Мир за неделю: отчёты, атаки, расследования

ФБР опять взломали, ирландские компании скрывают кибератаки, исследователи безопасности обнаружили новый вредоносный тип бэкдора, Samsung защитит от атак с нулевым щелчком.

 

Новое вредоносное ПО может установить бэкдор, просто отправив HTTP-запрос

Вредоносное программное обеспечение, получившее название Frebniis, найдено исследователями Symantec Threat Hunter Team. Оно было использовано неизвестным злоумышленником против целей на Тайване.

Техника, используемая Frebniis, включает внедрение вредоносного кода в память DLL-файла (iisfreb.dll), связанного с функцией IIS, которая применяется для устранения неполадок и анализа неудачных запросов. Это позволяет вредоносной программе скрытно отслеживать все HTTP-запросы, распознавать HTTP-запросы, отправленные злоумышленником, и удаленно выполнять код.

Чтобы использовать метод, злоумышленнику необходимо получить доступ к системе Windows, на которой работает сервер IIS. Каким образом в рассматриваемом случае был взломан сервер IIS и получен доступ к системе, не уточняется.

Перехватывая и изменяя код веб-сервера IIS, Frebniis может перехватывать обычный поток обработки HTTP-запросов и искать специально отформатированные HTTP-запросы. Они позволяют скрытно выполнять удаленное выполнение кода и проксировать внутренние системы. Отследить работу вредоноса затруднительно, поскольку он не создает новых файлов, не запускает подозрительных процессов в системе, что делает Frebniis относительно уникальным и редким типом бэкдора HTTP.

 

ФБР США проводит расследование киберинцидента в своей сети

Как сообщает CNN со ссылкой осведомленные источники, подозрительная киберактивность в сети обнаружена в нью-йоркском офисе ФБР в системе, которая использовалась для расследования сексуальной эксплуатации детей.

Агентство изучает инцидент и оценивает все масштабы злонамеренной деятельности и ее возможные причины. Единичный инцидент удалось локализовать. Расследование продолжается, поэтому представители ФБР не дают комментариев.

В ноябре 2021 г. сообщалось о кибератаке на агентство, в результате которого киберпреступники использовали его почтовые серверы для распространения спама под видом предупреждений ФБР о цепных атаках злоумышленников.

 

Кибербезопасность: общественный долг или личное дело компании?

Комиссия по защите данных ЕС (DPC) подтвердила, что за последний год было совершено более 200 кибератак на ирландские компании, в ходе которых хакеры получили доступ к личным данным или украли их. Подробности инцидентов неизвестны. Заместитель комиссара по данным DPC Грэм Дойл сказал, что все случаи были отдельными нарушениями, о которых Комиссия была извещена в соответствии с законами об отчетности GDPR.

Эта информация появилась всего через неделю после того как стало известно об атаке на системы Мюнстерского технологического университета. В результате инцидента было похищено и зашифровано порядка 10 Гб информации, в т. ч. персональные данные. В настоящее время проводится не только устранение последствий атаки, но и изучение причин инцидента. Если будет установлено, что сети университета не были должным образом защищены, ему грозит штраф в размере до €1 млн и проведение обязательных мероприятий по обеспечению защиты данных.

Предполагается, что атака была осуществлена российской хакерской группой, известной как BlackCat. Хакеры могли проникнуть в системы университета через уязвимости программы для виртуальных рабочих столов ESXi VMware, которая дает возможность входа в систему через облако.

7 февраля Национальный центр кибербезопасности Ирландии выпустил глобальное предупреждение об уязвимостях ESXi VMware.

Генеральный директор компании BH Consulting, предоставляющей услуги в области ИБ, и бывший советник Европола по кибербезопасности Брайан Хонан отмечает, что каждый из 200 инцидентов требует расследования со стороны DPC. Однако происходит много нарушений, о которых даже не сообщается. Компании не понимают, что по закону обязаны сообщать о нарушениях в соответствии с GDPR, либо не считают нужным оповещать кого-то о взломе и решают проблемы сами, продолжая заниматься бизнесом. Важным фактором является финансирование ИБ, и компании часто выбирают наименее затратное решение. «Многим организациям необходимо подумать о своем общественном долге и вкладывать больше денег в надежную ИТ-инфраструктуру. Кибербезопасность должна быть частью этих инвестиций», — отмечает Хонан.

Он считает, что хотя киберпреступники стали более изощренными в своих методах, большинство инцидентов связаны с тем, что люди открывают зараженные вложения электронной почты или не обновляют ПО до последних версий.

 

Пользователь узнает об атаке первым

Компания Samsung объявила, что ее новая линейка смартфонов и Message Guard защитят пользователей от атак с нулевым щелчком.

Выпущенный вместе с новой линейкой смартфонов Galaxy S23, новый Message Guard от Samsung предоставляет пользователям защиту от атак с нулевым щелчком. Атаки с нулевым щелчком — это форма вредоносной атаки, часто встречающаяся в файлах изображений, которая использует существующие уязвимости в программном обеспечении и запускает вредоносное ПО без каких-либо действий пользователя. Поэтому даже самый опытный пользователь и его гаджет находятся в опасности.

Message Guard идентифицирует файл изображений, полученный пользователем, и изолирует его от остальной части устройства до тех пор, пока не проверит на безопасность в контролируемой среде. Программное обеспечение работает в фоновом режиме, его не нужно включать.

Message Guard основывается на платформе Knox Security и обеспечивает комплексную защиту на всех уровнях аппаратного и программного обеспечения, а также обнаружение угроз в реальном времени. ПО работает с файлами PNG, JPG, JPEG, GIF, ICO, WEBP, BMP и WBMP, первоначально было развернуто только для устройств Samsung Galaxy S23, вышедших на днях. В настоящее время он работает только в мессенджерах Samsung и Google Messages.

Samsung планирует сделать Message Guard доступным для устройств с версией One UI версии 5.1 или выше и обновит его для работы со сторонними приложениями для обмена сообщениями в будущем, пишет Cyber Security Connect.

20 февраля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

31.03.2023
Схема, о которой сообщил ВТБ, — это классика мошенничества
31.03.2023
1 апреля в России начнут выдавать пенсии цифровым рублём. И это не шутка
31.03.2023
«Сталинград и криптографический фронт»
31.03.2023
«Госуслуги» навсегда. Портал отключил функцию удаления аккаунта после новостей об электронных повестках
31.03.2023
Хакеры, у которых изъяли криптовалюту на миллиард рублей, получили условные сроки
31.03.2023
«Правительство продолжает работу по обеспечению технологического суверенитета»
31.03.2023
Италия запретила ChatGPT собирать данные пользователей
30.03.2023
Рост цен на ПО: отсутствие конкуренции или издержки производителей?
30.03.2023
Фишинговая активность преодолела спад, вызванный внешнеполитической ситуацией
30.03.2023
Фишинг пришёл за налогами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных