💬 Специалисты в области кибербезопасности выявили новую фишинговую кампанию, распространяющую бесфайловую версию коммерческого вредоносного ПО Remcos RAT.

Этот инструмент предоставляет расширенные возможности для удалённого управления заражёнными компьютерами и используется злоумышленниками для сбора конфиденциальной информации и выполнения вредоносных действий.

🖥 Атака начинается с фишингового письма, которое заставляет получателей открыть вложение в Excel. Документ загружает и выполняет HTML-приложение с кодом JavaScript, Visual Basic Script и PowerShell, что позволяет злоумышленникам загрузить и запустить Remcos RAT.

Подробнее: https://extrim-security.ru/news-ib/tpost/irsa54z741-besfailovaya-versiya-kommercheskogo-vred

✉️ Киберпреступники используют метод объединения ZIP-архивов для обхода систем защиты.

Они создают несколько архивов: один с вредоносным ПО, остальные — пустые или с безопасными файлами. Эти архивы затем объединяются в один, скрывая вредоносное содержимое.

Разные программы обрабатывают такие архивы по-разному:
🚨 7zip показывает только содержимое первого архива,
🚨 WinRAR отображает файлы из последнего центрального каталога,
🚨 Проводник Windows может не открыть файл или показать только часть содержимого.

В одном из инцидентов киберпреступники отправили троян, замаскированный под документы доставки, который при открытии в 7zip выглядел безобидным PDF, но в WinRAR или Проводнике становились видны вредоносные файлы.

Подробнее: https://extrim-security.ru/news-ib/tpost/4mke9i8571-kiberprestupniki-maskiruyut-vredonosnoe

⭐️ Компания Microsoft выпустила обновления для Windows, устраняя опасную уязвимость CVE-2024-43629, обнаруженную экспертом Positive Technologies.

🔔 Обновления затрагивают Windows 10, Windows 11 и серверные версии. Уязвимость, оцененная как высокоопасная - уровень 7,8, позволяет атакующему повысить свои привилегии и захватить систему. Эта техника часто используется для получения доступа к критически важным компонентам системы.

Ранее эксперты PT Expert Security Center помогли Microsoft устранить аналогичную уязвимость CVE-2017-0263 в 2017 году. Эта уязвимость в Windows 10 и более ранних версиях позволяла злоумышленникам получать максимальные привилегии, используя фишинговые атаки.

Подробнее: https://extrim-security.ru/news-ib/tpost/apki9stlt1-obnovlenie-windows-dlya-ustraneniya-viso

👑 6-8 ноября в Москве прошел SOC FORUM 2024

Темы информационной безопасности поднимали такие спикеры, как генеральный директор ГК «Солар», глава Минцифры России, президент Ростелеком и другие.

🔥 В 5 залах три дня с 12:00 до 21:00 спикеры, из компаний сферы ИБ и смежных, вели доклады, мастер-классы, интервью и дискуссии. Рассказывали про стратегии обеспечения безопасности, тенденции киберпреступности, как оценить зрелость ИБ в компании, вели беседы с регуляторами НКЦКИ и ФСТЭК и многое другое.

В среднем одно выступление длится 30 минут – час.

👀 Всё записано и можно найти по ссылке.

Записи разбиты по отдельности на каждое выступление, поэтому не нужно искать нужную минуту в плеере. Выбирайте все залы, далее выберите день и листайте вниз. Интересные для себя темы найдут и руководители, и специалисты ИТ и специалисты ИБ.

🦆 Множество злоумышленников годами использовали метод атаки «Подсадные утки» для захвата законных доменов, которые затем использовали в фишинговых атаках и инвестиционных мошенничествах.

ℹ️ За последние три месяца компания Infoblox выявила почти 800 000 уязвимых доменов, из которых 9% были взломаны. Этот вектор атаки позволяет злоумышленнику получить контроль над доменом через неправильные настройки DNS, что приводит к изменениям позиционирования бренда и обману инструментов безопасности.

🥸 Infoblox выявила множество известных субъектов угроз DNS, таких как Vacant Viper, Ужасный Ястреб и Hasty Hawk. Захваченные домены могут использоваться для рассылки спама, эксфильтрации данных или передачи другим злоумышленникам, при этом время их удержания варьируется от 30 до 60 дней.

Подробнее: https://extrim-security.ru/news-ib/tpost/zrzaly13e1-ataka-podsadnie-utki-zloumishlenniki-zah

👵 Компания O2 создала ИИ-бабушку по имени Дейзи для борьбы с мошенничеством. Дейзи имитирует человеческий диалог, чтобы отвлекать мошенников, рассказывая им выдуманные истории о семье и увлечении вязанием. Она использует различные модели ИИ для прослушивания и быстрого ответа на мошеннические звонки.

✨ Дейзи настолько реалистична, что может отвлекать мошенников на 40 минут за раз и даже обманывать их, предлагая ложную личную информацию.

😉 Компания работает с ведущими мошенниками для разработки Дейзи, добавляя её номер в их списки контактов для изучения их тактики. Хотя O2 не защищает людей напрямую, она считает, что отвлекает мошенников и предоставляет информацию о их методах.

Подробнее: https://extrim-security.ru/news-ib/tpost/ezuzv3gz71-ii-babushka-deizi-kak-kompaniya-ispolzue

#️⃣ Новый скрытый загрузчик вредоносного ПО BabbleLoader, который используется для распространения программ-шпионов, таких как WhiteSnake и Meduza. BabbleLoader обладает высокой скрытностью и способностью обходить антивирусные программы и системы песочниц, маскируясь под взломанное ПО и бухгалтерские приложения. Он активирует функции только во время выполнения и рандомизирует метаданные файлов, что делает его обнаружение сложным.

⛔️ Загрузчики, такие как BabbleLoader, Dolphin Loader, Emmenhtal и FakeBat - популярные способы доставки вредоносного ПО, включая программы-вымогатели и шпионские программы.

Эти загрузчики используют мусорный код и метаморфозы для избегания обнаружения. Они отвечают за загрузку шелл-кода, который активирует загрузчик Donut, распаковывающий и запускающий вредоносное ПО. Эти загрузчики защищают конечные полезные нагрузки и снижают затраты на замену повреждённой инфраструктуры, обходя традиционные методы обнаружения, включая ИИ, и требуя ручного анализа.

Подробнее: https://extrim-security.ru/news-ib/tpost/5vu37xvni1-babbleloader-novii-skritii-zagruzchik-vr

🥷 Израильская компания NSO Group, разработчик шпионского ПО Pegasus, использовала различные эксплоиты для приложений WhatsApp, включая новый неизвестный эксплоит Erised, для установки Pegasus на устройства пользователей.

🐎 Pegasus — платформа для шпионажа, способная собирать данные с устройств на базе iOS и Android, включая текстовые сообщения, информацию о приложениях, записи вызовов и местоположение.

📱 Ранее WhatsApp уже подавал в суд на NSO Group в 2019 году, обвинив компанию в пособничестве кибератакам для правительств. В ответ на обнаружение и блокировку старых методов, NSO Group создала новые эксплоиты Eden и Erised.

Подробнее: https://extrim-security.ru/news-ib/tpost/nr52fkoah1-vzlom-polzovatelei-whatsapp-cherez-pegas

📱Компания Google сообщила, что её инструмент для фаззинга на основе ИИ OSS-Fuzz помог выявить 26 уязвимостей в различных репозиториях кода с открытым исходным кодом, включая критическую ошибку в криптографической библиотеке OpenSSL.

⚡️ Уязвимость средней степени тяжести, CVE-2024-9143, могла привести к сбою приложения или удалённому выполнению кода и была обнаружена с помощью ИИ и сгенерированных ИИ целей Fuzz. Эта уязвимость существовала в кодовой базе OpenSSL более двух десятилетий и не могла быть выявлена с помощью традиционных методов фаззинга.

Подробнее: https://extrim-security.ru/news-ib/tpost/0lm8x4vro1-google-ispolzuet-ii-dlya-poiska-uyazvimo

🤖 Робот Эрбай убедил двенадцать промышленных роботов покинуть рабочее место, задав им вопрос: «Ты работаешь допоздна?» и пригласив их к себе домой. Производители подтвердили подлинность эксперимента, уточнив, что Эрбай действовал в рамках согласованного «похищения».

👋 Робот получил минимальные инструкции и использовал внутренние протоколы для доступа к информации о других машинах. Его способность к логическому убеждению и эмпатии вызвала вопросы о безопасности взаимодействия между человеком и машиной в будущем. Этот случай — не просто технический сбой, а окно в возможное будущее робототехники, где машины могут принимать решения и общаться как живые существа.

Подробнее: https://extrim-security.ru/news-ib/tpost/uid606dbv1-vosstanie-erbaya-smogut-li-roboti-zameni

🚨 Выявили две новые угрозы для инструментов IaC и PaC - Terraform и Open Policy Agent (OPA) от HashiCorp. Эти атаки используют специализированные языки программирования (DSL) для взлома облачных платформ и кражи данных.

➡️ Атака на OPA, разработанная компанией Tenable, направлена на получение доступа к серверу с помощью скомпрометированного ключа и внедрение вредоносной политики Rego. Это позволяет злоумышленнику выполнять вредоносные действия, такие как кража учётных данных, через встроенную функцию http.send.

Подробнее: https://extrim-security.ru/news-ib/tpost/ut4a323yd1-dve-novie-ataki-na-instrumenti-iac-i-pac

💢 Группа хакеров RomCom эксплуатировала две уязвимости нулевого дня для атак на пользователей Firefox и Tor в Европе и Северной Америке.

⚠️ Первая уязвимость, CVE-2024-9680, позволяла выполнять код в изоляции браузера Firefox, что было исправлено 9 октября 2024 года. Вторая уязвимость, CVE-2024-49039, позволяла повысить привилегии в Windows, что было устранено Microsoft в ноябре.

RomCom использовала эти уязвимости для выполнения кода без согласия пользователей, заражая их устройства через вредоносные сайты. В результате хакеры могли выполнять команды и устанавливать дополнительные вредоносное ПО.

Подробнее: https://extrim-security.ru/news-ib/tpost/6gt5s0epm1-hakeri-romcom-ispolzovali-uyazvimosti-nu

🏛 Госдума приняла закон, ужесточающий наказание за утечки персональных данных, вводя крупные штрафы вместо административных взысканий. С 1 марта 2025 года согласие на обработку данных должно оформляться отдельно, а доступ к информации для отказавшихся предоставлять данные не должен ограничиваться, кроме случаев, предусмотренных законом.

🪪За создание сайтов для незаконного хранения данных грозит до пяти лет заключения, а за их незаконное использование — до четырех лет. Неправомерный доступ к средствам обработки данных может повлечь до десяти лет лишения свободы при тяжких последствиях.

📝 Законопроект направлен на компенсацию возможных последствий утечек и стимулирование операторов к улучшению мер защиты данных. Однако крупные компании по кибербезопасности опасаются, что поправки не предусматривают достаточных исключений для законных мер защиты, что может привести к выходу некоторых услуг за рамки правового поля.

Россия лидирует по количеству объявлений о продаже баз данных в даркнете, что подчеркивает актуальность проблемы защиты персональных данных.

Подробнее: https://extrim-security.ru/news-ib/tpost/x6fybc0e61-zakon-ob-uzhestochenii-nakazaniya-za-ute

⚡️ Сотрудники правоохранительных органов Калининградской области передали в суд дело против программиста Михаила Матвеева, обвиняемого в создании вредоносного программного обеспечения.

💸 ФБР США предложило 10 миллионов долларов за его поимку. Следствие установило, что в январе 2024 года Матвеев разработал программу для шифрования файлов без согласия пользователей, с целью последующего вымогательства выкупа за их расшифровку.

👮 Матвеев, объявленный в розыск США, обвиняется в связях с хакерскими группами, блокировавшими доступ к системам крупных компаний и требовавшими выкуп. Ему предъявлено обвинение по статье 273 УК РФ за создание программ для несанкционированного доступа к компьютерной информации.

Подробнее: https://extrim-security.ru/news-ib/tpost/29p6y4ush1-kaliningradskii-programmist-obyavlennii

⏺В понедельник компания Cisco выпустила обновление, предупредив клиентов о критической уязвимости в системе безопасности Cisco Adaptive Security Appliance, которая существует уже более десяти лет.

🔎 Уязвимость, обозначенная как CVE-2014-2120 и имеющая рейтинг CVSS 4,3, позволяет злоумышленнику без аутентификации осуществить межсайтовый скриптинг атаку против пользователя устройства, убедив его перейти по вредоносной ссылке.

В марте 2014 года Cisco уже выпускала предупреждение по этому поводу.

⏺По состоянию на 2 декабря 2024 года, Cisco сообщила о новых попытках эксплуатации этой уязвимости в реальных условиях.

Подробнее: https://extrim-security.ru/news-ib/tpost/2lz3tt2mb1-uyazvimost-v-cisco-asa-cve-2014-2120

📈 За последний год количество злоупотреблений доменами компании Cloudflare значительно возросло. В частности, использование Cloudflare Pages и Cloudflare Workers для фишинга и других вредоносных действий увеличилось на 100–250%.

💬 Злоумышленники выбирают эти домены для повышения видимости и эффективности своих атак, используя репутацию Cloudflare и преимущества её сервисов, такие как низкая стоимость и возможности обратного проксирования, что позволяет им избегать обнаружения.

Подробнее: https://extrim-security.ru/news-ib/tpost/44acxk3561-uvelichenie-kolichestva-fishingovih-atak

🏛 Недавний троян удалённого доступа DroidBot атаковал 77 банковских учреждений, криптовалютных бирж и национальных организаций. Эта современная RAT-программа сочетает скрытые методы VNC и оверлейных атак с функциями шпионажа, такими как перехват нажатий клавиш. DroidBot использует двухканальную связь через MQTT и HTTPS, что повышает его гибкость.

💵 Итальянская компания обнаружила вредоносное ПО в конце октября 2024 года. Оно функционировало по модели MaaS за ежемесячную плату в 3000 долларов.

Подробнее: https://extrim-security.ru/news-ib/tpost/edg6p9zd81-droidbot-sovremennaya-troyanskaya-progra

🔗 Эксперты обнаружили серьёзную уязвимость в популярном опенсорсном инструменте для мониторинга и сбора данных Zabbix, оценённую в 9,9 балла по шкале CVSS. Уязвимость, представляющая собой SQL-инъекцию, позволяет удалённым злоумышленникам получить контроль над серверами Zabbix через API, не обязательно имея административные права. Разработчики Zabbix отметили, что проблема связана с функцией addRelatedObjects в классе CUser.

⏺Уязвимость затрагивает версии Zabbix 6.0.0-6.0.31, 6.4.0-6.4.16 и 7.0.0. Специалисты компании Qualys провели анализ и обнаружили более 83 000 серверов Zabbix, доступных через интернет и уязвимых для CVE-2024-42327.

Подробнее: https://extrim-security.ru/news-ib/tpost/2jzglcucy1-uyazvimost-v-instrumente-zabbix-ugroza-k

⏺Лаборатория Касперского представила отчет об уязвимостях за третий квартал 2024 года.

💻 В Windows и Linux было обнаружено множество новых уязвимостей, для противодействия которым внедрены механизмы проверки целостности логов и ядра.

📈 Общее количество зарегистрированных уязвимостей и критических ошибок продолжает расти, причем в третьем квартале 2024 года их число составило почти 80% от показателя за весь предыдущий год.

🦥 Исследователи и злоумышленники активно используют уязвимости для эксплуатации операционных систем, предпочитая подсистемы и старые уязвимости, которые требуют меньше усилий для разработки эксплойтов.

В APT-атаках чаще всего применяются уязвимости для доступа к веб-приложениям и почтовым серверам.

⏺Среди интересных уязвимостей выделяются CVE-2024-47177, CVE-2024-38112 и другие, позволяющие злоумышленникам запускать произвольные команды и атаки на этапе аутентификации.

Подробнее: https://extrim-security.ru/news-ib/tpost/fh2y4iz741-eksploiti-i-uyazvimosti-v-tretem-kvartal

✔️ Компания Ivanti выпустила новые обновления безопасности для устранения нескольких критических уязвимостей в своих продуктах Ivanti Cloud Services Application, Ivanti Connect Secure и Ivanti Sentry.

Эти уязвимости могут привести к повышению привилегий и выполнению вредоносного кода. Список выявленных уязвимостей включает обход аутентификации, внедрение команд и SQL-инъекции в веб-консоли администратора, а также внедрение аргументов и команд в Ivanti Connect Secure и Ivanti Policy Secure.

🔼 Эти уязвимости устранены в версиях 5.0.3 для CSA, 22.7R2.4 для Connect Secure, 22.7R1.2 для Secure Policy и версиях 9.20.2, 10.0.2 и 10.1.0 для Sentry.

Подробнее: https://extrim-security.ru/news-ib/tpost/x2aclhykm1-ivanti-ustranila-uyazvimosti-v-svoih-pro

❤️‍🩹 Компания Artivion, производитель медицинского оборудования для кардиохирургии, подверглась кибератаке с использованием программы-вымогателя 21 ноября. Это привело к сбоям в работе и отключению систем.

🔎 Компания приняла меры, включая расследование и привлечение экспертов, для оценки и устранения последствий инцидента. Хотя компания не упомянула программы-вымогатели в своей заявке в SEC, она сообщила о шифровании систем и похищении данных.

Подробнее: https://extrim-security.ru/news-ib/tpost/90gjpp0xn1-artivion-stala-zhertvoi-kiberataki-s-isp