😈 APT и финансовые атаки на промышленные организации во второй половине 2023 года.

• Обзор отчетов об APT и финансовых атаках на промышленные предприятия и об активности групп, замеченных в атаках на промышленные организации и объекты критической инфраструктуры:

- Активность корейскоязычных групп;
- Активность, связанная с Ближним Востоком;
- Активность китайскоязычных групп;
- Активность русскоязычных групп;
- Другое;
- Предупреждения CISA.

#Отчет

🗞 Threat Zone 2024.

• Новый отчет от BI.ZONE: "Threat Zone 2024", который содержит в себе описание хакерских группировок, их тактики, методы, инструменты и другую информацию.

• Исследование будет полезно CISO, аналитикам SOC, разработчикам плейбуков реагирования на инциденты и контента для SIEM, а также всем, кто интересуется новыми угрозами.

➡ Скачать можно отсюда: https://bi.zone/

#Отчет

🗞 Второе полугодие 2023 года — краткий обзор основных инцидентов промышленной кибербезопасности.

• Свежий отчет от экспертов Лаборатории Касперского по угрозам для систем промышленной автоматизации: статистика по вредоносному ПО, источникам угроз, распределение обнаруженных угроз по отраслям и регионам.

- Производственный сектор;
- Автомобилестроение;
- Энергетика;
- Электронная промышленность;
- Коммунальные службы;
- Логистика и транспорт;
- Пищевая промышленность;
- Нефтегазовая отрасль;
- Судостроение;
- Металлургия;
- Строительство;
- Другое.

➡️ Скачать в PDF || Читать онлайн.

#Отчет

📰 Security Reports.

• Репозиторий, который включает в себя ежегодные отчеты по кибербезопасности от крупнейших ИТ компаний. Этот репо постоянно поддерживают в актуальном состоянии, что поможет нам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).

➡ https://github.com/jacobdjwilson/awesome-annual-security-reports

• В качестве дополнения: обратите внимание на другие источники, за которыми наблюдаю сам и стараюсь всегда делиться с Вами новым материалом:

- Много интересного материала есть у ребят из Лаборатории Касперского, тут можно найти много новой и актуальной информации: https://securelist.ru
- Ребята из BiZone публикуют достаточно интересный материал, который можно найти тут: https://bi.zone/expertise/research/
- Материал от позитивов: https://www.ptsecurity.com/ru-ru/research/analytics/
- У cisoclub есть отдельный раздел с отчетами, но у них информация появляется с большой задержкой. Однако тут можно найти интересные отчеты: https://cisoclub.ru/category/reports/
- Подборка ТОП отчетов от hackerone: https://github.com/reddelexc/hackerone-reports
- Полезный репозиторий, где собраны разборы о фишинговых кампаниях APT группировок, содержащие пример писем и описание инструментов, с помощью которых осуществлялась рассылка: https://github.com/wddadk/Phishing-campaigns

#Отчет #ИБ

🧠 Социальная инженерия в 2024.

• Два очень содержательных отчета от экспертов positive technologies, где описаны сценарии реализации целевых фишинговых атак и обсуждаются полезные нагрузки, которые можно эффективно использовать в качестве векторов получения начального доступа.

• Первый отчет содержит следующую информацию:

1. Почему вложения — моветон.
2. Актуальные способы доставки и хранения полезной нагрузки:
- HTML Smuggling;
- Облачные сервисы;
- WebDAV.
3. Актуальные способы получения начального доступа:
- Контейнеризация;
- LNK;
- MSI.
4. Новые векторы Steal Credentials:
- Атака Browser-in-the-Browser;
- Атака Browser-in-the-Middle.
5. Ключевые тренды.

• Содержание второго отчета:

1. HTML/PDF/SVG Smuggling:
- HTML Smuggling;
- SVG Smuggling;
- PDF Smuggling и PDF Polyglot (aka MalDoc in PDF).
2. URL.
3. PDF Luring.
4. VBA Macro (Hold):
- VBA Purging;
- VBA Stomping;
- VBA Tricks;
- VelvetSweatshop.
5. Разработчикам приготовиться.
6. QR-коды.
7. DLL Side-Loading:
- Примеры атак с использованием DLL Side-Loading.
8. Почему не справляются средства защиты.

#СИ #Отчет

💰 Рынок киберпреступности.

• Опубликован очень объемный отчет от экспертов Positive Technologies, в котором представлен анализ рынка преступных киберуслуг с 2023 по III квартал 2024 года. А еще в отчете есть информация по стоимости предоставляемых товаров и услуг и первоначальные затраты преступников для проведения атаки. Кроме того, рассмотрены ключевые аспекты теневой экономики: экосистему дарквеба, мотивацию его участников, принципы регулирования сделок, конкуренцию и способы привлечения клиентов.

• Было проанализировано 40 источников, среди которых крупнейшие теневые площадки (форумы, маркетплейсы) и телеграм-каналы на разных языках с различной тематической направленностью. Было рассмотрено более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости и эксплойты, доступы к корпоративным сетям и киберпреступные услуги: взлом ресурсов, перенаправление трафика, распространение ВПО, кардинг, инфраструктура и DDoS-атаки.

• Исследование будет полезно специалистам по информационной безопасности, аналитикам угроз (threat intelligence), а также организациям и частным лицам, интересующимися актуальным состоянием современного рынка киберпреступности.

— Погружение в «темную сеть»:
➡Аудитория подполья: мотивация и цели;
➡Дарквеб как источник прибыли.

— Теневая экосистема:
➡Форумы;
➡Маркеты;
➡Telegram.

— Теневой бизнес как зеркало легального мира:
➡Репутация и отношения с клиентами;
➡Маркетинг;
➡Агрессивные методы конкуренции в подполье;
➡Dark Bounty;
➡Мошенничество и гарантии сделок;
➡Фиксированные цены vs аукционы.

— Оплата и валюты «в тени»:
➡Отмывание доходов от киберпреступлений.

— Экономика «в тени»:
➡Вредоносное ПО;
➡Уязвимости и эксплойты;
➡Доступы;
➡Услуги.

— Стоимость атаки.
— Развитие теневого рынка:
➡«Рынок шифровальщиков за 100»;
➡Неуловимость и кастомизация ВПО;
➡Демоверсия как инструмент привлечения клиентов;
➡Новый виток развития теневой экономики;
➡Магазин журналов внутри администраторской панели стилеров.

— Что ожидать в будущем:
➡Укрепление сервисной модели;
➡Dark access for all;
➡Встречайте, Nighthawk и Brute Ratel C4;
➡Инструменты с модулями ИИ;
➡Получите и распишитесь;
➡Темный ревизор.

— Заключение.

#Отчет #ИБ

• Исследователи "Доктор Веб" выкатили очень объемный отчет, в котором представили обзор вирусной активности для мобильных устройств за прошедший год.

• В течении года были обнаружены сотни вредоносных приложений в Google Play, которые суммарно были загружены более 27 миллионов раз. Кроме того, произошел рост популярности ряда техник, которые были направлены на усложнение анализа вредоносных программ для обхода антивирусного ПО.

• Тенденции не меняются из года в год. До сих пор основными методами распространения является реклама вредоносного ПО, Google Play обрастает новыми троянами и угрозами, а тренд на банковские трояны только растет.

• Также была зафиксирована новая атака на ТВ-приставки на базе Android — около 1 300 000 устройств пострадали от бэкдора, который заражал системную область и по команде злоумышленников мог скачивать и устанавливать стороннее ПО.

• Наиболее распространенными угрозами стали вредоносные программы, на долю которых пришлось 74,67% всех случаев обнаружения. За ними расположились рекламные приложения с долей 10,96%. Третье место с показателем 10,55% заняли потенциально опасные программы. Четвертыми по распространенности стали нежелательные программы — пользователи сталкивались с ними в 3,82% случаев.

➡️ Более детальная информация доступна тут: https://st.drweb.com/

#Отчет

🎣 Спам и фишинг в 2024 году.

• Очень объемный отчет от аналитиков Лаборатории Касперского, который включает в себя статистику и основные тенденции в спаме и фишинге за 2024 год: охота за криптокошельками, Hamster Kombat, онлайн-продвижение через нейросети, фальшивые графики отпусков и др. Рекомендую к прочтению:

• Цифры года;
• Фишинг и скам в 2024 году;
• Спам в 2024 году;
• Целевой фишинг в 2024 году;
• Статистика: фишинг;
• Статистика: спам;
• Заключение.

➡️ https://securelist.ru/spam-and-phishing-report-2024/111743/

#Отчет

😈 Как хакеры используют рекламные посты в социальных сетях. Атаки на страны Ближнего Востока.

• Positive Technologies выкатили интересный отчет, в котором описывают вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки. Для распространения вредоносного ПО хакеры создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается ВПО AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Наиболее подробная информация есть по ссылке ниже:

➡️ https://www.ptsecurity.com/desert-dexter-ataki-na-strany-blizhnego-vostoka

• Кстати, давайте расскажу про распространение вредоносного ПО посредством различных блогов на YT \ Telegram и продвижение их через рекламу! На самом деле, данный метод был весьма эффективным, и особенно эффективным он был в 2018-2020 году (если мы говорим о Telegram). Суть заключалась в том, что злоумышленники создавали группы, куда публиковали различные программы или игры под видом "взломанных" приложений с платным функционалом. Такая группа активно рекламировалась в других каналах и тем самым находила свою аудиторию... Сейчас проблема носит точечный характер, так как мессенджер активно борется с распространением ВПО и удаляет такие группы. В любом случае, всегда старайтесь проверять то, что скачиваете. Особенно из неизвестных источников.

#Отчет

• Исследователи Positive Technologies выкатили очень объемное исследование, которое посвящено утечкам конфиденциальных данных из организаций во втором полугодии 2024 года. Если коротко, то цифры следующие:

➡Более половины (52%) успешных атак на организации во втором полугодии 2024 года закончились утечками данных. Наиболее часто жертвами утечек становились госучреждения (13%), промышленность (10%), IT-компании (10%), финансовые организации (8%) и медицинские учреждения (7%).

➡На теневых форумах растет спрос на покупку данных. Отмечено, что во втором полугодии наблюдается существенное увеличение (с 3% до 12%) доли объявлений о покупке информации, причем средняя цена, указанная в таком объявлении, выросла с 600 до 1700 долларов.

➡Вместе с тем в 60% объявлений на тематических площадках данные раздаются бесплатно и только в 28% продаются. Более чем в половине объявлений о продаже (55%) стоимость данных не превышает 1 тыс. долларов, и лишь в 6% объявлений назначена цена более 10 тыс. долларов.

➡Самые высокие цены на теневых ресурсах установлены на данные платежных карт, медицинские данные и исходный код. Средняя цена за набор данных платежных карт — 2500 долларов. Самые низкие цены установлены на персональные данные, средняя цена в объявлениях об их продаже — 835 долларов.

➡Утечки становятся более объемными. На теневых ресурсах доля баз данных, в которых более 100 тыс. строк, выросла с 52% до 56%, а доля наборов данных объемом более 1 ГБ повысилась с 35% до 52%. Это может свидетельствовать об интересе злоумышленников к предприятиям среднего бизнеса.

➡С 10% до 16% выросла доля публикаций, связанных со странами Северной Америки. Регион стал вторым по числу объявлений на теневых площадках, сместив Латинскую Америку на четвертую позицию. США стали лидером в рейтинге отдельных стран по количеству объявлений в дарквебе — их доля составила 15%, что на 6 п. п. больше, чем в первом полугодии.

➡Доля европейских стран, напротив, снизилась на 5 п.п. и во втором полугодии составила 15%. Снизилась также и доля стран СНГ, в том числе России. В связанных с утечками объявлениях на теневых ресурсах во втором полугодии 2024 года она составила всего 4%.

➡В большинстве успешных атак на организации, повлекших за собой утечки данных, использовалось вредоносное ПО (71%) и методы социальной инженерии (60%).

➡В 38% атак на организации с использованием вредоносного ПО, которые закончились утечками данных, были задействованы шифровальщики. Одной из самых агрессивных группировок, требующих выкуп за восстановление и неразглашение данных, во втором полугодии стала RansomHub.

➡️ Полная версия исследования и источник.

#Отчет

• Хороший пример, когда нужно проверять ссылку, файл и сам репозиторий на наличие накрученных звезд: на GitHub нашли зловред под видом бесплатного VPN. На самом деле, таких репо много, но мало кто о них слышит и находит без должной огласки.

• У ребят из Сyfirma вышел объемный отчет, в котором описана схема распространения стилера Lumma через GitHub под видом бесплатного VPN-клиента. Главная цель - заставить жертву запустить файл Launch.exe. После чего начинается процесс заражения, включающий различные методы обхода анализа и обнаружения, чтобы незаметно проникнуть на устройство жертвы.

• Стилер собирает большие объёмы данных с заражённого устройства — от банковских реквизитов из браузеров до файлов криптокошельков, в том числе информацию о системе и установленных программах, а также файлы cookie, имена пользователей и их пароли, номера банковских карт и сведения из журнала подключений. Так что всегда проверяйте то, что скачиваете, даже с авторитетных источников.

➡️ https://www.cyfirma.com/malware-disguised-as-free-vpn

• Кстати, стилер Lumma активен еще с 2022 года и распространялся через фишинг. Потом пошла волна с поддельной CAPTCHA, когда юзер сам вводит команду и заражает свой ПК, а теперь добрались и до GitHub. Если интересно почитать полный разбор этой малвари, то вот тут есть очень содержательная статья: https://securelist.ru/lumma

#Новости #Отчет

• Еще один хороший отчет от экспертов компании Сyfirma. На этот раз был продемонстрирован новый способ заражения устройств на ОС Windows. Речь идет о новом классе атак - RenderShock. В отличие от традиционных схем заражения, RenderShock не требует от пользователя открытия файла, перехода по ссылке или запуска вложения. Активация вредоносного кода происходит пассивно, когда операционная система или служебные компоненты просто обрабатывают файл в фоновом режиме.

• Вектор атаки основан на использовании стандартных функций Windows, таких как панели предпросмотра, службы индексирования, антивирусные сканеры и облачные синхронизаторы. Это именно те инструменты, которые обеспечивают удобство работы с файлами: быстрый поиск, предварительный просмотр, автоматическое сканирование и отображение метаданных.

• Суть RenderShock заключается в следующем: злоумышленник подготавливает файл с внедрённым вредоносным кодом — это может быть PDF-документ с внешней ссылкой, Word-файл с макросом, LNK-ярлык или специально созданный многоформатный объект. Затем файл размещается в ZIP-архиве или другом носителе. Как только он попадает в поле обработки системы — например, при наведении курсора в проводнике, сканировании антивирусом или индексации системой поиска — запускается выполнение вредоносной логики.

• Сценарий RenderShock включает пять фаз — от доставки файла до активации удалённого кода. Среди возможных последствий:

➡Незаметный сбор системной информации через DNS-запросы;
➡Утечка учётных данных через механизмы SMB-аутентификации (включая NTLM-хеши);
➡Удалённое выполнение кода с использованием встроенных функций предпросмотра или системных ярлыков;
➡Передача конфиденциальных данных на внешние ресурсы без уведомления пользователя.
➡Пример, приведённый экспертами: файл с расширением .LNK, помещённый в ZIP-архив, может инициировать обращение Windows Explorer к внешнему серверу за иконкой, что уже приводит к передаче авторизационных данных, даже если пользователь не открыл файл.

• Особая опасность заключается в том, что RenderShock задействует легитимные системные процессы — explorer.exe, searchindexer.exe, preview-handlers Office — которые не вызывают подозрений у антивирусных решений. Такие процессы часто входят в белые списки и считаются безопасными, что позволяет вредоносной активности оставаться незамеченной.

➡️ https://www.cyfirma.com/research/rendershock

#Отчет #Новости

👨‍💻 Взлом eSIM.

• Ребята из Security Explorations нашли уязвимость в технологии eSIM. Объектом стала eUICC‑карта компании Kigen. Эта карта использует Java Card и сертифицирована по стандартам GSMA. В итоге исследователи получили контроль над картой.

• Подобные уязвимости были известны с 2019 года. Проблемы были связаны с байткодом Java Card. Ошибки возникали при работе с типами данных. Эти ошибки были как в реализации Oracle, так и в карте Kigen.

• Security Explorations использовала собственные инструменты, автоматически проверяющие байткод, память, стек и переменные. Эти средства применялись для анализа Kigen и тестов в сетях. Архитектура карты позволяет обходить защиту.

• ИБ‑специалисты провели атаку. Они установили вредоносное Java‑приложение через SMS. Им удалось извлечь закрытый ключ ECC, что дало доступ к eSIM‑профилям разных операторов. В списке были AT&T, Vodafone, Orange, T‑Mobile и другие.

• Украденные профили содержали сетевые настройки, ключи OTA, идентификаторы, Java‑приложения и служебные данные. Некоторые из них можно было изменить и установить заново. Обнаружить кражу профилей или какие‑то изменения сотовый оператор не мог.

• Атака на сеть Orange показала, что можно клонировать eSIM. Дубликат на другом устройстве принимал звонки и SMS. Основной пользователь ничего не получал. Сеть считала доставку успешной. Kigen признала уязвимость и выплатила 30 тысяч баксов исследователям. GSMA изменила спецификацию TS.48. Теперь установка Java‑приложений в тестовых профилях запрещена.

➡️ https://security-explorations.com/esim-security.html

#Отчет #ИБ