Обзор новостей информационной безопасности с 19 по 25 апреля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружены случаи фишинговых атак на пользователей Telegram от имени поддельной службы поддержки мессенджера. Цель атак — захват аккаунтов жертв.

Схема действий преступников

1. Преступники рассылают от имени поддельной службы поддержки Telegram сообщения с ложным предупреждением о том, что якобы была оформлена заявка на удаление учетной записи получателя.

2. Чтобы отменить нежелательное удаление, жертва должна перейти по вредоносной ссылке.

3. Ссылка ведет на тщательно замаскированный под официальный интерфейс Telegram сайт. Здесь пользователю предлагается ввести свой телефонный номер, привязанный к учетной записи, а также одноразовый код безопасности, присланный от Telegram.

4. Получив привязанный к учетной записи телефон и код, злоумышленники перехватывают управление учетной записью в Telegram, получают доступ к архивам, перепискам, управлению каналами, если жертва была администратором или владельцем одного из них. При вводе неверных учетных данных фишинговый ресурс сразу выдает ошибку, имитируя легитимное поведение.

5. Распространение вредоносных ссылок происходит через личные сообщения в Telegram, поэтому мошенникам не требуется создавать множество фишинговых клонов, достаточно одного активного ресурса и резервного домена на случай блокировки предыдущего.

Следует отметить, что сторонние лица не могут запросить удаление учётной записи в Telegram: только владелец аккаунта может сделать это в настройках мессенджера. Удалить собственный аккаунт можно сразу или активировать удаление автоматически после заданного периода неактивности.

В масштабной киберкампании по краже телеграм-аккаунтов использовал сеть из 300 сайтов с картинками.

Схема кампании

1. Злоумышленники создали сеть из вредоносных ресурсов однотипных сайтов с сотнями тысяч изображений и описаний к ним. Тематика ресурсов самая разная — аниме, фанфики интернет-мемы, порно, корейские сериалы и даже пицца.

2. Мошенники уделяют значительное внимание вопросам поисковой оптимизации. Это значит, что вероятность наткнуться на один из таких вредоносных сайтов весьма высока, особенно, если поиск осуществляется по изображениям.

3. Если пользователь кликнет на ссылку или изображение, чтобы увидеть его первоисточник, вместо сайта с картинкой он будет переадресован на один из фишинговых ресурсов, имитирующих страницу сообщества в Telegram. Большая часть таких фишинговых сайтов использует название Telegram-сообщества «Тебе понравится».

4. При попытке присоединиться к сообществу жертва попадет на страницу с QR-кодом или формой логина и пароля для входа в Telegram. Если ввести на фейковом ресурсе данные для входа в Telegram-аккаунт, информация автоматически попадет к злоумышленникам.

5. Cайты в автоматическом режиме проверяют, откуда пришёл пользователь, и если он перешёл не со страницы поисковой системы, вместо фишингового сайта ему демонстрируется исходное изображение, которое он искал. Это делается для того, чтобы затруднить блокировку таких ресурсов: если пользователь решит пожаловаться на такой сайт и перешлет ссылку, вредоносный контент на нем просто не откроется.

Пользователи менеджера паролей LastPass стали целью фишинговой кампании, в которой злоумышленники использовали комбинацию звонков, электронной почты и SMS для получения мастер-паролей от аккаунтов.

Схема действий преступников

1. В ходе кампании использовался комплект для фишинга CryptoChameleon, специализирующийся на криптовалютных аккаунтах. Набор инструментов включает в себя качественно оформленные URL-адреса, поддельные страницы входа, а также инструменты для осуществления звонков и отправки сообщений.

2. Клиент LastPass получает звонок с номера 888 с сообщением о доступе к аккаунту с нового устройства. Пользователю предлагается нажать на цифру «1», чтобы разрешить доступ, или «2», чтобы заблокировать его.

3. После отказа в доступе абоненту сообщают, что скоро ему позвонит представитель службы поддержки для «закрытия заявки».

4. От лица сотрудника LastPass жертве отправляется фишинговое письмо с сокращенной ссылкой на поддельный сайт.

5. Если жертва вводит свой мастер-пароль на фишинговом сайте, мошенник пытается войти в учетную запись LastPass и изменить настройки, чтобы заблокировать доступ жертвы и получить контроль над учетной записью. Действия киберпреступника здесь могут включать изменение основного номера телефона и адреса электронной почты, а также самого мастер-пароля.

Создатели очередной мошеннической схемы обещают жертвам «заработки» на криптовалюте TON (Toncoin) через Telegram.

Схема действий преступников

1. Мошенники предлагают заработать криптовалюту Toncoin с помощью «суперсекретного классного бота» и реферальных ссылок. С виду всё просто: вкладываешь свои деньги, покупаешь тарифы-ускорители, зовешь друзей и получаешь комиссию с каждой вложенной ими криптомонеты. Пирамидальная схема стимулирует вносить как можно больше денег, чтобы сгенерировать большую прибыль.

2. Жертве предлагают зарегистрировать криптокошелек в неофициальном боте для хранения крипты в Telegram, а после указать данные своего вновь созданного кошелька в боте для «заработка» с помощью покупки ускорителей.

3. После этого жертве требуется купить 5,5—501 TON (один TON по текущему курсу стоит пять-шесть долларов США). Для покупки предлагается использовать легальные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram. Купленный TON необходимо моментально перевести в бот-криптокошелек — якобы аналог личного кабинета в «системе заработка», который может контролироваться мошенниками.

4. Далее мошенники требуют «активировать второго бота». Для этого нужно выбрать тариф-ускоритель: «байк», «машина», «поезд», «самолет» или «ракета». Чем круче тариф, тем выше комиссионный процент, — «байк» стоит пять тонкойнов и дает 30% комиссии, «ракета» — 500 TON и 70%.

5. Жертва должна создать закрытую группу в Telegram и разместить там несколько поясняющих видео с инструкцией по «заработку», плюс сгенерированную реферальную ссылку.

6. После этого жертве нужно разослать приглашения в закрытую группу как минимум пяти своим друзьям. Мошенники напоминают, что «количество приглашений неограниченно, а вот заработать не получится, пока как минимум пять человек не активируют бота-ускорителя».

7. По заверениям скамеров, заработок будет складываться из двух частей: фиксированной платы 25 TON за каждого приглашенного друга и комиссии за тариф-ускоритель, который купят рефералы.

Никто, кроме мошенников, в этой цепочке денег не получит, а все «партнеры» навсегда лишатся вложенных средств.

Инциденты

Одна из крупнейших телеком-компаний США, Frontier Communication, стала жертвой кибератаки. Злоумышленники получили несанкционированный доступ к части IT-систем провайдера и похитили персональные данные.

По сообщению компании, 14 апреля некая хакерская группировка взломала её IT-инфраструктуру. Чтобы не позволить преступникам распространиться дальше по сети, Frontier частично отключила некоторые свои системы, что привело к масштабным сбоям в работе.

Компании удалось локализовать инцидент и восстановить ключевые IT-системы. Сейчас она работает над полным возвращением к нормальной операционной деятельности. Также Frontier обратилась в правоохранительные органы и привлекла сторонних экспертов по кибербезопасности для расследования инцидента.

Многие пользователи всё ещё сообщают о проблемах с доступом в Интернет, на сайте и в мобильном приложении Frontier отображаются предупреждения о технических неполадках.

В компании признали факт утечки персональных данных, но не уточнили, чьи именно сведения были скомпрометированы.

Кибератака нарушила работу учреждения больницы Симоны Вейль в Каннах (CHC-SV) и вынудила персонал перейти на использование бумаги вместо компьютеров.

Руководство больницы сообщило, что в начале недели пришлось отключить все компьютеры из-за кибератаки, оставив для связи только телефонные системы. На данный момент ведется расследование инцидента. Детали атаки не раскрываются, но указывается, что требований о выкупе, как и фактов кражи данных, не зафиксировано.

Больница продолжает оказывать медицинские услуги, но ведение данных теперь осуществляется вручную. Некоторые пациенты перенаправляются в другие больницы. Около 30% всех несрочных хирургических процедур, запланированных на эту неделю, были отменены, многие несрочные консультации перенесены на более поздние сроки. Консультации, не требующие использования компьютеров для ведения или доступа к историческим данным и результатам анализов, проводятся в обычном режиме.

Компания Salad, которая платит геймерам за аренду простаивающих видеокарт для нужд компаний генеративного ИИ, призналась в использовании ресурсов видеокарт для создания ИИ-порно.

Salad проинформировала пользователей о возможности участия их оборудования в производстве контента для взрослых, предоставляя возможность отказа. При регистрации в сервисе компьютеры пользователей по умолчанию настраиваются на выполнение заданий, включая генерацию порно, но можно выбрать настройку типов работ вручную и исключить такие задания.

На сайте компании указывается, что некоторые задачи могут включать создание материалов для взрослых, но все данные после выполнения работы удаляются с машины пользователя, при этом содержимое полностью изолировано от Windows.

В Salad объяснили, что опция контента для взрослых не активирована по умолчанию и недоступна в странах с запретом порнографии. Также отмечается, что отказ от участия в создании такого контента может снизить потенциальный доход, однако компания не планирует делать такие задачи основой своей бизнес-модели.

Французский онлайн-ретейлер Le Slip Français, специализирующийся на продаже мужского и женского нижнего белья, купальников и различных аксессуаров, сообщил о кибератаке, в результате которой были украдены данные некоторых клиентов.

Компания заявила, что угроза была локализована, и сейчас ведётся тщательный мониторинг ситуации для выявления возможных случаев мошенничества и информирования пользователей при необходимости. По заверениям представителей Le Slip Français, пароли аккаунтов и данные платёжных карт клиентов не пострадали.

Утёкшие данные были обнаружены на популярном хакерском форуме около недели назад. Данные разместил пользователь с псевдонимом «shopifyGUY», который ранее также был замечен в утечке данных канадской компании Giant Tiger.

В утекших данных содержалась информация практически о 700 тысячах клиентах Le Slip Français, включая их электронные адреса, имена, телефонные номера, физические адреса, сведения о покупках, а также в около полутора миллионов электронных писем.

Сервис Spy Pet заявляет, что отслеживает миллиарды сообщений на открытых серверах Discord и продает доступ к данным всего за 5 долларов США, позволяя отслеживать более 600 млн пользователей более чем на 14 000 серверов.

Поиск по конкретному пользователю позволяет узнать, на каких серверах Spy Pet заметил этого человека, а также клиенту предоставляется экспортируемая таблица всех сообщений пользователя (включая имя сервера, временную метку и содержание самого сообщения); логи с информацией о том, когда человек присоединился к конкретным голосовым каналам на сервере и покинул их; а также данные о связанных аккаунтах, например, на GitHub.

Программа развития Организации Объединенных Наций (ПРООН) подверглась атаке вымогателей. Под удар попал локальный серверный комплекс ПРООН, в результате были похищены конфиденциальные данные.

Украденные файлы включали персональные данные нынешних и бывших сотрудников ПРООН, а также информацию о закупках, относящуюся к отдельным поставщикам и подрядчикам. Организация уже уведомила затронутых лиц и компании, данными которых она располагает, и продолжит оповещать всех пострадавших по мере расследования.

На данный момент неизвестно, были ли использованы украденные данные. Организация не вступала в переговоры с преступниками и «не выплачивала и не будет выплачивать никаких выкупов».

Две недели назад группировка 8Base заявила , что взломала системы ПРООН, пригрозив опубликовать данные. 3 апреля конфиденциальные файлы организации все же оказались в сети.

В Швеции возникли проблемы с поставками алкоголя после кибератаки на Systembolaget, единственного в стране ритейлера с правом продажи алкогольных напитков крепче 3,5%.

В результате взлома системы компании Skanlog, отвечающей за логистику около 25% товаров Systembolaget, многие товары, включая алкоголь и бытовую технику, могут исчезнуть с полок магазинов в Швеции, Дании, Норвегии и Финляндии.

Предполагают, что атаку провели хакеры из Северной Кореи с использованием программы-вымогателя LockBit 3.0. Атака затронула «ПО для экономической деятельности от Microsoft» и систему управления складом Dynaman.

Представитель Systembolaget предупредил, что в скором времени могут закончиться запасы определённых сортов пива, вина и крепких напитков, а также бумажные пакеты. В Systembolaget заверили, что полного исчезновения алкогольной продукции не произойдет, однако некоторые бренды могут временно исчезнуть с полок. Пока не ясно, когда Skanlog сможет возобновить свою работу.

Из-за кибератаки итальянская сеть медицинских лабораторий Synlab приостановила услуги лабораторных исследований и сбора образцов. Атака затронула все 380 медицинских центров и лабораторий в Италии.

Инцидент произошла рано утром 18 апреля. Как только была зафиксирована угроза, IT-департамент незамедлительно исключил весь корпоративный сегмент из сети и выключил все машины в соответствии с процедурами информационной безопасности компании.

Существует вероятность, что в результате атаки конфиденциальные медицинские данные могли стать доступными для злоумышленников. Компания сообщает, что по состоянию на сегодняшний день нельзя исключить, что данная атака может касаться персональных данных, связанных с предоставляемыми услугами.

На данный момент все услуги по анализам и сбору образцов приостановлены до особого уведомления. Клиентам рекомендуется использовать телефон для связи с компанией, так как сервисы электронной почты временно неактивны.

Некоммерческая организация The MITRE Corporation (или просто MITRE) сообщила, что в январе 2024 года неизвестная группа поддерживаемых государством хакеров взломала ее системы, объединив в цепочку два эксплоита для 0-day уязвимостей в Ivanti VPN.

Инцидент был выявлен после обнаружения подозрительной активности в NERVE (Networked Experimentation, Research, and Virtualization Environment), несекретной коллаборативной сети MITRE, используемой для исследований и разработок. После этого MITRE уведомила пострадавшие стороны о случившемся, сообщила об инциденте соответствующим органам и сейчас работает над восстановлением своих систем.

В отдельной публикации технический директор MITRE Чарльз Клэнси (Charles Clancy) и инженер по кибербезопасности Лекс Крамптон (Lex Crumpton ) пояснили, что злоумышленники скомпрометировали одну из VPN MITRE при помощи двух zero-day (CVE-2023-46805 и CVE-2024-21887), ранее обнаруженных в Ivanti Connect Secure.

Кроме того, атакующие смогли обойти многофакторную аутентификацию с помощью перехвата сеанса, что позволило им перемещаться по инфраструктуре VMware, используя взломанную учетную запись администратора.

По словам специалистов, на протяжении всей атаки хакеры использовали комбинацию сложных веб-шеллов и бэкдоров для сохранения доступа к взломанным системам и сбора учетных данных.

Обзор новостей информационной безопасности с 12 по 18 апреля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Киберпреступники разворачивают новые масштабные мошеннические кампании, приуроченные к 9 Мая и нацеленные на пожилых людей, в том числе ветеранов.

Схема действий преступников

1. Мошенники создают поддельные ресурсы, которые обещают пользователям разовые денежные выплаты от 50 000 до 300 000 рублей.

2. Для получения средств жертвам предлагают заплатить «комиссию», «конвертацию» валюты или оплатить «юридические услуги» на сумму от 378 до 1112 рублей.

3. Доверчивые пользователи лишаются своих денег и не получают никаких выплат, а злоумышленники безнаказанно обогащаются.

Целевая атака хакерской группировки FIN7 использовала фишинговые письма для сотрудников IT-отдела, чтобы заразить системы компании бэкдором Anunak.

Схема действий преступников

1. Атака началась с отправки сотрудникам компании ссылок на поддельный сайт, маскирующийся под легитимный инструмент Advanced IP Scanner.

2. Применив методы социальной инженерии, хакеры убедили пользователей перейти по ссылке и загрузить исполняемый файл, который инициировал установку бэкдора.

3. В процессе атаки зловредный файл, получивший название «WsTaskLoad.exe», запускал многоступенчатый процесс с использованием вредоносных DLL, WAV-файлов и шелл-кода, что в итоге приводило к загрузке и расшифровке файла «dmxl.bin» с бэкдором Anunak.

4. После развёртывания бэкдора в целевой системе была создана задача для OpenSSH, обеспечивающая постоянный доступ злоумышленников, однако исследователи не обнаружили использование этого метода для перемещения по сети в анализируемой кампании.

Примечательно, что, несмотря на сложность атаки, FIN7 не смогли распространить заражение дальше первоначально инфицированной системы. Исследователи подчёркивают важность защиты от фишинга, который до сих пор остаётся основным методом вторжения злоумышленников.

Обнаружена масштабная мошенническая кампания, направленная на мусульман.

Схема действий преступников

1. Злоумышленники создали 375 поддельных веб-страниц, предлагающих 60 ГБ бесплатного высокоскоростного 5G-интернета от различных провайдеров.

2. Большинство этих сайтов использовали уникальные доменные имена вроде .top, .shop и .xyz, которые ранее не применялись.

3. На сайтах были размещены тематические картинки и комментарии довольных получателей подарков, призывающих поделиться ссылкой в WhatsApp с друзьями, и как можно скорее.

4. Сначала жертвы попадали на страницу с различными анкетами, в которых нужно было оставить свои данные, чтобы получить обещанный бесплатный интернет.

5. Затем их перенаправляли на сайты, связанные с инвестиционным мошенничеством, и различными уловками вынуждали сделать денежный вклад.

Схема похожа на другие кампании, использующие анкеты, но вместо денежных вознаграждений предлагают именно мобильный интернет-трафик.

Инциденты

Microsoft устранила ошибку в системе безопасности, из-за которой внутренние файлы и учетные данные были публично доступны в интернете.

Причиной утечки стал публично доступный сервер для хранения данных, размещенный в облаке Microsoft Azure, на котором хранилась внутренняя информация, связанная с поисковой системой Microsoft Bing: код, скрипты и файлы конфигурации, содержащие пароли, ключи и учетные данные для доступа к внутренним БД и системам Microsoft. Cервер не был защищен паролем, то есть доступ к нему мог получить любой желающий.

Эксперты говорят, что случайно раскрытые данные могли помочь злоумышленникам найти или получить доступ к другим ресурсам, где Microsoft хранит свои внутренние файлы. В итоге это «могло привести к более значительной утечке данных и, вероятно, полностью скомпрометировать используемые сервисы».

Масштабная кибератака на пять французских муниципалитетов лишила госслужащих доступа к документам и возможности выполнять свою работу.

Согласно заявлению на сайте города Сен-Назер, в настоящее время нарушено функционирование веб-служб в следующих коммунах: Сен-Назер, Донжё, Порнише, Монтуар-де-Бретань и Ла-Шапель-де-Марэ.

Атака произошла ночью 9 апреля. Когда на следующее утро сотрудники местных органов власти пришли на работу, их попросили не включать свои компьютеры и не проверять электронную почту с мобильных телефонов.

Сейчас у затронутых инцидентом госслужащих нет доступа к рабочим местам, файлам и ПО для бизнеса, в связи с чем они не могут выполнять свою работу.

Чиновники предупредили, что восстановление может занять месяцы. Совещания касательно данной ситуации проводятся ежедневно. Французское агентство кибербезопасности ANSSI оказывает поддержку пострадавшим, чтобы как можно быстрее устранить последствия атаки.

Голландская компания Nexperia сообщила, что хакеры взломали ее системы и похитили данные.

В заявлении компании говорится:

«Nexperia стало известно, что неавторизованная третья сторона получила доступ к некоторым ее ИТ-серверам в марте 2024 года. Мы немедленно приняли меры и отключили затронутые системы от интернета, чтобы локализовать инцидент и реализовать масштабные меры по смягчению последствий. Также мы начали расследование с привлечением сторонних экспертов, чтобы определить характер и масштабы инцидента, и приняли жесткие меры для прекращения несанкционированного доступа».

Ответственность за эту атаку взяла на себя вымогательская хак-группа Dunghill (она же Dark Angels). 10 апреля на сайте группировки появилось сообщение о взломе Nexperia. Хакеры заявили, что украли у компании 1 ТБ конфиденциальных данных.

В качестве доказательства они опубликовали сделанные под микроскопом снимки электронных компонентов, паспорта сотрудников, соглашения о неразглашении и другие документы, подлинность которых пока не подтверждена.

Dunghill утверждает, что если Nexperia не выплатит выкуп, в открытом доступе будут обнародованы:

• 371 ГБ данных о проектировании и продукции, включая данные о контроле качества, NDA, коммерческие тайны, технические спецификации, конфиденциальные чертежи и производственные инструкции;
• 246 ГБ инженерных данных, включая внутренние исследования и информацию о технологии производства;
• 96 ГБ коммерческих и маркетинговых данных, включая информацию о ценообразовании и маркетинговом анализе;
• 41,5 ГБ корпоративных данных, включая данные о персонале, личные данные сотрудников, паспорта, NDA и так далее;
• 109 ГБ данных о клиентах и пользователях Nexperia, включая такие бренды, как SpaceX, IBM, Apple и Huawei;
  -121,1 ГБ файлов и разнородных данных, включая файлы хранилищ электронной почты.

Сторонняя компания, отвечающая за телефонную связь в службе многофакторной аутентификации Cisco Duo, была атакована с использованием методов социальной инженерии.

В уведомлении сообщалось, что организация, обеспечивающая передачу СМС для Cisco Duo, была взломана 1 апреля. Злоумышленники использовали украденные учётные данные сотрудников компании-поставщика. Получив доступ к ее системам, они загрузили журналы СМС-сообщений, отправленных определенным пользователям Duo в период с 1 по 31 марта 2024 года.

Cisco Duo не разглашает название взломанного партнера. Однако представители пояснили, что загруженные журналы содержали информацию о номерах телефонов, операторах связи, странах и регионах, куда были отправлены сообщения, а также другие метаданные, в том числе даты, время и типы сообщений. Сами тексты похищены не были.

Этот инцидент вписывается в две тревожные тенденции: успешность кибератак, основанных на социальной инженерии, и растущее внимание к поставщикам услуг идентификации.

Обзор новостей информационной безопасности с 5 по 11 апреля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Специалисты компании F.A.C.C.T. предупреждают о новой мошеннической схеме, позволяющей злоумышленникам отправлять фишинговые ссылки клиентам банков от имени популярного сервиса компании Google.

Как действуют преступники

1. Письмо, отправленное злоумышленниками, не отличается от рассылок, сделанных в сервисе Google Looker Studio.

2. В теме сообщения говорится про выплаты и онлайн-компенсации.

3. Ссылка в тексте письма ведет на Google-презентацию, содержащую единственный слайд, являющийся ссылкой на мошеннический ресурс.

4. Страницы всех представленных банков являются фишинговыми и созданными исключительно для кражи средств с карточек граждан.

5. При попытке получить «компенсацию» жертва рискует потерять данные своей банковской карты и деньги на ней.

Сложная многоступенчатая атака использует фишинговые сообщения с тематикой счетов-фактур для распространения вредоносного программного обеспечения Venom RAT, Remcos RAT, XWorm, NanoCore RAT и инфостилеров, нацеленных на криптовалютные кошельки.

Особенности кампании

1. Злоумышленники отправляют электронные письма с вложениями в формате Scalable Vector Graphics (SVG). При открытии таких файлов и активируется цепочка заражения.

2. После того, как жертвы открывают файл SVG, выполняется встроенный в этот файл сценарий, который создаёт ZIP-файл с именем INV0ICE_#TBSBVS0Y3BDSMMX.zip.

3. Отличительной чертой атаки является использование инструмента для обфускации вредоносного ПО BatCloak, а также ScrubCrypt для доставки вредоносов в виде обфусцированных пакетных скриптов.

4. BatCloak загружает следующие стадии полезной нагрузки таким образом, чтобы обойти механизмы обнаружения.

5. В последней кампании, проанализированной специалистами, вышеупомянутый SVG-файл служит каналом для передачи ZIP-архива, содержащего пакетный скрипт, вероятно, созданный с использованием BatCloak.

6. Скрипт затем распаковывает пакетный файл ScrubCrypt для окончательного запуска Venom RAT.

Venom RAT позволяет злоумышленникам контролировать заражённые системы, собирать конфиденциальную информацию и выполнять команды, получаемые от сервера управления.

Также с помощью системы плагинов доставляется инфостилер, собирающий информацию о системе и похищающий данные из папок, связанных с криптокошельками и приложениями Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty, Zcash, Foxmail и Telegram.

Создатели вредоносной кампании, нацеленной на ИТ-специалистов, используют рекламу в Google.

Всем, кто пытается найти бесплатные SSH- и Telnet-клиенты PuTTY и FileZilla, вместо настоящих сайтов выдаются вредоносные, содержащие троян-стилер Nitrogen.

Этот вредонос используется для получения доступа к частным сетям и кражи внутренних данных. Тем не менее, реклама злонамеренного ресурса покаазывается вверху поисковой выдачи Google.

Обнаружена кампания группировки TA547 (Scully Spider) по распространению модульной системы для кражи информации Rhadamanthys.

Схема кампании

1. Преступники рассылали вредонос в виде вложения к письмам, замаскированным под счета-фактуры немецкого бренда Metro.

2. Вложения представляли собой ZIP-архивы, защищённые паролем, которые содержали вредоносный LNK-ярлык.

3. Ярлык активировал выполнение PowerShell-скрипта, который, в свою очередь, запускал Rhadamanthys, хранящийся в кодировке Base64. Такой метод позволяет вредоносному коду выполняться в памяти, не затрагивая диск.

4. PowerShell-скрипт содержит уникальные характеристики, свойственные коду, сгенерированному ИИ (ChatGPT, Gemini или Copilot). Комментарии в коде, написанные с идеальной грамматикой, а также специфическая структура и наименование переменных, указывают на возможное использование генеративного ИИ для создания или модификации скрипта.

В Латинской Америке обнаружена новая фишинговая кампания, в ходе которой системы Windows заражаются вирусами через электронные письма.

Схема кампании

1. Атака начинается с рассылки электронных писем с вложением в виде ZIP-файла.

2. После распаковки архива открывается HTML-файл, который перенаправляет пользователя на загрузку мошеннического файла, маскирующегося под счет-фактуру. Отправитель электронного письма использовал адрес с доменом «temporary[.]link», а в качестве почтового агента указан Roundcube Webmail.

3. Особенностью HTML-файла является ссылка, ведущая на страницу с сообщением о приостановке аккаунта. Это происходит при подключении не из Мексики.

4. При доступе с IP-адреса из Мексики, открывается страница с CAPTCHA от Cloudflare Turnstile, с которой загружается вредоносный RAR-архив.

5. Этот архив содержит скрипт PowerShell, собирающий информацию о системе и проверяющий наличие антивирусного ПО на зараженном компьютере.

6. В архив включены строки, закодированные в Base64, предназначенные для выполнения PHP-скриптов, определяющих страну пользователя и загружающих с Dropbox ZIP-файл, содержащий множество подозрительных файлов.

Инциденты

Группа хакеров проникла в системы Министерства обороны и Министерства юстиции Израиля.

Сообщается, что в результате атаки были украдены и опубликованы в группах Telegram документы, раскрывающие внутренние переписки и заказы ведомств. Атакующие утверждают, что располагают обширным массивом данных и предлагают его к продаже за 50 биткоинов (около 3,5 млн долларов США).

Кроме выкупа, хакеры потребовали освободить 500 заключенных, совершивших террористические акты в обмен на нераспространение собранных данных. Служба безопасности Израиля отказалась обсуждать детали инцидента, подтвердив лишь факт проникновения.

По оценкам экспертов, хакеры, взломавшие системы Минюста похитили сотни гигабайт данных, включая информацию о сотрудниках Минюста и официальные документы.

Крупный российский агрокомплекс им. Н.И. Ткачева стал жертвой вымогательской кибератаки.

В результате инцидента данные на серверах агрокомплекса были похищены и зашифрованы вредоносным ПО. Сайт холдинга не работал 8 и 9 апреля.

В Агрокомплексе подтвердили технический сбой, вызванный хакерской атакой. Сейчас ведутся работы по устранению последствий взлома. Компания рассчитывает восстановить нормальную работу в течение ближайших 3-5 дней. В холдинге заверили, что инцидент не повлияет на поставки продукции населению и партнерам.

Сообщается, что целью злоумышленников была не остановка работы компании, а выкуп за похищенные данные: хакеры требуют выплатить им около 500 миллионов рублей. В Агрокомплексе факт требования выкупа комментировать отказались.

Эксперты по кибербезопасности предполагают, что доступ к данным агрохолдинга мог быть получен через фишинговые рассылки, уязвимости в публичных приложениях или незащищенные RDP-порты.

Хакеры из группировки «DumpForums» заявили, что им удалось взломать Департамент информационных технологий города Москвы (ДИТ, mos.ru/dit/) и похитить около 40 Тб данных.

Преступники утверждают, что первоначальный взлом произошел год назад и всё это время они находились в сети ДИТ.

В качестве подтверждения своих слов они предоставили дамп базы данных с таблицей пользователей (cwd_user) внутреннего ресурса jira.cdp.local. В таблице 335586 строк, содержащих:

• имя пользователя,
• ФИО,
• адрес эл. почты (288395 адресов на домене @mos.ru),
  дату регистрации и обновления записи (с 24.05.2019 по 20.06.2023),
• внутренние идентификаторы.

Компания CVS Group, владеющая одной из крупнейших в Великобритании сетей ветеринарных клиник, сообщила о серьезном киберинциденте, который нанёс значительный ущерб работе её филиалов по всей стране.

Инцидент заставил CVS активировать план экстренного реагирования и отключить некоторые системы.

Компания привлекла экспертов по кибербезопасности, чтобы они определили масштабы ущерба и помогли спланировать ответные действия.

Пока что характер потенциально затронутых данных не разглашается, но, вероятно, злоумышленники могли получить доступ к широкому спектру конфиденциальной информации, включая персональные документы, финансовые сведения и другие важные файлы.

Кибератака нарушила работу компании Targus, производителя сумок и аксессуаров для мобильных устройств.

B. Riley Financial, материнская компания Targus, сообщила о несанкционированном доступе к некоторым системам файлов Targus и последующем отключении большей части своей сети для изоляции инцидента.

Согласно заявлению, ситуация в настоящее время находится под контролем, и ведутся активные работы по восстановлению систем Targus. Компания не уточнила, какие именно операции были нарушены и когда они вернутся в нормальное русло.

Неизвестно, были ли украдены данные клиентов Targus в результате проникновения, но компания заявила о намерении сотрудничать с правоохранительными органами в отношении несанкционированного доступа к информации.

Кибератака нарушила работу IT-систем одного из крупнейших в мире производителей оптического оборудования компании Hoya Corporation.

Компания обнаружила инцидент в своём зарубежном офисе 30 марта и немедленно привлекла внешних экспертов по кибербезопасности. Предварительные выводы указывают на несанкционированный доступ к серверам со стороны третьих лиц.

После обнаружения инцидента Hoya изолировала пострадавшие серверы и сообщила о случившемся. Детали инцидента пока неизвестны.