Киберзлоумышленники, связанные с Китаем, все чаще используют крупномасштабные сети скомпрометированных устройств, известные как скрытые сети, для маскировки своей вредоносной деятельности. Этот сдвиг в тактиках, методах и процедурах (TTP) отходит от индивидуально приобретаемой инфраструктуры. Эти скрытые сети в основном состоят из скомпрометированных маршрутизаторов для малого офиса/домашнего офиса (SOHO), устройств Интернета вещей (IoT) и умных устройств. Такие сети позволяют злоумышленникам проводить кибероперации с низкими затратами, низким риском и возможностью отрицания, что затрудняет атрибуцию. Они используются на всех этапах киберцепочки убийства, от разведки до доставки вредоносного ПО и эксфильтрации данных. Имеющиеся данные свидетельствуют о том, что китайские компании, занимающиеся информационной безопасностью, создают и поддерживают эти скрытые сети. Например, сеть Raptor Train, заразившая более 200 000 устройств, управлялась Integrity Technology Group. KV Botnet, используемый Volt Typhoon, состоял в основном из уязвимых устаревших маршрутизаторов. Старые оборонительные парадигмы, основанные на списках статических IP-адресов, становятся менее эффективными из-за динамичного и распределенного характера этих ботнетов. Защитники должны адаптироваться, картируя сетевые периферийные устройства, устанавливая базовые показатели нормальных соединений и используя информацию об угрозах. Внедрение многофакторной аутентификации и использование списков разрешенных IP-адресов или географических местоположений являются важными мерами защиты. Более крупные или более подверженные риску организации могут дополнительно повысить безопасность за счет политик нулевого доверия и сокращения своей внешней ИТ-инфраструктуры. Активная охота и отслеживание этих скрытых сетей как отдельных угроз рекомендуются для наиболее целевых организаций. Комплексные передовые методы кибербезопасности остаются основополагающими в защите от этих развивающихся угроз.

Данное уведомление предупреждает о киберзлоумышленниках, связанных с Ираном, которые нацелены на критически важную инфраструктуру США, уделяя особое внимание ПЛК Rockwell Automation/Allen-Bradley. Эти злоумышленники используют подключенные к Интернету устройства OT, вызывая сбои путем манипулирования файлами проектов и данными на дисплеях HMI/SCADA, что приводит к операционным и финансовым потерям. Затронутые сектора включают государственное управление, водоснабжение, водоотведение и энергетику. Организациям следует ознакомиться с предоставленными индикаторами компрометации (IOC) и тактиками, техниками и процедурами (TTP). Ключевые действия включают отключение ПЛК от Интернета, проверку журналов на наличие подозрительного трафика и обращение в соответствующие агентства. В атаках использовались IP-адреса, расположенные за рубежом, и были нацелены на определенные порты, используемые устройствами OT. ФБР оценивает, что эти атаки являются частью продолжающейся кампании, направленной на причинение сбоев. Уведомление включает список IP-адресов и техник MITRE ATT&CK, используемых злоумышленниками. Рекомендуемые меры по смягчению последствий соответствуют Целям кибербезопасности 2.0 для межсекторальных организаций CISA и NIST. Организациям также следует ознакомиться с рекомендациями Rockwell Automation по безопасности. Ранее аналогичные атаки приписывались группе CyberAv3ngers.

CISA отреагировала на киберинцидент в федеральном агентстве США после того, как его инструмент обнаружения и реагирования на конечных точках выявил подозрительную активность. Агентство было скомпрометировано путем эксплуатации CVE-2024-36401 в двух GeoServers. Эта уязвимость, раскрытая незадолго до эксплуатации, позволила злоумышленникам получить удаленное выполнение кода. Злоумышленники оставались необнаруженными в течение трех недель, в течение которых они перемещались по другим серверам. Ключевые уроки, извлеченные из этого инцидента, подчеркивают критические сбои в системе безопасности. Своевременное устранение уязвимостей, особенно в общедоступных системах, имеет важное значение. Организации должны регулярно тестировать и обновлять свои планы реагирования на инциденты, обеспечивая возможность привлечения сторонней помощи. Постоянный анализ оповещений от систем обнаружения и реагирования на конечных точках имеет решающее значение для своевременного обнаружения угроз. Внедрение комплексного и централизованного логирования также жизненно важно для эффективного анализа инцидентов. Злоумышленники использовали общедоступные инструменты для разведки, разработки ресурсов и различных этапов своей атаки. Они использовали веб-оболочки, cron-задания и действительные учетные записи для обеспечения устойчивости. Попытки повышения привилегий предпринимались с использованием известных эксплойтов для Linux. Тактика уклонения от обнаружения включала косвенное выполнение команд и использование таких инструментов, как RingQ. Доступ к учетным данным был получен с помощью методов перебора и эксплуатации служебных учетных записей. Усилия по обнаружению включали сканирование сети и инструменты оценки уязвимостей. CISA предоставляет индикаторы компрометации и технические детали, чтобы помочь организациям предотвратить подобные атаки.

В этом информационном бюллетене, выпущенном несколькими международными агентствами по кибербезопасности, подробно описаны кибератаки, спонсируемые китайским государством, нацеленные на глобальные сети. Эти атаки, часто связанные с конкретными китайскими организациями, сосредоточены на телекоммуникационных, правительственных и инфраструктурных сетях. Злоумышленники компрометируют устройства, в том числе маршрутизаторы, чтобы получить первоначальный доступ, а затем подключаются к другим сетям с помощью доверенных соединений. Они используют известные уязвимости, особенно на периферийных устройствах, и активно используют недавно обнаруженные. Эти методы включают в себя изменение средств контроля доступа, открытие портов и использование туннелей для поддержания постоянного доступа, что часто скрывает их истинное происхождение. Цель состоит в том, чтобы украсть данные для шпионажа, в том числе для отслеживания коммуникаций и перемещений. В рекомендациях содержатся подробные сведения о тактике, методах и процедурах (TTP) и рекомендуется сетевым защитникам реализовать меры по устранению рисков. С этой деятельностью связано несколько известных групп угроз, хотя в рекомендациях используется общий термин «APT-субъекты». Злоумышленники используют несколько CVE, в том числе нацеленные на продукты Cisco, Palo Alto и Ivanti. Организациям настоятельно рекомендуется сообщать о компрометации для улучшения коллективной обороны.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Береговая охрана США (USCG) провели охоту за киберугрозами в организации критической инфраструктуры. Это руководство делится их выводами, чтобы помочь другим организациям улучшить свою безопасность. Хотя не было обнаружено никакой вредоносной деятельности, были выявлены несколько киберрисков. К ним относятся недостаточная регистрация, небезопасное хранение учетных данных и общие локальные учетные данные администратора. У организации также был неограниченный удаленный доступ для локальных административных учетных записей. Кроме того, не было достаточной сегментации сети между ИТ- и технологическими активами (OT), а также несколько неправильных конфигураций устройств. Были предоставлены рекомендации по смягчению, соответствующие целям кибербезопасности CISA и NIST. Ключевыми мерами смягчения являются безопасное управление учетными данными, избежание хранения в открытом тексте и обеспечение принципа наименьших привилегий. Организациям рекомендуется реализовать эти меры, чтобы предотвратить потенциальные компрометации. Уникальные пароли администратора и многофакторная аутентификация для всех административных доступов имеют решающее значение. Строгие политики должны быть соблюдены для доступа к сетям OT, используя укрепленные хосты-бастионы. Также рекомендуется комплексная и подробная регистрация во всех системах.

Ранцевый вирус Interlock, впервые обнаруженный в конце сентября 2024 года, нацелен на бизнесы и критическую инфраструктуру в Северной Америке и Европе. Этот финансово мотивированный вирус использует модель двойного шантажа, шифруя данные после их похищения. Первоначальный доступ к системе достигается необычными методами, такими как загрузка вредоносного ПО с компрометированных веб-сайтов и социальная инженерия, в частности, техникой ClickFix. После инфицирования Interlock использует различные инструменты для разведки, кражи учетных данных и бокового движения в сети. Вирус в основном нацелен на виртуальные машины, шифруя файлы с расширениями .interlock или .1nt3rlock. Требования о выкупе не отображаются изначально, но передаются через уникальный код и URL .onion после контакта с жертвами. ФБР, CISA, HHS и MS-ISAC выпускают это руководство, чтобы поделиться индикаторами компрометации и тактиками, техниками и процедурами для помощи в усилиях по смягчению последствий. Руководство подчеркивает важность реализации надежных инструментов обнаружения и реагирования на конечных точках (EDR) для защиты от Interlock. Обнаружены сходства между Interlock и Rhysida ransomware. Организациям рекомендуется следовать предоставленным рекомендациям по смягчению риска. Руководство завершается таблицей, перечисляющей инструменты, используемые акторами.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) публикует предупреждение в ответ на действия злоумышленников, использующих программы-вымогатели, которые используют незащищенные экземпляры уязвимости в SimpleHelp Remote Monitoring and Management (RMM), чтобы взломать клиентов поставщика программного обеспечения для выставления счетов за коммунальные услуги. Злоумышленники, использующие программы-вымогатели, с января 2025 года нацеливаются на организации через незащищенные версии SimpleHelp RMM. Версии SimpleHelp 5.5.7 и более ранние содержат несколько уязвимостей, включая CVE-2024-57727, которая представляет собой уязвимость обхода пути. CISA добавила CVE-2024-57727 в свой Каталог известных эксплуатируемых уязвимостей (KEV) 13 февраля 2025 года. CISA призывает поставщиков программного обеспечения, клиентов ниже по цепочке поставок и конечных пользователей немедленно реализовать рекомендуемые меры по смягчению последствий на основе подтвержденного взлома или риска взлома. Меры по смягчению последствий включают изоляцию экземпляра сервера SimpleHelp от интернета или остановку процесса сервера, обновление до последней версии SimpleHelp и проведение действий по поиску угроз для выявления признаков взлома. CISA также рекомендует реализовывать упреждающие меры по смягчению рисков, такие как ведение надежной инвентаризации активов, ежедневное резервное копирование системы и установление открытых каналов связи со сторонними поставщиками. Если система была зашифрована программой-вымогателем, CISA рекомендует отключить затронутую систему от интернета, переустановить операционную систему, очистить систему и восстановить данные из чистой резервной копии.

ФБР и CISA выпустили совместное информационное сообщение о вредоносном ПО LummaC2, которое может проникать в компьютерные сети и похищать конфиденциальную информацию частных лиц и организаций в нескольких секторах критической инфраструктуры США. Вредоносное ПО было замечено совсем недавно, в мае 2025 года, а признаки компрометации датируются ноябрем 2023 года. LummaC2 обычно развертывается с помощью целевых фишинговых гиперссылок и вложений и может обходить стандартные меры кибербезопасности. После заражения вредоносное ПО может похитить конфиденциальную информацию пользователя, включая личную информацию, финансовые учетные данные и данные многофакторной аутентификации. Вредоносное ПО использует командный сервер для получения инструкций и может красть данные, делать скриншоты и удалять себя. Рекомендации включают индикаторы компрометации и рекомендуют организациям исследовать и проверять эти индикаторы, прежде чем предпринимать действия. ФБР и CISA призывают организации выполнять рекомендации, содержащиеся в разделе «Меры по смягчению последствий» настоящего руководства, чтобы снизить вероятность и влияние вредоносного ПО LummaC2. В рекомендациях используется платформа MITRE ATT&CK Matrix for Enterprise для сопоставления действий злоумышленников с тактиками и методами. Вредоносное ПО LummaC2 было замечено в продаже на русскоязычных киберпреступных форумах с 2022 года и использовалось для кражи конфиденциальной информации более чем 21 000 жертв.

Быстрый флюкс - это вредоносная техника, при которой злоумышленники быстро меняют записи DNS для сокрытия местоположения своих серверов и уклонения от обнаружения. Это представляет собой значительную угрозу национальной безопасности, позволяя киберпреступникам и государственным акторам поддерживать устойчивую инфраструктуру C2 (командования и управления). Рекомендация, совместно выпущенная несколькими агентствами, предупреждает организации и поставщиков услуг о вредоносной деятельности, использующей быстрый флюкс. Она настоятельно призывает провайдеров, особенно PDNS (провайдеров DNS), разработать возможности обнаружения и блокировки быстрого флюкса. Документ содержит рекомендации по обнаружению и смягчению последствий быстрого флюкса с использованием анализа DNS, мониторинга сети и данных об угрозах. Быстрый флюкс использует такие методы, как одинарный и двойной флюкс, используя скомпрометированные хосты и ботсети для проксирования. Это обеспечивает устойчивость, анонимность и эффективное обхождение блокировки IP, что позволяет заниматься фишингом и создавать вредоносные торговые площадки. Рекомендация рекомендует многоуровневый подход к обнаружению, включающий потоки данных об угрозах, обнаружение аномалий и анализ TTL (время жизни DNS-записи). Стратегии смягчения последствий включают блокировку вредоносных доменов и IP-адресов, фильтрацию репутации и расширенный мониторинг. Сотрудничество и обмен информацией имеют решающее значение для защиты от быстрого флюкса.

ФБР, CISA и MS-ISAC опубликовали совместное предупреждение для распространения информации о известных тактиках, методах и процедурах (TTP) и индикаторах компрометации (IOC) вымогателя Medusa. Medusa – это разновидность вымогателя как услуги (RaaS), впервые выявленного в июне 2021 года, и по состоянию на февраль 2025 года он затронул более 300 жертв из различных секторов критической инфраструктуры. Злоумышленники Medusa используют модель двойного вымогательства, при которой они шифруют данные жертв и угрожают публиковать украденные данные, если выкуп не будет выплачен. Злоумышленники обычно нанимают брокеров первоначального доступа (IAB) для получения первоначального доступа к потенциальным жертвам, часто посредством фишинговых кампаний и эксплуатации уязвимостей необновленного программного обеспечения. После закрепления, злоумышленники Medusa используют методы "жизни за счет земли" (LOTL) и легальные инструменты для первоначального перечисления пользователей, систем и сети. Они также используют PowerShell и командную строку Windows для перечисления сети и файловой системы, а также для использования возможностей передачи инструментов входа. Злоумышленники Medusa пытаются избежать обнаружения, используя различные методы уклонения, включая certutil и методы уклонения от обнаружения PowerShell. Также было замечено, что злоумышленники используют легальное программное обеспечение для удаленного доступа для перемещения по сети и идентификации файлов для эксфильтрации и шифрования. Наконец, злоумышленники Medusa используют Rclone для облегчения эксфильтрации данных на свои C2-серверы и используют модель двойного вымогательства, чтобы требовать выкуп с жертв.

Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Многоуровневый центр обмена информацией и анализа (MS-ISAC) выпустили совместное обращение для предоставления информации о варианте программы-вымогателя Ghost (Cring). Акторы Ghost, находящиеся в Китае, проводят широкомасштабные атаки с целью финансовой выгоды с начала 2021 года, атакуя организации с устаревшим программным обеспечением и прошивкой. Группа скомпрометировала организации более чем в 70 странах, включая критическую инфраструктуру, школы, здравоохранение, государственные сети и малые и средние предприятия. Акторы Ghost используют общедоступный код для эксплуатации уязвимостей и получения доступа к серверам, доступным через Интернет. Они ротируют исполняемые файлы программы-вымогателя, меняют расширения файлов для зашифрованных файлов, изменяют текст требования выкупа и используют множество адресов электронной почты для выкупа, что затрудняет атрибуцию. Группа использует различные инструменты, включая Cobalt Strike, для эксплуатации уязвимостей, получения доступа и перемещения по сети жертвы. Обращение предоставляет технические подробности о тактиках, методах и процедурах (TTP), используемых акторами Ghost, включая первоначальный доступ, выполнение, сохранение, повышение привилегий, доступ к учетным данным, обход защиты, обнаружение, перемещение по сети, выгрузку данных и управление. Группа в значительной степени полагается на вредоносное ПО Cobalt Strike Beacon и серверы команды Cobalt Strike для управления и контроля. Воздействие деятельности программы-вымогателя Ghost варьируется в зависимости от жертвы, а группа обычно требует десятки или сотни тысяч долларов в криптовалюте в обмен на программное обеспечение для расшифровки. Обращение рекомендует организациям реализовать рекомендации для снижения вероятности и воздействия инцидентов с программой-вымогателем Ghost.

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (FBI) опубликовали совместное консультативное сообщение по кибербезопасности о эксплуатации уязвимостей в облачных сервисах Ivanti Cloud Service Appliances (CSA). Уязвимости, включая CVE-2024-8963, CVE-2024-8190, CVE-2024-9379 и CVE-2024-9380, были использованы в сентябре 2024 года, что позволило злоумышленникам получить первоначальный доступ, выполнить удаленный код, получить учетные данные и внедрить веб-оболочки в сети жертв. Злоумышленники объединили уязвимости, чтобы получить доступ, используя два основных пути эксплуатации: один, использующий CVE-2024-8963 с CVE-2024-8190 и CVE-2024-9380, и другой, использующий CVE-2024-8963 с CVE-2024-9379. Уязвимости затрагивают версию Ivanti CSA 4.6x до 519, и две из уязвимостей также затрагивают версии CSA 5.0.1 и ниже. Ivanti CSA 4.6 находится в состоянии окончания срока службы и больше не получает исправлений или библиотек третьих сторон, и CISA и FBI настоятельно рекомендуют администраторам сетей обновиться до последней поддерживаемой версии. Защитники сетей поощряются к поиску вредоносной активности в своих сетях, используя методы обнаружения и индикаторы компрометации (IOCs), изложенные в консультативном сообщении. Учетные данные и конфиденциальные данные, хранящиеся в пострадавших устройствах Ivanti, следует считать скомпрометированными, и организации должны собирать и анализировать журналы и артефакты на предмет вредоносной активности. Консультативное сообщение предоставляет технические подробности об уязвимостях, включая тактику и технику MITRE ATT&CK, использованные злоумышленниками. Активность злоумышленников была обнаружена тремя пострадавшими организациями, которые смогли устранить инциденты, заменив виртуальные машины на чистые и обновленные версии.

В 2023 году злонамеренные киберпреступники эксплуатировали больше уязвимостей нулевого дня для компрометации корпоративных сетей, что позволило им проводить операции против более приоритетных целей. Большинство наиболее часто эксплуатируемых уязвимостей изначально были эксплуатированы как уязвимости нулевого дня, что является увеличением по сравнению с 2022 годом. Агентства-авторы, включая CISA, FBI, NSA, ACSC, CCCS, NCSC-NZ и CERT NZ, разработали это совместное Кибербезопасное Уведомление, чтобы предоставить подробную информацию о топ-15 уязвимостях, эксплуатируемых злонамеренными киберпреступниками в 2023 году. Эти уязвимости включают инъекцию кода, переполнение буфера, эскалацию привилегий, инъекцию команд, инъекцию SQL, нарушение контроля доступа, удаленное выполнение кода, неправильную валидацию ввода и раскрытие информации. Уведомление также предоставляет рекомендации для поставщиков, разработчиков, разработчиков и организаций-конечных пользователей для уменьшения риска компрометации злонамеренными киберпреступниками.

Microsoft выпустила обновления безопасности для устранения уязвимостей в нескольких продуктах. Злоумышленник в киберпространстве может использовать некоторые из этих уязвимостей для захвата контроля над пострадавшей системой. CISA рекомендует пользователям и администраторам просмотреть следующее и применить необходимые обновления: Руководство Microsoft по обновлениям безопасности за октябрь

CISA обновила свой каталог известных эксплуатируемых уязвимостей, добавив новую уязвимость CVE-2024-8963, которая является уязвимостью по пути доступа в Ivanti Cloud Services Appliance (CSA). Этот тип уязвимостей часто эксплуатируется злоумышленниками и представляет собой значительную угрозу для федерального предприятия. Каталог известных эксплуатируемых уязвимостей был создан в соответствии с директивой BOD 22-01 для выявления и устранения уязвимостей, которые несут значительные риски для федерального предприятия. Директива BOD 22-01 требует от агентств федерального гражданского исполнительного ведомства (FCEB) устранять выявленные уязвимости к указанной дате, чтобы защитить свои сети от активных угроз. CISA настоятельно рекомендует всем организациям приоритетно проводить своевременное устранение уязвимостей из каталога в рамках своей практики управления уязвимостями. Каталог известных эксплуатируемых уязвимостей - это живой список известных общих уязвимостей и эксплуатаций (CVE), которые несут значительные риски для федерального предприятия. CISA будет продолжать добавлять уязвимости в каталог, которые соответствуют установленным критериям. Информационный листок о директиве BOD 22-01 предоставляет дополнительную информацию о директиве.

ФБР, CISA и NSA определили, что российская ГРУ-29155 несет ответственность за кибероперации против глобальных сущностей с 2020 года, преследуя цели шпионажа, саботажа и репутационного вреда. Эта группа, отличная от других кибергрупп ГРУ, развернула разрушительную вредоносную программу WhisperGate против украинских организаций в январе 2022 года. Чтобы противодействовать этой угрозе, организации должны приоритизировать обновление систем, сегментацию сети и многофакторную аутентификацию. В этом совете изложены тактики, техники и процедуры, используемые ГРУ-29155, включая использование общедоступных инструментов и уязвимостей. ФБР считает, что киберактеры ГРУ-29155 являются младшими офицерами ГРУ, набирающимися опыта через кибероперации и полагающимися на не-ГРУ-лиц для поддержки. Кибербезопасная отрасль отслеживает эту группу под разными именами, включая Cadet Blizzard, Ember Bear и Frozenvista. Помимо Украины, ГРУ-29155 атаковала страны-члены НАТО и другие страны в Европе, Латинской Америке и Центральной Азии. Их деятельность включает в себя дефейсы веб-сайтов, сканирование инфраструктуры, эксфильтрацию данных и публичные утечки данных. С начала 2022 года их внимание сместилось на нарушение помощи Украине. ФБР зафиксировало более 14 000 случаев сканирования доменов в 26 странах-членах НАТО и нескольких странах ЕС. ГРУ-29155 нацеливается на критически важные секторы инфраструктуры, включая государственные услуги, финансы, транспорт, энергию и здравоохранение. Они используют разведывательные техники, включая использование таких инструментов, как Acunetix, Amass, MASSCAN и Shodan, для сканирования на уязвимости и сбора информации. Они наблюдались при получении эксплоит-скриптов для различных CVE и использовании их для начального доступа. Группа часто использует общепринятые техники red teaming и общедоступные инструменты, полагаясь на темные веб-форумы для получения вредоносного ПО и загрузчиков. Они эксплуатировали уязвимости в IP-камерах Dahua, чтобы обойти аутентификацию и эксфильтровать данные. ГРУ-29155 использовала разные методы для бокового движения, включая использование Shodan для идентификации устройств IoT и эксплуатацию уязвимостей в IP-камерах, чтобы получить доступ и выкачать настройки конфигурации. В совете предоставлен список признаков компрометации (IOCs), чтобы помочь в выявлении и противодействии потенциальным угрозам, связанным с этой группой.

Совместное разъяснительное письмо по кибербезопасности от ФБР, CISA, MS-ISAC и HHS предназначено для предоставления информации о разновидности вымогательского ПО RansomHub, которая была идентифицирована как модель вымогательского ПО как услуги, привлекшая высокопрофильных аффилированных лиц из других известных разновидностей. RansomHub зашифровала и выкачала данные из по крайней мере 210 жертв из различных секторов. Аффилированные лица используют фишинговые электронные письма, эксплуатируют известные уязвимости и спрей паролей для получения начального доступа. Затем они проводят сканирование сети, отключают антивирусные продукты и перемещаются внутри сети с помощью инструментов, таких как Mimikatz, Cobalt Strike и других. Методы выкачки данных варьируются, но включают инструменты, такие как PuTTY, бакеты AWS S3 и запросы HTTP POST. Вымогательское ПО использует алгоритм шифрования Elliptic Curve, чтобы зашифровать файлы, добавляя уникальный ключ и контрольную сумму в конце каждого файла. Исполняемый файл вымогательского ПО не шифрует исполняемые файлы и удаляет тени томов, чтобы усложнить восстановление системы.

ФБР, CISA и DC3 предупреждают о том, что иранские киберпреступники эксплуатируют организации в США и за рубежом для проведения атак с использованием вымогательского ПО. Эти актеры используют уязвимости удаленных устройств, таких как CVE-2024-3400, CVE-2024-24919 и CVE-2023-3519, чтобы получить начальный доступ к сети. После проникновения внутрь они создают учетные записи, отключают программное обеспечение безопасности и повышают привилегии. Они сотрудничают с аффилированными с вымогательским ПО партнерами, включая NoEscape, Ransomhouse и ALPHV (также известный как BlackCat), чтобы обеспечивать шифрование операций. ФБР считает, что эти актеры спонсируются государством и занимаются разведывательной деятельностью, включая кражу данных, в поддержку правительства Ирана. Жертвами становятся организации из таких секторов, как образование, финансы, здравоохранение, оборона и государственные учреждения. Меры защиты включают исправление уязвимых устройств, реализацию политики "нулевого доверия" и мониторинг сетевой активности для обнаружения подозрительного поведения. Если ваша организация стала жертвой, вам следует связаться с ФБР или сообщить об инциденте в CISA.

Лучшие практики ведения журнала событий для противодействия киберугрозам Это руководство определяет лучшие практики ведения журнала событий для улучшения кибербезопасности и видимости сети, решая задачи, связанные с техниками "живя на земле", используемыми злоумышленниками. Четыре ключевых фактора для эффективного ведения журнала - Политика ведения журнала событий, одобренная предприятием: Устанавливает единый подход к ведению журнала в разных средах. - Централизированный доступ к журналу событий и корреляция: Позволяют эффективно мониторировать и анализировать журналы событий. - Безопасное хранение и целостность журнала событий: Сохраняет целостность и доступность журнала событий. - Стратегия обнаружения соответствующих угроз: Ориентирует ведение журнала на выявление злонамеренных действий и индикаторов компрометации. Качество журнала событий - Качественные журналы предоставляют подробную информацию о событиях безопасности, помогая в выявлении инцидентов и обнаружении угроз. - Релевантные соображения для обнаружения LOTL включают в себя захват журнала на конкретные команды и инструменты, используемые злоумышленниками. Содержимое захваченных журналов событий - Журналы должны содержать достаточную информацию для того, чтобы защитники сети могли расследовать и реагировать на инциденты, включая отметки времени, типы событий и идентификаторы системы. - Использование пар "ключ-значение" для форматирования данных упрощает анализ журнала. Соображения по технологиям оперативного управления - Устройства OT часто имеют ограниченные возможности ведения журнала, требующие дополнительных решений или вне-каналов связи для передачи журнала. Согласованность и синхронизация - Согласованность форматов журнала и отметок времени между системами облегчает поиск и корреляцию журнала. - Точные источники времени помогают в идентификации связей между событиями. Дополнительные ресурсы - Руководство ASD по информационной безопасности: Предоставляет рекомендации по ведению журнала событий. - Руководство CISA M-21-31: Определяет приоритеты для сбора журнала. - Руководство NIST по безопасности OT: Охватывает особенности ведения журнала событий для OT.

CISA добавил шесть новых уязвимостей в свой Каталог Известных Эксплуатируемых Уязвимостей, включая уязвимости в Microsoft Project, Windows Scripting Engine и Windows Kernel. Эти уязвимости активно эксплуатируются и представляют значительные риски для федеральных агентств и организаций. Приказ BOD 22-01 требует от агентств FCEB устранять эти уязвимости к указанным срокам. Хотя Приказ BOD 22-01 применяется только к агентствам FCEB, CISA рекомендует всем организациям приоритизировать устранение уязвимостей из Каталога, чтобы снизить риски кибератак. CISA будет продолжать обновлять каталог уязвимостями, которые соответствуют определенным критериям активной эксплуатации.

ФБР и его партнеры предупреждают организации о продолжающейся кибер-шпионской деятельности Северной Кореи, проводимой 3-м бюро Разведывательного генерального бюро (RGB), известным как Андарил. Эта группа целиком нацелена на оборонные, аэрокосмические, ядерные и инженерные организации, чтобы получить чувствительную техническую информацию для военных и ядерных программ Пхеньяна. Группа проводит фишинговые кампании и эксплуатирует уязвимости программного обеспечения, такие как Log4j, для получения начального доступа к сетям. Они используют настраиваемые вредоносные внедрения и инструменты с открытым исходным кодом для бокового движения, эксфильтрации данных и удаленного доступа. Группа финансирует свои операции за счет атак на системы здравоохранения в США. Критически важным инфраструктурным организациям рекомендуется исправлять уязвимости, защищать веб-серверы от веб-шеллов и усиливать меры аутентификации и защиты удаленного доступа. Жертвами группы являются тяжелые танки, истребители, подводные лодки, атомные электростанции и технологии судостроения. Техники группы соответствуют фреймворку MITRE ATT&CK, включая разведку, эксплуатацию и выполнение. Публикуя это предупреждение, авторские агентства стремятся помочь организациям защититься от вредоносной кибер-шпионской деятельности Андарила.

CISA провела оценку SILENTSHIELD в федеральном гражданском исполнительном ведомстве, моделируя кибероперации государства-агрессора. Красная команда получила начальный доступ через уязвимость в непатченном веб-сервере и затем скомпрометировала сеть Windows с помощью фишинга. Команда полностью скомпрометировала домен и перешла к внешней организации, подчеркнув важность защиты в глубину. Организация имела недостаточные меры для предотвращения и обнаружения вредоносной активности, неэффективный сбор и анализ журналов, а также бюрократические барьеры, мешавшие сетевым защитникам. Результаты команды подчеркнули ценность индикаторов компрометации, основанных на поведении, подхода "whitelist" и защиты в глубину. CISA рекомендует применять эти принципы, включая надежное разделение сети, базелирование трафика сети и фокусировку на поведенческих методах обнаружения. Производителям программного обеспечения рекомендуется внедрять принципы "безопасности по умолчанию" и удалять пароли по умолчанию, чтобы улучшать безопасность сети. Решив эти уязвимости, организации могут снизить риск компрометации домена и вредоносной киберактивности.

Это руководство по деятельности и угрозам, создаваемым китайской государственной кибергруппой APT40, которая атакует австралийские и международные сети. Обзор активности: - APT40 использует сложные методы для эксплуатации уязвимостей в популярном программном обеспечении (например, Log4J, Atlassian Confluence, Microsoft Exchange) и проникновения в сети. - Группа часто компрометирует уязвимую публично доступную инфраструктуру и использует захваченные устройства как оперативную инфраструктуру. - APT40 уделяет особое внимание установлению устойчивости и получению действительных учетных данных для поддержания доступа. Заметные приёмы: - APT40 перешла на использование захваченных устройств для дома/малого офиса (SOHO) в качестве инфраструктуры C2. - Использование группы закупленной или арендованной инфраструктуры в качестве инфраструктуры C2 сократилось. Программное обеспечение: - ASD's ACSC предоставил образцы вредоносных файлов для анализа и обнаружения. Исследовательские работы: - Два анонимных отчета по расследованиям подчеркивают методы и приёмы APT40. - В одном из исследований организация была целенаправленно атакована, и чувствительные данные были похищены. - Расследование выявило способность группы перемещаться по сети и получать привилегированные учетные данные. Заключение: APT40 остается значительной угрозой для организаций по всему миру. Понимание их тактик, методов и процедур является ключевым для реализации эффективных мер противодействия.

Это Кибербезопасное Уведомление (CSA) имеет целью предоставить информацию о Black Basta, разновидности программы-вымогателя как услуги, чтобы помочь организациям защититься. Black Basta была впервые идентифицирована в апреле 2022 года и уже повлияла на множество организаций из критических инфраструктурных секторов по всему миру. Аффилированные с Black Basta лица эксплуатируют общие уязвимости, такие как фишинговые электронные письма и дефекты программного обеспечения, чтобы получить доступ к системам жертв. Они используют тактику двойного вымогательства, шифруя данные и похищая их для будущего шантажа. Жертвам дают определенный срок для выполнения требований выкупа, обычно передаваемых через .onion URL, или рискуют увидеть свои данные опубликованными на сайте "Basta News" в Tor. Black Basta целями являются организации здравоохранения из-за их критической природы и потенциального доступа к чувствительным личным данным. Организациям настоятельно рекомендуется изучать и реализовывать предоставленные рекомендации по смягчению последствий, чтобы укрепить свои защиты против Black Basta и аналогичных угроз программ-вымогателей. Уведомление подробно описывает тактики и техники Black Basta, сопоставляя их с фреймворком MITRE ATT&CK для полного понимания. Оно объясняет их методы начального доступа, повышения привилегий, уклонения от защиты, выполнения и используемых в каждом этапе инструментов. Кроме того, CSA предоставляет список индикаторов компрометации (IOCs), включая хэши файлов, связанных с Black Basta, что помогает организациям обнаруживать возможные инфекции. Жертвам атак программы-вымогателя Black Basta рекомендуется сообщать о инциденте в FBI или CISA для получения помощи и поддержки.

Это Кибербезопасное Уведомление касается программы-вымогателя Akira, описывая ее тактики, техники и процедуры, а также индикаторы компрометации, чтобы помочь организациям укрепить свои защитные меры. С момента своего появления в 2023 году Akira атаковала разные сектора по всему миру, затронув более 250 организаций и собрав примерно 42 миллиона долларов в виде выкупа. Программа-вымогатель эксплуатирует уязвимости в услугах VPN, RDP, фишинг-атаки по электронной почте и скомпрометированные учетные данные для получения начального доступа. После проникновения Akira-акторы устанавливают постоянство, повышают привилегии и проводят разведку в скомпрометированной сети. Они используют техники уклонения от защиты, включая отключение программного обеспечения безопасности, и применяют модель двойного вымогательства, похищая данные перед шифрованием систем. Похищение данных проводится с помощью инструментов, таких как FileZilla, WinRAR и RClone, а каналы связи с центром управления устанавливаются с помощью AnyDesk, MobaXterm и аналогичных инструментов. Шифрование достигается с помощью мощного гибридного метода, сочетающего алгоритмы ChaCha20 и RSA, усложняя восстановление системы. Жертвам отправляются требования выкупа с инструкциями по контакту с злоумышленниками, требующими оплаты в биткоинах. Уведомление также подробно описывает используемые инструменты, индикаторы компрометации и две разные версии Akira, включая более новую версию Akira_v2, подчеркивая ее улучшенные функции и эволюцию.

Рansomware Phobos, работающий по модели Ransomware-as-a-Service (RaaS), начал атаковать государственные, местные, племенные и территориальные правительства, а также объекты критической инфраструктуры, начиная с мая 2019 года. Акторы Phobos используют фишинговые кампании, инструменты сканирования IP-адресов и атаки методом грубой силы на открытые порты RDP для получения начального доступа к уязвимым сетям. Они также используют разные открытые инструменты, такие как Smokeloader, Cobalt Strike и Bloodhound, чтобы поддерживать устойчивость и повышать привилегии в захваченных средах. Варианты ransomware Phobos, включая Elking, Eight, Devos, Backmydata и Faust, связаны с Phobos из-за схожих тактик, методов и процедур (TTP), наблюдаемых в инцидентах с Phobos. Ransomware использует команды для удаления теневых копий томов, отключения брандмауэра Windows и установки политики загрузки системы на игнорирование всех неудач. Кроме того, он удаляет каталог резервных копий системы и отображает требование выкупа для конечного пользователя. Акторы Phobos используют разные провайдеры электронной почты для общения и эксфильтрации, и они известны тем, что перечисляют жертв и хранят украденные данные на onion-сайтах.

СВР, высококвалифицированная группа кибершпионажа, адаптировала свои тактики для атаки на облачную инфраструктуру, используя грубую силу, распыление паролей и эксплуатацию системных и неактивных учетных записей. Они также используют украденные токены доступа, чтобы обойти пароли и многофакторную аутентификацию с помощью "бомбардировки МФА". Чтобы защититься от таких действий, организации должны реализовать многофакторную аутентификацию, отключать неактивные учетные записи и обеспечивать минимальный доступ для системных и сервисных учетных записей. Они также должны настроить политики регистрации устройств, мониторить журналы приложений и хостов, и использовать безконтактную регистрацию, где это возможно. NCSC и международные партнеры наблюдали эти тактики за последние 12 месяцев, и рекомендации в этом совете направлены на помощь защитникам сети в противодействии начальным векторам доступа СВР.

Киберпреступники активно эксплуатируют уязвимости в Ivanti Connect Secure и Policy Secure шлюзах, что позволяет им выполнять произвольные команды с повышенными привилегиями. Эти уязвимости затрагивают все поддерживаемые версии и используются в цепочке эксплуатации для обхода аутентификации и создания вредоносных запросов. Несмотря на инструмент Ivanti Integrity Checker Tool (ICT), CISA определила, что он недостаточен для обнаружения компрометации, поскольку киберпреступники смогли обмануть его и сохранять корневой уровень привилегий даже после сброса настроек до заводских. Сетевые защитники должны предполагать компрометацию пользовательских и сервисных учетных записей, искать вредоносную активность, запускать последнюю версию ICT и применять патчи по мере их доступности. В случае компрометации организации должны изолировать пораженные хосты, переустановить их, сбросить пароли, идентифицировать и удалить вредоносные административные учетные записи и собрать и проанализировать артефакты. CISA рекомендует организациям рассматривать значительный риск доступа и сохранения противника на Ivanti шлюзах и оценить, стоит ли продолжать их работу. Федеральное экстренное директивное указание (ED) 24-01 требует от федеральных гражданских исполнительных органов (FCEB) предпринять конкретные действия по поводу затронутых продуктов. Канадский центр кибербезопасности опубликовал предупреждение с периодическими обновлениями для затронутых IT-специалистов. Показатели компрометации (IOCs) и правила YARA предоставлены для помощи в обнаружении вредоносной активности. Сетевые защитники должны сопоставлять вредоносную кибер-активность с фреймворком MITRE ATT&CK для улучшения обнаружения и реагирования.

Неопознанный актор угрозы скомпрометировал учетные данные администратора сети бывшего сотрудника, чтобы получить доступ к внешнему окружению государственной организации через виртуальную частную сеть (VPN). Актор использовал скомпрометированные учетные записи и выполнил запросы LDAP, чтобы собрать информацию о пользователях и хостах, которая позже была опубликована на темном веб-сайте брокеража. Ключевые точки: - Акторы угрозы часто эксплуатируют учетные записи бывших сотрудников, чтобы получить доступ к организациям. - Актор скомпрометировал глобальную учетную запись администратора домена, что дало ему административные привилегии в обоих внешних и Azure-окружениях. - Актор выполнил запросы LDAP, чтобы собрать подробную информацию о пользователях, хостах и доверительных отношениях. - Актор аутентифицировался в различных сервисах, включая CIFS, для сетевого обнаружения и исследования файлов. - Жертва организации не отключила скомпрометированную учетную запись бывшего сотрудника сразу после его ухода. - Жертва организации приняла быстрые меры по отключению скомпрометированных учетных записей и удалению административных привилегий после обнаружения публикации на темном веб-сайте. Меры защиты: - Отключать учетные записи бывших сотрудников сразу после их увольнения. - Реализовать многофакторную аутентификацию (МФА) для всех административных учетных записей. - Регулярно проводить аудит и мониторинг активных учетных записей Active Directory для обнаружения подозрительной активности. - Реализовать инструменты мониторинга и обнаружения в сети, чтобы обнаруживать несанкционированный доступ. - Проводить регулярные оценки безопасности, чтобы выявлять и устранять уязвимости.

Агентства США, включая CISA, NSA и FBI, определили, что китайские государственные киберакторы, известные как Volt Typhoon, нацелены на критическую инфраструктуру организаций в США. Volt Typhoon скомпрометировали сети ИТ в секторах, таких как связи, энергетика, транспорт и системы водоснабжения, в основном через известные уязвимости или эксплоиты нулевого дня. Поведение группы свидетельствует о том, что они позиционируют себя для деструктивных или разрушительных атак на активы OT во время геополитических напряжений или военных конфликтов. Volt Typhoon проводит обширную разведку до эксплуатации, чтобы адаптировать свои тактики к целевой среде и mantener постоянный доступ через техники LOTL и сильную оперативную безопасность. Они часто эскалируют привилегии, чтобы получить административные учетные данные, что позволяет им перемещаться по сети к контроллерам домена и другим устройствам, включая системы OT. Volt Typhoon использует бинарные файлы LOTL и PowerShell, чтобы извлечь чувствительные данные из журналов событий и файла NTDS.dit, обходя механизмы блокировки файлов. Они используют офлайн-расшифровку паролей, чтобы получить открытые текстовые пароли и повышенный доступ для дальнейшего проникновения и обнаружения. Volt Typhoon продемонстрировали способность доступа и манипулирования активами OT, такими как системы вентиляции и управления энергией, что представляет потенциальную угрозу критической инфраструктуре. Международные партнеры оценивают, что угроза инфраструктуре в их странах является ниже, но может быть затронута при нарушении инфраструктуры США. Организациям критической инфраструктуры рекомендуется реализовать меры предосторожности и поиск злонамеренной активности, чтобы предотвратить или реагировать на инциденты.

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры (CISA) выпустили совместное Кибербезопасное уведомление, чтобы обратиться к известным индикаторам компрометации (IOCs) и тактикам, техникам и процедурам (TTPs), связанным с угрозами, развертывающими вредоносное ПО Androxgh0st. Это вредоносное ПО используется для создания ботнета, который может выявлять и компрометировать уязвимые сети. Уведомление предоставляет список IOCs и TTPs, включая сканирование веб-сайтов, использующих фреймворк Laravel, целиком на модуль PHPUnit и эксплуатацию CVE-2017-9841 для удаленного выполнения кода. Оно также подчеркивает способность вредоносного ПО доступа к базам данных и кражи учетных данных для таких услуг, как AWS, SendGrid и Twilio. Уведомление призывает организации реализовать стратегии смягчения последствий, чтобы уменьшить вероятность и последствия киберинцидентов, вызванных инфекциями Androxgh0st.