21.01.2022 15:24
CSIRT 0 830 Источник


Сегодня в подборке новостей Jet CSIRT — исследование атаки с применением VirusTotal, уязвимость в macOS, детали аномальных атак в сетях АСУ. ТОП-3 собрала Анна Мельникова, специалист центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Опубликовано исследование атаки с использованием VirusTotal


Специалисты SafeBreach провели исследование атаки с применением онлайн-сервиса для анализа подозрительных файлов, ссылок и IP-адресов VirusTotal. В ходе исследования выяснилось, что этот сервис можно использовать для сбора ранее скомпрометированных учетных данных.
Специалисты нашли взаимосвязь между работой браузера Google и VirusTotal в том, что касается API и набора инструментов (VT Graph, Retrohunt и т. п.), которые можно использовать для поиска украденных данных в файлах. В исследовании указан алгоритм поиска, который помог найти ранее скомпрометированные учетные записи от электронных ящиков, аккаунтов социальных сетей, криптовалютных кошельков и банковских аккаунтов. Специалисты SafeBreach предупреждают, что в руках злоумышленников этот метод очень опасен. Применяя его, хакеры смогут тратить меньше усилий на компрометацию данных своих жертв и действовать быстрее, оставляя за собой меньше следов.
SafeBreach дала рекомендации, как организации могут смягчить для себя последствия атак с применением VirusTotal. Однако основные меры для снижения риска должны приниматься на стороне поставщиков репозиториев.

Обнаружена уязвимость в macOS, позволяющая отслеживать активность пользователей в интернете


Исследователи из FingerprintJS обнаружили уязвимость, связанную с низкоуровневым API IndexedDB в Safari 15 на macOS и всех браузерах iOS и iPadOS. При взаимодействии веб-сайта с базой данных IndexedDB создается ее пустая копия с таким же именем, что приводит к распространению имен баз данных по разным источникам и противоречит правилу одного домена.
При эксплуатации уязвимости не требуется конкретных действий от пользователя macOS, так как вкладка или окно Safari 15 работают в фоновом режиме и постоянно опрашивают API IndexedDB на предмет доступных баз. При этом злоумышленники могут в реальном времени узнавать, какие сайты посещает пользователь, а в некоторых случаях — и получить его личные данные.

Раскрыты детали исследования аномальных атак в сетях АСУ


Исследователи Kaspersky ICS CERT обнаружили аномалию в атаках с применением шпионского ПО, которым заражаются компьютеры АСУ по всему миру. 87% аномальных атак были произведены по протоколу SMTP, что позволяло злоумышленникам красть учетные данные, но возможности передачи команд от сервера клиенту у них при этом не было. Для заражения узлов использовалась фишинговая рассылка от имени ранее скомпрометированного пользователя, замаскированная под корреспонденцию организаций-жертв. Отличительной особенностью такой атаки является короткое время жизни шпионского ПО, передающегося в фишинговом письме. Специалисты обнаружили более 2 000 задействованных в атаках корпоративных почтовых аккаунтов промышленных компаний, но предполагают, что их может быть гораздо больше.

Комментарии (0)