Google Calendar: новая угроза кибербезопасности

Злоумышленники, которые раньше арендовали или самостоятельно создавали инфраструктуру для своих операций, теперь предпочитают использовать легальные облачные сервисы. В их список теперь входит Google Calendar.

Хакеры используют облачный календарь для доставки вредоносных программ, удаленного управления зараженными рабочими станциями и похищения данных.

Компания Mandiant обнаружила повышенное внимание к данному методу атаки на подпольных форумах, что свидетельствует о сохраняющемся интересе к использованию Google Calendar в злонамеренных целях. 

Особенности атак на телекоммуникационных провайдеров

CERT-UA сообщает, что в течение 2023 года российская хакерская группа Sandworm* (UAC-0165) провела серию атак на украинские телекоммуникационные компании, которые привели к перебоям в предоставлении услуг клиентам.

Чтобы получить доступ к системам своих целей, хакеры использовали открытые порты, незащищенные интерфейсы RDP и SSH, а также скомпрометированные учетные записи VPN, которые не были защищены многофакторной аутентификацией. В некоторых случаях они также эксплуатировали известные уязвимости в целевых системах. 
*Sandworm, действующая с начала 2000-х годов, является подразделением Главного управления разведки Российской Федерации (ГРУ РФ).

Пророссийская APT-группировка использует новую уязвимость для обхода функции безопасности Microsoft

В июле 2023 года специалисты UNIT42 проанализировали кампанию, направленную на группы, поддерживающие вступление Украины в НАТО, и обнаружили новую уязвимость для обхода средства защиты Microsoft Mark-of-the-Web (MotW). Эта активность была ассоциирована с пророссийской APT-группировкой, известной как Storm-0978.

Для заражения своих целей вредоносным ПО, злоумышленники использовали сложную и хорошо проработанную цепочку эксплойтов, использующих уязвимость удаленного выполнения кода (RCE) в Microsoft Office, обозначенную как CVE–023–36884.

Приманкой для этих атак стал документ Microsoft Word, замаскированный под тезисы для участников саммита НАТО в июле 2023 года, на котором обсуждалось вступление Украины в НАТО.

В данной статье подробно рассмотрен вредоносный файл, а также предоставлена техническая информация о цепочке эксплойтов атаки, которая до сих пор не обсуждалась публично:

https://unit42.paloaltonetworks.com/new-cve-2023-36584-discovered-in-attack-chain-used-by-russian-apt/

Ежемесячный обзор киберугроз от Picus Security

Исследования Picus Security проводятся в течение всего месяца с использованием разнообразных ресурсов, включающих платформы для сбора данных об угрозах и вредоносных программах, блоги, базы эксплойтов, песочницы и сетевые данные. Команда Picus использует весь этот массив информации, чтобы предоставить целостное представление о киберугрозах, уделяя особое внимание анализу кампаний по распространению вредоносного ПО, атакам APT-группировок, а также новым образцам вредоносного ПО.

Изучив ежемесячный отчет об угрозах, вы сможете определить, какие угрожающие субъекты или вредоносные программы могут оказать потенциальное воздействие на ваш сектор, определить, является ли ваша страна объектом особого внимания, а также понять, связан ли всплеск активности угроз с геополитическими событиями.

https://www.picussecurity.com/resource/blog/october-2023-key-threat-actors-malware-and-exploited-vulnerabilities