Підвищення активності хакерів з росії та Китаю – новий звіт Trellix

Компанія Trellix опублікувала звіт "The Cyber Threat Report: June 2024", у якому зібрана глибока аналітика ландшафту кіберзагроз за останні пів року. 
Ось трохи цікавої інформації зі звіту: 
● Кібератаки з Китаю та росії: Групи, пов'язані з Китаєм, як-от Volt Typhoon, генерують 68,3% усіх зафіксованих загроз, причому 23% їхньої активності спрямовано на глобальний урядовий сектор. Російська група Sandworm збільшила свою активність на 40% порівняно з попереднім періодом. ● Зміни в екосистемі програм-вимагачів: Атаки вимагачів найчастіше спрямовані на транспортний і фінансовий сектори. Спостерігається поява наслідувачів групи LockBit після дій правоохоронних органів проти неї. ● Ухилення від виявлення EDR: Інструмент ухилення під назвою "Terminator" використовували в січні 2024 року, націлюючись переважно на телекомунікаційний сектор України в контексті російського вторгнення в Україну. ● Використання штучного інтелекту: У даркнеті було виявлено інструмент ChatGPT 4.0 Jabber, що дає змогу зловмисникам використовувати генеративний ШІ у своїх операціях і навчатися в інших кіберзлочинців. 
Читати повний звіт: https://www.trellix.com/advanced-research-center/threat-reports/june-2024/

Рубрика «Час оновитися»

Microsoft
● Загальна кількість вразливостей: 51 (зменшення порівняно з минулим місяцем) ● Критичних вразливостей: 1 (CVE-2024-30080) ● Суттєві вразливості: - CVE-2024-30080 (MSMQ): Використовує вразливість After Free, що дозволяє віддалене виконання коду з оцінкою CVSS 9.8. Впливає, якщо увімкнена служба Windows Message Queuing Service. - CVE-2024-30101 (Microsoft Office 2016): Використовує вразливість After Free, CVSS 7.5, яку можна експлуатувати через шкідливий електронний лист. - CVE-2024-30104 (Microsoft Office): Недолік неправильної роздільної здатності посилань, CVSS 7.8, вимагає втручання користувача. - CVE-2024-30102 (Microsoft 365): Використовує вразливість After Free, CVSS 7.3, яку можна експлуатувати за допомогою соціальної інженерії. - CVE-2024-30103 (Microsoft Outlook): Неповний список заборонених вхідних даних, CVSS 8.8, який можна використати через шкідливі DLL-файли - CVE-2024-30072 (Event Trace Log File Parsing): Цілочисельне переповнення, CVSS 7.8, експлуатується через шкідливий файл. 
Google Chrome
● Версія: 125 ● Критичні вразливості: - CVE-2024-4947: Тип плутанини в JavaScript-двигуні V8, який активно використовується. - CVE-2024-4948: Використання після звільнення пам'яті в Dawn (реалізація WebGPU). - CVE-2024-5274: Тип плутанини в JavaScript-двигуні V8, ще одна вразливість нульового дня, яка активно використовується. 
Mozilla Firefox
● Версія: 126 ● Загальна кількість вразливостей: 21 ● Критичні вразливості:: - CVE-2024-4764: Використання після звільнення пам'яті в потоках WebRTC. - CVE-2024-4367: Виконання JavaScript-коду через власні шрифти в переглядачі PDF. 
PHP 
● Вразливість: CVE-2024-4577 ● Вплив: Віддалене виконання коду через PHP CGI, обходить патч CVE-2012-1823. ● Виправлені версії: 8.3.8, 8.2.20, 8.1.29 
Azure
● Вразливість: Висока строгість у службових тегах (подібно до SSRF). ● Вплив: Потенційне розголошення особистої інформації. ● Сервіси під загрозою: Includes Application Insights, DevOps, Machine Learning, Logic Apps, та інші. ● Рекомендації: Впровадити додаткові рівні автентифікації та авторизації. 
GitHub
● Вразливість: CVE-2024-4985 ● Вплив: Дозволяє неавторизованому зловмиснику отримати адміністративні привілеї на сервері Enterprise Server. ● Версії під загрозою: До 3.13.0 з використанням SAML SSO з зашифрованими твердженнями. ● Виправлені версії: 3.9.15, 3.10.12, 3.11.10, 3.12.4