"K8s в PCI DSS", Александр Маркелов, Райффайзен Банк

Лаборатория Касперского сегодня выкатила отчет о развитии информационных угроз в первом квартале 2023 года.

Исследователи отметили переход BlueNoroff на новые методы доставки своего вредоносного ПО, связанные с обходом MotW. Если ранее для первичного проникновения эти злоумышленники использовали документы Word и файлы с ярлыками, то теперь на вооружении - задействование форматов файлов ISO и VHD.

Также, по всей видимости, BlueNoroff экспериментирует с новыми типами файлов для доставки зловредов: обнаружен скрипт Visual Basic, файл Windows Batch и исполняемый файл Windows. Более того, аналитики нашли более 70 поддельных доменов, используемых BlueNoroff, похожих на домены японских венчурных компаний и банков.

Roaming Mantis реализовала новый механизм изменения настроек DNS. С 2019 по 2022 год группа использовала SMS-фишинг для распространения ссылки на страницу с вредоносным ПО для Android, позволяющим контролировать зараженное устройство и воровать информацию.

Однако в сентябре 2022 года анализ нового зловреда группы Wroba.o для Android позволил выявить функцию для изменения настроек DNS, нацеленную на определенные модели роутеров Wi-Fi, популярные преимущественно в Южной Корее. Это привело к широкому распространению угрозы в целевых регионах.

Без внимания не осталась и BadMagic: новая APT-угроза, связанная с российско-украинским конфликтом. Началось все с массовых заражений правительственных, сельскохозяйственных и транспортных организаций в Донецке, Луганске и Крыму. Цепочка заражений включала ссылку на ZIP-архив с файлом приманкой и вредоносным LNK с двойным расширением.

LNK-файл подгружал PowerShell-бэкдор PowerMagic, который, в свою очередь, разворачивал сложный модульный фреймворк CommonMagic. Расследование позволило изучить угрозу и установить связь с другими APT-кампаниями.

Зловред Prilex эволюционировал из инструмента для атак на банкоматы в самую продвинутую из известных нам угроз для платежных терминалов.

В отчет попала длительная кампанию по краже криптовалюты через поддельный браузер Tor, жертвами которой стали более 15 000 пользователей в 52 странах. Злоумышленники использовали метод банковских троянцев для подмены номеров банковских счетов, но заражали устройства жертв с помощью троянизированной версии браузера.

Ресерчеры оценили потенциальное влияние ChatGPT на ландшафт угроз и обнаружили вредоносную кампанию, эксплуатирующую растущую популярность проекта. Мошенники создавали в социальных сетях группы, имитирующие сообщества энтузиастов, для распространения троянца.

Весьма любопытным оказалось исследование на предмет задействования ChatGPT в аналитике угроз. Вообще же специалисты полагают, что участие искусственного интеллекта в нашей жизни выйдет далеко за пределы текущих возможностей современных проектов машинного обучения.

Кроме того, специалисты ЛК сегодня также выкатили два других отчета: по мобильным угрозам и в плоскости статистики по ПК.

Аналитики отмечают неоднозначность эффекта составления подобных списков.

https://www.forbes.com/lists/most-cybersecure-companies/

"To identify the companies doing the most to thwart attacks in this perilous terrain, Forbes has created its newest list, America’s Most Cybersecure Companies. In partnership with the research company SecurityScorecard, the rankings highlight the top 200 U.S.-based companies whose website security and cybersecurity infrastructure make them best-in-class. The 200 come from the vast population of 12 million websites that SecurityScorecard regularly monitors. "

Совсем недавно на конференции BSides Dublin 2023 всем хорошо известный Rory McCune выступил с докладом "CONTAINERS FOR PENTESTERS". Достаточно простые и лаконичные слайды для абсолютных новичков. Если вам хочется еще такого подобного, то напомню о докладе от нашей команды под названием “Pentesting Kubernetes: From Zero to Hero” ;)

Подкасты для трет хантеров и детекшен инженеров:
https://podcasts.google.com/feed/aHR0cHM6Ly9hbmNob3IuZm0vcy80NGQzNzVhNC9wb2RjYXN0L3Jzcw==

https://www.dcppodcast.com/links

Опубликованы презентации с майского семинара Enisa

Remote Video Identification: Attacks and Foresight — ENISA
https://www.enisa.europa.eu/events/remote-video-identification-attacks-and-foresight

На прошедшем недавно PHDays 2023 мы вместе с нашим хорошим товарищем Виктором Бобыльковым из Райффайзенбанк представляли доклад "SCAзка о SCAнерах" (видео, слайды в комментариях к посту). Кстати в истории Luntry, это первое совместное выступление с другой компанией (можно сказать исторический момент). Но точно не последнее, так как уже запланировано еще парочка совместных выселений с нашими друзьями и клиентами (конечно, же по теме безопасности контейнеров и Kubernetes).

Относительно "SCAзка о SCAнерах", то это попытка развеять некоторые мифы и показать суровую, не радужную реальность при работе со SCA. И все это показано через разные уровни зрелости процессов при работе с ними.

Самая важная мысль, что если вы себе в pipeline вставили какой-то анализатор, то вы сделали всего лишь 15-20% работы, а не внедрили лучшие практики SSDL, DevSecOps, ShiftLeftSecurity =)

"The most eye-opening finding from the Q1 2023 report was that 94% of respondents have experienced security problems in production APIs over the past year, with 17% having
experienced an API-related breach. Another important finding from Salt customer data is that attackers have upped their pace with a 400% increase in unique attackers over the same
time period six months ago. There is little doubt that API security must become a key focus for security professionals in 2023."

Начата работа над стандартом использования выбранного алгоритма NIST для легковесного шифрования - Ascon.

https://csrc.nist.gov/projects/lightweight-cryptography

Платный форкшоп по этому вопросу пройдет 21-22 июня
https://csrc.nist.gov/events/2023/lightweight-cryptography-workshop-2023