Google Calendar: нова загроза кібербезпеці
Зловмисники, які раніше орендували або самостійно створювали інфраструктуру для своїх операцій, тепер вважають за краще використовувати легальні хмарні сервіси. До їхнього списку тепер входить Google Calendar. Хакери використовують хмарний календар для доставки шкідливих програм, віддаленого управління зараженими робочими станціями й викрадення даних. Компанія Mandiant виявила підвищену увагу до цього методу атаки на підпільних форумах, що свідчить про інтерес, що зберігається, до використання Google Calendar у зловмисних цілях.
Способи захисту, які пропонує Google:
● Використання комплексної архітектури безпеки дасть змогу знизити ризики, навіть якщо зловмисники зможуть обійти деякі засоби контролю, наприклад, під час використання вищезазначених хмарних сервісів. ● Використання системи виявлення вторгнень (IDS) і засобів мережевого моніторингу для виявлення трафіку C2 на рівні додатків, мережі або навіть крадіжки даних. ● Сегментування мережі, щоб знизити ймовірність отримання противником доступу до додаткових ресурсів у вашому середовищі. ● Розробка базових параметрів мережевого трафіку і моніторинг підключень до хмарних сервісів, за допомогою яких захисники можуть виявляти малопоширені та/або аномальні дії. Впровадження надійного централізованого логування подій безпеки та регулярне відстеження аномальної поведінки середовища. Джерело
Особливості атак на телекомунікаційних провайдерів
CERT-UA повідомляє, що протягом 2023 року російська хакерська група Sandworm* (UAC-0165) провела серію атак на українські телекомунікаційні компанії, які призвели до перебоїв у наданні послуг клієнтам.
Щоб отримати доступ до систем своїх цілей, хакери використовували відкриті порти, незахищені інтерфейси RDP і SSH, а також скомпрометовані облікові записи VPN, які не були захищені багатофакторною автентифікацією. У деяких випадках вони також експлуатували відомі вразливості в цільових системах.
*Sandworm, що діє з початку 2000-х років, є підрозділом Головного управління розвідки Російської Федерації (ГРУ РФ).
Найголовніші, на нашу думку, рекомендації щодо захисту від CERT-UA:
● Варто зменшити кількість інформаційних систем і сервісів, доступних із мережі інтернет. ● Доступ до корпоративних ресурсів, особливо VPN і MAIL, має передбачати використання двофакторної аутентифікації. ● Віддалений доступ і особливо доступ до інтерфейсів адміністрування серверного та мережевого обладнання має бути дозволений для конкретних користувачів з певних IP-адрес. ● Запуск додатків, зокрема легітимних утиліт (наприклад, wscript.exe, cscript.exe, mshta.exe, powershell.exe), має бути заборонений для звичайних користувачів і суворо контролюватися.
Повне дослідження методів атак від CERT-UA
Проросійське APT-угруповання використовує нову вразливість для обходу функції безпеки Microsoft
У липні 2023 року фахівці UNIT42 проаналізували кампанію, спрямовану на групи, що підтримують вступ України до НАТО, і виявили нову вразливість для обходу засобу захисту Microsoft Mark-of-the-Web (MotW). Ця активність була асоційована з проросійським APT-угрупованням, відомим як Storm-0978.
Для зараження своїх цілей шкідливим ПЗ зловмисники використовували складний і добре опрацьований ланцюжок експлойтів через вразливість віддаленого виконання коду (RCE) у Microsoft Office, позначену як CVE-023-36884.
Приманкою для цих атак став документ Microsoft Word, замаскований під тези для учасників саміту НАТО в липні 2023 року, на якому обговорювали вступ України до НАТО. У цій статті детально розглянуто шкідливий файл, а також надано технічну інформацію про ланцюжок експлойтів атаки, який досі не обговорювався публічно:
https://unit42.paloaltonetworks.com/new-cve-2023-36584-discovered-in-attack-chain-used-by-russian-apt/
Щомісячний огляд кіберзагроз від Picus Security
Дослідження Picus Security проводяться впродовж усього місяця з використанням різноманітних ресурсів, зокрема платформ для збору даних про загрози та шкідливі програми, блогів, баз експлойтів, пісочниць і мережевих даних. Команда Picus використовує весь цей масив інформації, щоб надати цілісне уявлення про кіберзагрози, приділяючи особливу увагу аналізу кампаній з розповсюдження шкідливого ПЗ, атакам APT-угруповань, а також новим зразкам шкідливого ПЗ. Вивчивши щомісячний звіт про загрози, ви зможете визначити, які загрозливі суб'єкти або шкідливі програми можуть мати потенційний вплив на ваш сектор, визначити, чи є ваша країна об'єктом особливої уваги, а також зрозуміти, чи пов'язаний сплеск активності загроз із геополітичними подіями.
https://www.picussecurity.com/resource/blog/october-2023-key-threat-actors-malware-and-exploited-vulnerabilities