Повышение активности хакеров из России и Китая – новый отчет Trellix

Компания Trellix опубликовала отчёт "The CyberThreat Report: June 2024", в котором собрана глубокая аналитика ландшафта киберугроз за последние полгода. 
Вот некоторая интересная информация из отчёта: 
● Кибератаки из Китая и России: Группы, связанные с Китаем, такие как Volt Typhoon, генерируют 68,3% всех зафиксированных угроз, причем 23% их активности направлено на глобальный правительственный сектор. Российская группа Sandworm увеличила свою активность на 40% по сравнению с предыдущим периодом. ● Изменения в экосистеме программ-вымогателей: Атаки вымогателей чаще всего направлены на транспортный и финансовый секторы. Наблюдается появление подражателей группы LockBit после действий правоохранительных органов против неё. ● Уклонение от обнаружения EDR: Инструмент уклонения под названием "Terminator" использовали в январе 2024 года, нацеливаясь в основном на телекоммуникационный сектор Украины в контексте российского вторжения в Украину. ● Использование искусственного интеллекта: в даркнете был обнаружен инструмент ChatGPT 4.0 Jabber, позволяющий злоумышленникам использовать генеративный ИИ в своих операциях и обучаться у других киберпреступников. 
Читать полный отчет: https://www.trellix.com/advanced-research-center/threat-reports/june-2024/ 

Рубрика «Пора обновиться»

Microsoft
● Общее количество уязвимостей: 51 (меньше по сравнению с прошлым месяцем)  ● Критических уязвимостей: 1 (CVE-2024-30080)  ● Существенные уязвимости:  - CVE-2024-30080 (MSMQ): Использует уязвимость After Free, что делает возможным удаленное выполнение кода с оценкой CVSS 9.8. Влияет, если включена служба Windows Message Queuing Service.  - CVE-2024-30101 (Microsoft Office 2016): Использует уязвимость After Free, CVSS 7.5, которую можно эксплуатировать через вредоносное электронное письмо.  - CVE-2024-30104 (Microsoft Office): Недостаток неправильного разрешения ссылок, CVSS 7.8, требует вмешательства пользователя.  - CVE-2024-30102 (Microsoft 365): Использует уязвимость After Free, CVSS 7.3, которую можно эксплуатировать с помощью социальной инженерии.  - CVE-2024-30103 (Microsoft Outlook): Неполный список запрещенных входных данных, CVSS 8.8, который можно использовать через вредоносные DLL-файлы. - CVE-2024-30072 (Event Trace Log File Parsing): Целочисленное переполнение, CVSS 7.8, эксплуатируется через вредоносный файл.  
Google Chrome
● Версия: 125  ● Критические уязвимости:  - CVE-2024-4947: Тип путаницы в активно используемом JavaScript-двигателе V8.  - CVE-2024-4948: Использование после освобождения памяти в Dawn (реализация WebGPU). - CVE-2024-5274: Тип путаницы в JavaScript-двигателе V8, еще одна активно используемая уязвимость нулевого дня.  
Mozilla FireFox
● Версия: 126  ● Общее количество уязвимостей: 21  ● Критические уязвимости:  - CVE-2024-4764: Использование после освобождения памяти в потоках WebRTC.  - CVE-2024-4367: Выполнение JavaScript-кода через собственные шрифты в браузере PDF.  
PHP 
Уязвимость: CVE-2024-4577 
Воздействие: Удаленное выполнение кода через PHP CGI, обходит патч CVE-2012-1823.  
Исправлены версии: 8.3.8, 8.2.20, 8.1.29  
Azure 
● Уязвимость: Высокая строгость в служебных тегах (подобно SSRF).  ● Воздействие: Потенциальное разглашение личной информации.  ● Сервисы под угрозой: Includes Application Insights, DevOps, Machine Learning, Logic Apps и другие.  ● Рекомендации: Внедрить дополнительные уровни аутентификации и авторизации.  
GitHub
● Уязвимость: CVE-2024-4985 ● Влияние: Позволяет неавторизованному злоумышленнику получить административные привилегии на сервере Enterprise Server.  ● Версии под угрозой: До 3.13.0 с использованием SAML SSO с зашифрованными утверждениями.  ● Исправлены версии: 3.9.15, 3.10.12, 3.11.10, 3.12.4