КиберСек

Метка: MITRE ATT&CK

  • MITRE ATT&CK: новая матрица для ESXi

    MITRE ATT&CK: новая матрица для ESXi

    НКО MITRE выпустила новую версию фреймворка ATT&CK — 17.0. Основное изменение заключается в добавлении новой матрицы с информацией о техниках и тактиках, используемых для атак на гипервизоры VMware ESXi.

    В новой матрице представлены 34 известные техники, которые применимы к системе ESXi, а также четыре новые, обнаруженные только в атаках на ESXi. Обновления фокусируются на гипервизоре ESXi, а не на vCenter Server, который управляет хостами ESXi. Техники, связанные с vCenter, учитываются только в случаях, когда они прямо влияют на ESXi.

    База знаний о техниках злоумышленников также пополнилась новыми методами, такими как вредоносный копипаст (ClickFix), упреждающий вишинг, бомбардировка спам-письмами (Email Bombing) и использование OAuth-атак для интеграции приложений в веб-сервисы.

    Матрица Mobile была расширена, вернув технику сим-свопинг и добавив использование виртуализации для обхода песочниц на Android. В список инструментов был добавлен троян LightSpy, а в кейсах появилась операция Triangulation.

  • CISA выделило дополнительные средства на борьбу с уязвимостями

    CISA выделило дополнительные средства на борьбу с уязвимостями

    Правительство США продлило финансовую поддержку программы CVE на базе MITRE. Также был создан некоммерческий фонд для обеспечения работы программы. Срок действия контракта с MITRE составляет 11 месяцев. Представитель американского Агентства кибербезопасности подтвердил важность программы CVE и назначил ее приоритетной для CISA.

    Создатели программы решили сделать ее независимой от государственного финансирования и объявили о создании фонда для поддержки проекта. Фонд будет обеспечивать стабильную работу системы отслеживания уязвимостей, на которую рассчитывают государственные органы, частный сектор, разработчики и специалисты по кибербезопасности.

    В ближайшее время учредители планируют опубликовать информацию о структуре фонда, возможностях для участия и планах по переносу программы CVE на новую платформу.

  • Господдержка MITRE CVE завершилась, судьба проекта неясна

    Господдержка MITRE CVE завершилась, судьба проекта неясна

    16 апреля истекает срок госфинансирования программы CVE от НКО MITRE и их партнеров. Это может привести к потере системы идентификации уязвимостей, которая используется в государственном секторе, бизнесе, исследованиях и CERT по всему миру.

    Информация о завершении контракта по программам CVE, CWE и другим связанным программам стала известна из утечки письма вице-президента Центра MITRE по нацбезопасности членам совета директоров CVE. Последствия перерыва в обслуживании могут привести к ухудшению качества баз данных, информационных бюллетеней, инструментов информационной безопасности, реагирования на киберинциденты и защите критической инфраструктуры.

    Несмотря на это, правительство США продолжает поддерживать роль MITRE в рамках программы CVE, и НКО не отказывается от своих обязательств. За последние 25 лет основным спонсором CVE было Агентство кибербезопасности (CISA) при Министерстве нацбезопасности США. В связи с разрывом контрактов на общую сумму $28 млн с MITRE, НКО вынуждена была сократить штат сотрудников.

    MITRE и чиновники работают над решением проблемы, чтобы сохранить CVE-сервис. ИБ-компания VulnCheck зарезервировала 1000 CVE-номеров на 2025 год, но это недостаточно для всех уязвимостей, которые появляются ежегодно в программных продуктах.

    Если сервис закроется, база CVE на GitHub перестанет обновляться. В настоящее время база содержит более 274 тыс. записей, и аналитики NIST не справляются с таким объемом. Работа по обработке отчетов о уязвимостях затрудняется, но сторонние специалисты помогают сократить задержку.

    Сайт cve.mitre.org пока еще работает, но без дальнейших пояснений.

  • Vgod: шифрование, шантаж и захват данных Windows

    Vgod: шифрование, шантаж и захват данных Windows

    Исследователи компании CYFIRMA обнаружили новую угрозу в интернете — вирус-вымогатель под названием Vgod, который активно распространяется на подпольных хакерских форумах. Этот вредоносный код атакует компьютеры с операционной системой Windows, шифрует файлы с использованием сложных методов и добавляет к ним расширение .Vgod.

    После заражения устройства вирус мгновенно шифрует данные и оставляет на рабочем столе жертвы записку с требованиями вымогателей. Также меняется фон рабочего стола, чтобы привлечь внимание жертвы. В записке говорится не только о блокировке файлов, но и о угрозе публикации украденной конфиденциальной информации, что говорит о двойной вымогательской тактике.

    Анализ показывает, что Vgod использует сложные методы для избегания обнаружения, такие как DLL Sideloading, инъекции процессов и манипуляции с реестром. Он также маскируется, проверяет наличие виртуальных машин и песочниц, и загружает вредоносный код до загрузки операционной системы, что делает его трудным для удаления.

    Эксперты CYFIRMA определили методы атаки по классификации MITRE ATT&CK. Злоумышленники обычно взаимодействуют с жертвами через электронную почту, где предоставляются инструкции по оплате выкупа.

    Для защиты от таких атак рекомендуется использовать принципы Zero Trust, многофакторную аутентификацию и регулярно обновлять систему. Также важно регулярно создавать резервные копии данных, чтобы быстро восстановить информацию без участия вымогателей.

    Vgod напоминает: киберпреступники постоянно улучшают свои инструменты, поэтому защита должна быть на высоте. Без системного подхода к безопасности каждый файл может стать заложником.