Naujienlaiškis | 2024 Liepa

Mieli skaitytojai,

su jumis sveikinasi liepos mėnesio Kibernetinio saugumo ekspertų asociacijos naujienlaiškis. Malonaus skaitymo!

KSEA komanda

---

Birželio ir liepos mėnesiais nustatyti nauji didelės svarbos pažeidžiamumai ir bendros kibernetinės saugos tendencijos

Parengė KSEA Narys

Jonas

Vaitkevičius

Birželį ir liepą forumuose ir tamsiajame internete linksniuojamų pažeidžiamumų TOP10

Pažeidžiamumai atrinkti remiantis kompanijos SOS intelligence bloge skelbiamu „Pokalbių apie CVE savaitraščiu“, pagal pasikartojimo dažnumą, CVSS grėsmės lygio įvertį, produkto populiarumą.

1. CVE-2024-22476 (Intel Neural Compressor software) – 10.0 Kritinis

2. CVE-2024-3094 (XZ-Utils Backdoor) – 10.0 Kritinis

3. CVE-2024-38366 (trunk.cocoapods.org CoacoaPods) – 10.0 Kritinis

4. CVE-2023-41265 (Qlik Sense Enterprise for Windows) – 9.9 Kritinis

5. CVE-2024-3912 (Asus routers) – 9.8 Kritinis

6. CVE-2024-4577 (PHP) – 9.8 Kritinis

7. CVE-2024-5806 (Progress MOVEit Transfer) – 9.1 Kritinis

8. CVE-2024-32002 (GitHub) – 9.0 Kritinis

9. CVE-2024-6387 (OpenSSH) – 8.1 Aukštas

10. CVE-2018-17144 (Bitcoin core) – 7.5 Aukštas

Jei naudojate vieną iš pažeidžiamų produktų, rekomenduojame nedelsiant - dar prieš išlekiant atostogauti - atnaujinti versiją ar surasti alternatyvią saugumo priemonę, mat įprastai didelis susidomėjimas pažeidžiamumais siejasi su planuojamomis atakomis.

Ataskaitos, įdomybės ir didesni kibernetiniai incidentai įvykę birželio-liepos mėnesiais

• Birželio 26-tąją TeamViewer pranešė apie neteisėtos prieigos incidentą, susijusį su IT infrastruktūra, kuriuo apkaltintas APT29 / Midnight Blizzard. Pažeidimas paveikė tik TeamViewer IT infrastruktūrą: po incidento vykusio tyrimo metu (kol kas) nenustatyta, kad įsibrovėliams pavyko prisijungti prie klientų aplinkų.

• „Microsoft“ atskleidė, kad Rusijos kibernetiniai nusikaltėliai, įvardinti kaip Kremliaus šnipai, išplėtė savo ankstesnių pažeidimų apimtį. Iš pradžių buvo manyta, kad įvykis susijęs su Microsoft vadovybės el. laiškų bei JAV vyriausybės duomenų vagyste, visgi paaiškėjo, kad vagystė apima didesnį kiekį laiškų nei teigta.

• Per niokojančią išpirkos reikalaujančių programų ataką British Library patyrė didelę duomenų vagystę ir paslaugų sutrikdymą dėl pažeistų privilegijuotų paskyrų. Įvykis, kainavęs 7 milijonus svarų atkūrimo išlaidų, išryškina senosios infrastruktūros pažeidžiamumą ir pabrėžia patikimų saugumo priemonių, įskaitant kelių veiksnių autentifikavimą, svarbą.

• 2024 birželio mėnesį pasirodžiusioje Barracuda Networks ataskaitoje pabrėžiamas išaugęs socialinės inžinerijos atakų sudėtingumas, pastebimas teisėtų paslaugų naudojimas darbuotojų apgaudinėjimui. Gmail tapo labiausiai išnaudojama el. pašto platforma, sudaranti 22% atakų per pastaruosius metus, dauguma jų (virš 50%) buvo skirtos verslo el. pašto kompromitavimui (BEC).

  Kitos dažnai naudojamos nemokamos el. pašto paslaugos: Outlook (2%), Hotmail (1%), iCloud (1%), ir Mail.com (1%). Palyginimui, visi kiti domenai sudarė 73% atakų. Be to, sukčiavimas sudarė 43% Gmail atakų 2023 metais.

  Ataskaitoje pabrėžiama, kad nusikaltėliai vis dažniau naudoja populiarias komercines URL trumpinimo paslaugas, siekiant užmaskuoti kenkėjiškas nuorodas. bit.ly buvo naudojama  dažniausiai (beveik 40% atakų), po to X (buvęs Twitter) (16%).
  Tyrimas taip pat atskleidė didelį poveikį organizacijoms: daugiau nei 92% patyrė vidutiniškai po šešis prisijungimo duomenų kompromitavimo atvejus dėl el. pašto socialinės inžinerijos atakų.
  2023 m. sukčiavimas ir fišingas sudarė 86% visų socialinės inžinerijos atakų. Šie duomenys pabrėžia, kaip svarbu organizacijoms išlikti budrioms ir stiprinti saugumo priemones, nes užpuolikai toliau tobulina taktikas, naudodamiesi žinomomis ir plačiai naudojamomis patikimomis paslaugomis, siekdami apgauti naudotojus ir kompromituoti prisijungimo duomenis.

• Liepos mėnesį pasirodė kompanijos „Cyfirma“ atlikta ransomware „DragonForce“ analizė. Tai 2024 m. viduryje aptiktas išpirkos reikalaujantis virusas, kuris užšifruoja failus, juos pervadina ir palieka išpirkos raštelį. Virusas taikosi į įvairias pramonės šakas ir šalis, daugiausia naudojančias "Windows" operacines sistemas ir naudoja įvairias taktikas, įskaitant apsaugą nuo aptikimo, teisių išplėtimą ir kredencialų vagystę. Užpuolikai naudoja sudėtingas technikas, tokias kaip WMI iškvietimai ir registro manipuliavimas, siekdami išlaikyti kontrolę ir trukdyti duomenų atkūrimui. Jie grasina paviešinti pavogtus failus, jei aukos neįvykdys jų reikalavimų. Šiuo metu šis virusas pagrinde taikosi į Šiaurės Amerikos, Australijos ir centrinės Europos kompiuterių naudotojus. "CYFIRMA" prognozuoja, kad "DragonForce" gali išplėsti savo atakas į kitus pietryčių Azijos regionus, tobulindamas savo maskavimo metodus ir naudodamas pažangius išlikimo mechanizmus.

• Liepos 22 dieną „The Hacker news“ portale paskelbtas straipsnis nagrinėjantis Huntress tyrėjų atliktą SocGholish kenksmingo programinio kodo tyrimą. Apsimesdama naršyklės atnaujinimais, kenkėjiška programa „SocGholish“ platina nuotolinės prieigos trojaną „AsyncRAT“ ir kartu įdiegia atvirojo kodo projektą BOINC. BOINC yra savanoriško skaičiavimo platforma, kurią užpuolikai galimai naudoja kaip komandų ir kontrolės (C2) serverį, kad rinktų pagrindinio kompiuterio duomenis, perduotų kenkėjišką programinę įrangą ir vykdytų tolesnes komandas. Manoma, kad užkrėsti kompiuteriai gali būti parduoti kitiems nusikaltėliams kaip pradinės prieigos vektoriai - galbūt ransomware atakoms vykdyti. Įdomu tai, kad užpuolikai pasinaudojo teisėta BOINC platforma, kad nuslėptų savo kenkėjišką veiklą. Paveiksliuke Huntress tyrėjai pavaizdavo šio kenksmingo programinio kodo užkrėtimo ir tolimesnio komunikavimo grandinę.

Naujais nemokamais mokymais papildyta NKSC Mokymų platforma

Balandžio mėnesio KSEA naujienlaiškyje minėjome apie NKSC mokymų platformą https://mokymai.nksc.lt/.

Tąkart platformoje buvo pasiekiami tik Kibernetinės higienos mokymai skirti visiems darbuotojams. Birželio mėnesį prisidėjo mokymai „Kibernetinė sauga vadovams“ – apie grėsmes rizikas, jų valdymą ir reagavimą į incidentus, o liepos mėnesį atsirado kursas „Įvadas į kibernetinių incidentų tyrimus“ – labiau skirtas IT specialistams, kuriame pateikiami pavyzdžiai ir patarimai, kaip surinkti informaciją įvykus incidentui.