【資安週報】2023年11月20日到11月24日

Среди новостей об уязвимостях на этой неделе есть два основных исправления уязвимостей, которые требуют внимания, в том числе исправление основных уязвимостей в промышленной холодильной системе компанией Johnson Controls, исправление основных уязвимостей FortiSIEM компанией Fortinet, а также оборудование для видеонаблюдения и записи изображений (NVR) и маршрутизаторы были обнаружены хакерами с новыми уязвимостями нулевого дня и использованы для распространенияМирО серьезной угрозе со стороны вируса варианта AI JenX компания Akamai, которая в настоящее время раскрывает этот вопрос, сначала предупредила и уведомила соответствующих производителей, а новая версия патча, как ожидается, будет выпущена в декабре.

Кроме того, в начале октября мы сообщили об уязвимости переполнения буфера библиотеки GNU C CVE-10-2023 (Looney Tunables). Недавно мы обнаружили признаки того, что злоумышленники начали использовать эту известную уязвимость. Новостей Information Security Daily на этой неделе еще не было. упомянул об этом. Мы помиримся здесь.

Внутри страны в центре внимания оказались многие инциденты информационной безопасности, все они связаны с котируемыми компаниями.Мы резюмировали их следующим образом:
(11) Впервые за один день произошли два серьезных инцидента информационной безопасности: 20 ноября туристическая индустрия «Lion» и индустрия пластмасс «Sinopec» последовательно опубликовали крупные инциденты информационной безопасности, указав, что они подверглись атаке хакеров. . . Среди них Lion упомянул предупреждение о борьбе с мошенничеством, призванное напомнить пассажирам о том, что данные клиентов могли быть раскрыты. Это второй раз, когда компания объявляет о том, что она была взломана за последние два года. Раскрытие информации Sinopec весьма ограничено и не может предоставить никакой информации. информация для совместной обороны предприятий и организаций.Конкретная и полезная информация.
(20) Dajiang Biomedical опубликовала важную информацию об инциденте информационной безопасности, подтвердив, что информационная система подверглась кибератаке: когда 15-го числа был выпущен последний выпуск еженедельника информационной безопасности, мы первыми сообщили, что биотехнологическая индустрия « «Дацзян» подозревалась во взломе «Охотниками» 22-го числа. В качестве жертвы значилась международная организация, занимающаяся вымогательством. Другие СМИ сообщили об этой новости 11-го числа. Мы также снова позвонили в Дацзян, но до сих пор не получили ответа. Лишь в ноябре 24 февраля (вечер пятницы) Дацзян наконец объявил о них, страдая от кибератак.
(3) Выяснилось, что CyberLink была взломана Microsoft. Северокорейский хакер Lazarus начал атаку на цепочку поставок компании, блокируя новых пользователей ее продуктов Promeo. сайте написано, что в программе установки продукта "Промео" обнаружено вредоносное ПО. Проблему устранили и в дальнейшем обновят сертификат безопасности ПО.
Кроме того, на этой неделе в стране появились сообщения о том, что система регистрации Центральной больницы общего профиля недоступна, информация о записи исчезла, и она подозревается в атаке со стороны сети.Судебный юань также опубликовал новое объяснение утечки информации. данных судебного решения.

С точки зрения угроз и инцидентов информационной безопасности наибольшего внимания заслуживают угрозы и тенденции, связанные с программами-вымогателями.
●Что касается вреда программы-вымогателя Rhysida, CISA США,FBЯ и MS-ISAC совместно выпустили предупреждение, в котором говорится, что его атаки в основном нацелены на образование, медицину, производство, информационную индустрию и государственный сектор. Эта общедоступная информация раскрывает TTP и IoC, используемые программой-вымогателем, что позволяет предприятиям понять ее стратегии и методы атак, а также различные меры по смягчению последствий.
●Что касается новых тенденций в области программ-вымогателей BlackCat, некоторые эксперты отрасли информационной безопасности отметили, что недавние新手Раздел находится вGoogleРекламируйте под видом предложения известных приложений, таких как Advanced. IP Scanner, Slack, WinSCP), заманивающих интернет-пользователей подключаться к фишинговым сайтам и загружать программное обеспечение, имплантированное вредоносной программой Nitrogen.
●Видео-вымогатель Phobos появился снова, и исследователи безопасности сообщили, что недавно они атаковали сообщество безопасности VX-Underground.
●Угроза со стороны группы хакеров-вымогателей Play может усилиться.Недавно сотрудники службы безопасности сообщили, что организация предлагает свои инструменты в аренду, пытаясь привлечь к себе новых бандитов.

С точки зрения новых методов атак и других важных угроз, мы считаем, что наиболее примечательным является новый метод программного обеспечения для кражи активов Lumma и использование сжатых файлов для запуска атак.
●Чтобы избежать обнаружения, программа для кражи активов Lumma использует траектории мыши для идентификации операций реального человека перед выполнением программы для кражи активов. Другой исследователь информационной безопасности даже сообщил, что разработчики Lumma заявили, что могут восстановить данные.GoogleНа этапе подключения аккаунта аккаунт жертвы оказывается в заложниках.
"Необходимо обратить внимание на использование сжатых файлов для распространения вредоносного ПО. На этой неделе произошло три подобных инцидента. Прежде всего, сотрудники посольства должны обратить на это внимание. Российский хакер APT29 предназначался для многих сетевых атак европейских посольств и запустил WinR.ARАтаки на уязвимости, то пользователи криптовалюты должны знать, что хакерская группа DarkCasino нацелена на этих пользователей, используя уязвимость WinRAR, а программа для кражи денег Agent Tesla недавно использовала формат ZPAQ, чтобы уменьшить большие файлы размером 1 ГБ до размера всего 6 КБ. , возможно, чтобы избежать антивирусной проверки.
●Разработчикам Python также следует обратить внимание. Индустрия информационной безопасности обнаружила, что за последние шесть месяцев хакеры запустили 27 пакетов PyPI, имитирующих известные пакеты, а также используют изображения PNG, чтобы скрыть свои намерения атаковать.

Наконец, есть два открытия хакерских тенденций на государственном уровне, которые заслуживают внимания.предупреждение, в том числе: китайская хакерская организация Mustang Panda атаковала военные подразделения в странах Юго-Восточной Азии. Хакеры сделали вид, что предоставили Solid PDF Creator,ИндонезияАнтивирусное программное обеспечение Smadav использует эти приложения для загрузки вредоносных программ, а российский хакер Gamaredon нацелен на украинские организации и распространяет USB-червя LitterDrifter.

[11 ноября] За последние шесть месяцев хакеры распространили более 20 вредоносных пакетов PyPI, используя изображения PNG для сокрытия намерений атаки.Жертвами стали разработчики в США, Китае и Франции.

Атаки на разработчиков в последнее время участились, и появляются все более изощренные методы. Например, код атаки спрятан в определенном модуле вредоносного пакета. Как только разработчик установит пакет в соответствии с инструкциями, вредоносный код не сразу Выполнение, но дождитесь вызова конкретной функции, прежде чем она будет загружена вместе.

Подобные методы недавно появились и в других новых методах, таких как атака вредоносного пакета PyPI, раскрытая охранной компанией Checkmarx. Злоумышленники пытаются спрятать вредоносный код во внешних PNG-изображениях, в результате чего сам пакет PyPI выглядит безобидным.

[11 ноября] Китайская хакерская организация Mustang Panda атаковала Юго-Восточную Азию и провела несколько фишинговых атак, предположительно связанных с военным конфликтом на Филиппинах в августе.

В первой половине этого года часты были атаки китайской хакерской организации Mustang Panda.Цели этих хакеров были связаны с войной на Украине, и большинство из них были нацелены на европейские страны, которые помогали стране.

Но во второй половине года эти хакеры начали менять свои цели и снова сосредоточили свои атаки на странах Юго-Восточной Азии, которые они ранее преследовали. Например, нападения, произошедшие в августе, были направлены на страны Юго-Восточной Азии. Исследователи предположили, что эта волна атак была в основном связана с конфликтом на Филиппинах.

[11 ноября] Программа-вымогатель Phobos использовала имя сообщества информационной безопасности для атак на компьютеры Windows и проведения атак, утверждая, что жертвам необходимо восстановить файлы сообщества.

Атаки программ-вымогателей происходят часто. В сегодняшних новостях есть три таких инцидента безопасности. Среди них наиболее примечательной частью является то, что хакер заявил, что является известной охранной организацией. Очевидно, чтобы дискредитировать их, они намерены спровоцировать и разделить все сообщество и ослабить общие силы обороны.

Стоит отметить, что при совершении преступлений эти хакеры не только похищали название организации, но и высмеивали ее посредством вымогательских сообщений и даже просили жертв купить книги, написанные охранной организацией.

[11 ноября] CyberLink подверглась атаке северокорейских хакеров на цепочку поставок. Хакеры разместили вредоносное ПО на серверах обновлений компании. Жертвы появились на Тайване и во многих странах.

Что касается атак на цепочки поставок тайваньских производителей, большое внимание привлек инцидент со взломом сервера обновлений Asus, произошедший четыре года назад. использовать его для обновления инфраструктуры и распространения вредоносных программ.

Группа по анализу угроз Microsoft раскрыла атаку, направленную на тайваньского разработчика мультимедийных приложений CyberLink с конца октября.Хакеры подделали установочные файлы программного обеспечения компании и загрузили их на сервер обновлений CyberLink.Что касается целей злоумышленника, то это еще предстоит уточнить.

【11 марта】МирВарианты ботнетов с искусственным интеллектом заражают маршрутизаторы и устройства сетевого видеонаблюдения NVR. Предполагается, что уязвимость нулевого дня, используемая злоумышленниками, связана с предустановленными слабыми паролями.

БотнетМирВремя от времени сообщалось об атаках ИИ, нацеленных на устройства Интернета вещей (IoT), но недавние инциденты безопасности, раскрытые исследователями, весьма привлекательны, поскольку они не раскрывают модель устройства, на которое нацелены хакеры, а только тип сети. устройство видеонаблюдения (NVR), небольшой роутер.

Стоит отметить, что все вышеупомянутые устройства имеют уязвимости нулевого дня, и исследователи обнаружили, что вредоносный код, используемый злоумышленниками, включал имена учетных записей и пароли по умолчанию для этих устройств. Эти признаки также показывают, что злоумышленники могут использовать эти каналы для получения контроля.