна для Android, получившего название Octo2.

Эта версия представляет собой серьёзную угрозу для пользователей, так как обладает улучшенными возможностями для захвата устройств (DTO) и осуществления мошеннических транзакций. Octo2 является эволюцией трояна Octo, замеченного в начале 2022 года. Разработчики уделили особое внимание стабильности функций DTO, что повышает эффективность атак.

Octo2 распространяется через вредоносные приложения, маскирующиеся под популярные программы. Основные цели злоумышленников – пользователи в Италии, Польше, Молдове и Венгрии.

Подробнее: https://extrim-security.ru/news-ib/tpost/950dlndcp1-octo2-evolyutsiya-bankovskogo-troyana-dl

💀 Уязвимость CVE-2024-7593, которая затрагивает Ivanti Virtual Traffic Manager (vTM). Она получила высокую оценку опасности CVSS 9,8 и может позволить злоумышленнику обойти систему защиты и получить доступ к панели администратора без прохождения аутентификации. Это дает возможность создать фиктивные учетные записи с правами администратора и полностью контролировать устройство.

Незаконное проникновение в систему vTM может привести к хищению данных, перехвату трафика, несанкционированному доступу к чувствительной информации и даже к полной потере контроля над сетью. Злоумышленники могут использовать доступ к vTM для запуска вредоносных программ, дискредитации сети и проведения DDoS-атак.

Подробнее: https://extrim-security.ru/news-ib/tpost/dl5tbxoag1-kriticheskaya-uyazvimost-ivanti-vtm-i-pr

🦊 Некоммерческая организация по защите персональных данных noyb, базирующаяся в Вене, подала жалобу на разработчика браузера Firefox, компанию Mozilla. Причиной стал спор вокруг новой функции браузера под названием Privacy-Conservating Attribution (PPA).

По мнению noyb, данная функция нарушает право пользователей на неприкосновенность частной жизни, так как была включена по умолчанию без явного согласия пользователей. noyb также утверждает, что PPA позволяет Firefox тайно отслеживать поведение пользователей на веб-сайтах, перекладывая ответственность за отслеживание с веб-сайтов на браузер.

Mozilla, в свою очередь, заявляет, что PPA - это неинвазивный способ для сайтов понять, как работает их реклама, без сбора данных об отдельных людях. Компания позиционирует PPA как альтернативу межсайтовому отслеживанию, которое считается нарушением конфиденциальности.

Однако, существует спор о том, насколько PPA действительно защищает конфиденциальность пользователей. noyb считает, что технология создает новый уровень отслеживания, скрытый от пользователей. Mozilla же утверждает, что это шаг в направлении более конфиденциального интернета.

Подробнее: https://extrim-security.ru/news-ib/tpost/z878a8n9b1-noyb-obvinyaet-firefox-v-skritom-otslezh

🌚🚘 Специалисты по кибербезопасности выявили уязвимости в автомобилях Kia, позволяющие злоумышленникам удаленно управлять функциями транспортного средства через его номерной знак.

Атаки могут быть выполнены за 30 секунд на любом автомобиле, выпущенном после 2013 года, независимо от подписки Kia Connect. Уязвимости затрагивают конфиденциальную информацию владельца, включая имя, номер телефона, адрес электронной почты и физический адрес.

Злоумышленник может добавить себя в качестве второго пользователя автомобиля, используя инфраструктуру дилерского центра Kia для регистрации поддельных учетных записей. Жертва не получает уведомлений и её права доступа не изменяются, что позволяет злоумышленнику отслеживать владельца и отправлять команды, такие как разблокировка или гудок.

Подробнее: https://extrim-security.ru/news-ib/tpost/uppta6isl1-kia-stali-uyazvimi-dlya-atak-na-rasstoya

🕹 Исследователи из компании Wiz обнаружили критическую уязвимость в инструменте Nvidia Container Toolkit, используемом в облачных средах и для ИИ.

Уязвимость типа TOCTOU позволяет злоумышленникам выйти из контейнеров и получить контроль над хост-системой, что может привести к выполнению вредоносного кода и раскрытию информации. Проблема затрагивает версии до 1.16.1 Toolkit и до 24.6.1 GPU Operator, и уже затронула более 35% облачных сред с GPU Nvidia.

Уязвимость возникает из-за доступа ИИ-приложений к GPU в контейнерных средах, что оптимизирует производительность, но также может использоваться для выхода из контейнера и доступа к хосту, особенно в многопользовательских средах.

Подробнее: https://extrim-security.ru/news-ib/tpost/b8d71az6x1-seryoznaya-uyazvimost-v-instrumente-nvid

💸 В России распространяется новый вид мошенничества с использованием троянских программ, имитирующих уведомления от банков. Вредоносное ПО попадает на телефон жертвы через фишинговые письма, например, от "Госуслуг".

После установки трояна на устройство, он блокирует экран и показывает ложные уведомления о списаниях средств, а затем звонит мошенник, выдающий себя за сотрудника банка. Он требует предоставить платежную информацию для защиты денег.

Злоумышленники не получают полный доступ к устройству, и приходящие уведомления являются поддельными. Жертва, паникуя, доверяет мошенникам и предоставляет данные для входа в онлайн-банк или переводит средства на "безопасный счет". Для удаления вируса обычно достаточно сбросить телефон до заводских настроек.

Подробнее: https://extrim-security.ru/news-ib/tpost/s5xx99cgv1-troyanskie-programmi-imitiruyut-uvedomle

🌐 Компания Microsoft сообщила об изменении тактики группировки хакеров Storm-0501, которая теперь нацелена на гибридные облачные среды. Специалисты обнаружили, что группировка использует вымогатель Embargo для атак на системы жертв, включая больницы, правительственные учреждения и производственные компании.

Хакеры получают доступ к облачным средам, используя слабые учётные данные и известные уязвимости, а затем применяют привилегированные учётные записи для кражи данных и развёртывания вымогательской нагрузки.

Подробнее: https://extrim-security.ru/news-ib/tpost/txi1tyas01-ataka-storm-0501-novaya-ugroza-dlya-gibr

💢 Компания The Browser Company объявила о запуске программы вознаграждения за обнаружение уязвимостей после обнаружения критической уязвимости CVE-2024-45489 в своем браузере Arc.

Уязвимость позволяла злоумышленникам совершать массовые атаки через использование Firebase для аутентификации и управления базами данных. Исследователь, обнаруживший проблему, назвал её «катастрофической», и она была устранена 26 августа после получения вознаграждения в 2000 долларов.

Теперь компания предлагает вознаграждения за обнаружение уязвимостей, варьирующиеся от 500 до 20 000 долларов, для macOS, Windows и iOS версий Arc. В связи с уязвимостью была отключена автосинхронизация Boosts с JavaScript, и в новой версии Arc 1.61.2 появилась возможность полного отключения Boosts.

Компания также разрабатывает инструмент для отключения Boosts на уровне организаций, пересматривает процесс реагирования на инциденты и планирует расширить штат собственной команды безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/8fe2lee0n1-programma-voznagrazhdeniya-za-uyazvimost

📨 Исследователи предупреждают о высокой активности хакеров, использующих недавно обнаруженную уязвимость RCE в Zimbra, которая позволяет злоумышленникам внедрять вредоносный код через специально подготовленные письма, отправляемые на SMTP-сервер. Уязвимость затрагивает службу Zimbra postjournal и может быть эксплуатирована через поле CC письма.

Атаки начались 28 сентября 2024 года после публикации анализа уязвимости и соответствующего эксплоита. Злоумышленники отправляют письма от имени Gmail с поддельными адресами и вредоносным кодом в поле CC, который выполняется на сервере Zimbra.

Это позволяет им устанавливать веб-шелл, который прослушивает соединения и выполняет команды, включая загрузку файлов. После установки веб-шелл предоставляет полный доступ к серверу, что может быть использовано для кражи данных и продвижения внутрь сети компании-жертвы.

Подробнее: https://extrim-security.ru/news-ib/tpost/4gbvx3ztl1-kak-hakeri-ispolzuyut-uyazvimost-v-zimbr

😎 Митап честных кейсов по сетевой безопасности от наших партнеров Positive Technologies прошел, и мы делимся с вами записью трансляции!

Эксперт от Экстрим безопасность участвовал в обсуждении PT NAD. Обсудили новинки, рассказали инциденты и посмеялись с мема-победителя :)

Вырезку выступления можете посмотреть тут, а полную запись мероприятия смотрите в нашей группе вк

👾Ваш код доступа – «Метод Хакера». Подкасты для тех, кто хочет быть на шаг впереди👾

💥 Мы завершаем наш первый сезон подкастов пятым выпуском – Стратегия эшелонированной защиты!

Подвели черту тем, которые поднимали в предыдущих четырех выпусках. Эшелонированная защита – лучший способ обезопасить инфраструктуру компании комплексом мер 🧠

Кто еще может так объемно рассказать про любые классы решений? Руководитель направления ИБ департамента с перспективными вендорами! Виктор Засорин из компании Axoft 😎

1. Домашние устройства, зачем их контролировать?
2. Восстание машин уже близко
3. 🥵 Атака через кондиционер - миф или реальность?
4. Подслушивают ли нас умные колонки?
5. Готов ли бизнес РФ к пентестам?
6. 🔮 Бубен и экстрасенс - самые надежные инструменты для ИБшника
7. Бэкапы в облако или на свой сервер? Как надежнее?
8. 🤯 Стикеры с паролями под мониторами - мировой челлендж бухгалтеров

Не забываем ставить реакции и комментировать. Задавайте любые вопросы, мы разберем каждый :)

Нововведения: теперь подкаст можно слушать прямо в телеграм!
Слушать на Яндекс.Музыке, СберЗвуке, ВК и mave. Или прямо на нашем сайте

❗️Российские государственные учреждения и промышленные предприятия стали объектами продолжающейся деятельности группы хакеров под названием «Пробуждение Лихо».

Согласно «Лаборатории Касперского», злоумышленники заменили ранее используемый модуль UltraVNC на агент для легитимной платформы MeshCentral для получения удалённого доступа. Кампания, начавшаяся в июне 2024 года, в первую очередь нацелена на российские государственные учреждения, их подрядчиков и промышленные предприятия.

Группа Awaken Likho, также известная как Core Werewolf и PseudoGamaredon, действует с августа 2021 года и использует целевой фишинг для маскировки вредоносных файлов под документы Microsoft Word или PDF с двойными расширениями. Открытие этих файлов приводит к установке UltraVNC, что позволяет злоумышленникам получить полный контроль над скомпрометированными хостами.

Подробнее: https://extrim-security.ru/news-ib/tpost/zl40uchdg1-liho-razbuzheno-i-shumit

🕹 «Лаборатория Касперского» предупредила о новом типе атак, использующих майнеры для добычи криптовалюты. Эти атаки, известные как SilentCryptoMiner, осуществляются через агент SIEM-системы Wazuh, что позволяет злоумышленникам избегать обнаружения и закрепляться на устройствах пользователей.

Атакующие распространяют вредоносный код через поддельные сайты и Telegram-каналы, предлагая бесплатные загрузки программ и игр, а также используют YouTube для публикации видео с вредоносными ссылками.

После загрузки ZIP-архива с файлом MSI и текстовым документом с паролем, жертвы устанавливают вредоносный скрипт и SilentCryptoMiner. Агент Wazuh позволяет хакерам получать удаленный контроль над зараженными устройствами, собирая информацию о системе и передавая ее Telegram-боту.

Модификации вредоносного ПО также могут делать скриншоты рабочего стола, устанавливать расширения для браузера и подменять криптокошельки, извлекая прибыль путем скрытной добычи криптовалюты и совершая дополнительные вредоносные действия.

Подробнее: https://extrim-security.ru/news-ib/tpost/fop5hr84v1-tainie-maineri-novaya-ugroza-v-mire-kibe

🧹 В мае текущего года в США произошла серия атак на роботы-пылесосы Ecovacs Deebot X2. Злоумышленники использовали уязвимости в устройствах для удаленного управления, доступа к камерам и динамикам, оскорбляя владельцев и преследуя их домашних животных.

Один из пострадавших, юрист из Миннесоты Дэниел Свенсон, рассказал, что его робот-пылесос начал издавать странные звуки и транслировать расистские оскорбления, когда он попытался сбросить пароль и перезагрузить устройство. Свенсон был вынужден убрать пылесос подальше, опасаясь, что хакеры могут продолжать следить за его семьей.

В последнем выпуске подкаста мы как раз разбирали возможности слежки за пользователями через домашние устройства, один из примеров был - роботы-пылесосы. За нами и подсматривают, и подслушивают. Вы же тоже замечали появляющуюся рекламу после разговора о чем-либо? Послушайте 5 выпуск, узнаете много нового🥷🏻

Подробнее: https://extrim-security.ru/news-ib/tpost/taf5s07la1-ataki-na-pilesosi-ecovacs-rasistskie-osk

🐍 Злоумышленники используют точки входа в различных программных экосистемах, таких как PyPI, npm, Ruby Gems, NuGet, Dart Pub и Rust Crates, для проведения атак на цепочки поставок программного обеспечения.

Эти точки входа позволяют выполнять вредоносный код при выполнении определённых команд, что представляет значительный риск ввиду их изощрённого характера и способности обходить традиционные средства защиты. В языках программирования, таких как Python, точки входа — это механизм упаковки, позволяющий разработчикам предоставлять функции в виде командной оболочки.

Однако ими можно злоупотреблять для распространения вредоносного кода среди пользователей, включая взлом команд и создание вредоносных плагинов.

Подробнее: https://extrim-security.ru/news-ib/tpost/1n0mrldb81-ataki-na-tochki-vhoda-v-srede-python

🃏 Компания OpenAI заявила о пресечении более 20 попыток иностранного влияния, в которых ChatGPT использовался для разработки и отладки вредоносного ПО, распространения дезинформации и проведения фишинговых атак.

Ранее специалисты по информационной безопасности предупреждали о злоупотреблениях ИИ для создания вредоносного ПО, таких как Rhadamanthys и AsyncRAT. OpenAI подтвердила факты злоупотребления и привела примеры, когда китайские и иранские хакеры использовали ChatGPT для повышения эффективности своих операций.

Одной из таких группировок стала SweetSpecter, занимающаяся кибершпионажем и нацеленная на правительства азиатских стран. SweetSpecter проводит атаки с помощью фишинговых писем, содержащих вредоносные ZIP-архивы, замаскированные под запросы в службу поддержки. После открытия вложения запускается троян SugarGh0st RAT, проникающий в систему жертвы.

Эти атаки затронули даже электронные адреса сотрудников OpenAI, которые обнаружили, что SweetSpecter использует ChatGPT для скриптинга и анализа уязвимостей.

Подробнее: https://extrim-security.ru/news-ib/tpost/fby9ollb51-chatgpt-kak-instrument-kiberprestupnikov

📝 В сентябре 2024 года эксперты Positive Technologies обнаружили вредоносное письмо, предназначенное для неназванной государственной организации в одной из стран СНГ.

Злоумышленники использовали письмо для атаки на уязвимость CVE-2024-37383, найденную в почтовом клиенте Roundcube Webmail. Письмо содержало только вложение, которое не отображалось почтовым клиентом, но декодировало и выполняло JavaScript-код через теги в теле письма.

Исследователями было установлено, что CVE-2024-37383 является XSS-багом, позволяющим выполнять произвольный JavaScript-код в браузере пользователя. Для атаки требовалось открыть вредоносное письмо в веб-клиенте Roundcube версий до 1.5.6 или от 1.6 до 1.6.6.

Подробнее: https://extrim-security.ru/news-ib/tpost/2l1xi46in1-cve-2024-37383-zloumishlenniki-atakovali

🇨🇳 Китайская ассоциация кибербезопасности обвинила корпорацию Intel в намеренном встраивании скрытых уязвимостей в свои процессоры, что, по мнению китайских экспертов, создает идеальную среду для тотальной слежки.

Эти лазейки были обнаружены в рамках системы безопасности нового поколения, разработанной Агентством национальной безопасности США. CSAC также указала на пренебрежительное отношение Intel к клиентам и масштаб потенциальной угрозы, затрагивающей не только Китай, но и другие страны.

Напряженность между США и Китаем в области технологий продолжает расти, особенно после того, как США ограничили поставки передовых чипов и запретили экспорт процессоров для искусственного интеллекта. Intel, несмотря на санкции, заключила контракты с китайскими государственными организациями на поставку процессоров Xeon.

Подробнее: https://extrim-security.ru/news-ib/tpost/sidad9vgp1-kitai-podozrevaet-korporatsiyu-v-ustanov

🪧 В Ирландии обнаружена новая схема мошенничества с использованием поддельных QR-кодов на парковочных знаках. Мошенники размещают фальшивые наклейки с изменёнными QR-кодами, ведущими на поддельные сайты для оплаты.

Один из пользователей заметил подозрительный QR-код на знаке, который позволяет оплачивать парковку, но поверх него наклеен поддельный код. Злоумышленники надеются, что водители не заметят или не придадут значения подделке.

Другие пользователи отметили, что такие наклейки выглядят официально и трудно распознаются без тщательного осмотра. Это вызывает вопросы о доверии к платёжным приложениям и QR-кодам в целом. Участники обсуждения также выразили недовольство растущим числом сервисов, требующих использования смартфонов для оплаты и ограничивающих доступ для тех, кто предпочитает наличные.

Подробнее: https://extrim-security.ru/news-ib/tpost/fj3cjg1a21-ostorozhno-moshenniki-s-poddelnimi-qr-ko