Блог компании Антифишинг

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Опубликован отчёт Антифишинга о защищённости сотрудников компаний в 2020 году

Небезопасные действия сотрудников, так называемый человеческий фактор — одна из главных проблем современной информационной безопасности. Особенно актуальна эта проблема стала в 2020 году, когда множество сотрудников начали работать в непривычных для себя условиях, вне офиса, удаленно.

В процессе эксплуатации платформа «Антифишинг» собирает статистику по обучению сотрудников, их действиям во время имитированных атак и наличию программных уязвимостей, которые могут способствовать успеху реальной цифровой атаки.

От наших клиентов мы получили обезличенные данные по 100 тысячам имитированных атак на 20 тысяч сотрудников из 48 организаций и собрали их в отчет, который поможет ответить на ключевые вопросы:

  1. Почему обучающих курсов недостаточно для снижения рисков человеческого фактора в безопасности?
  2. Считается, что бухгалтерия и административный персонал — самые легкомысленные сотрудник. А как на самом деле?
  3. Какие технические и психологические факторы определяют успех цифровых атак на сотрудников?
  4. Помогут ли рассылки раз в полгода сформировать навыки безопасной работы?
  5. Можно ли эффективно вести процессы и защитить компанию при высокой текучести кадров?
  6. Важные факты и полный текст отчёта — на сайте Антифишинга →
 9   3 ч   пресс-релиз

Антифишинг-дайджест № 204 с 1 по 14 января 2021 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружены массовые кибератаки на правительственные и частные организации Колумбии. Предметом особого интереса хакеров стали энергетические и металлургические предприятия.

Схема атаки

  1. Жертва в целевой организации получает фишинговое письмо. Темы писем могут быть различными — от повесток в суд до сообщений о блокировке банковских счетов или приглашения пройти обязательный тест на коронавирус. Также встречались письма от имени Генеральной прокуратуры и Национального директората по налогам и таможенным сборам.
  2. В письмах содержится PDF-файл со ссылкой на RAR-архив. Если жертва загружает архив, размещенный на OneDrive, MediaFire или в других облачных хранилищах, содержащийся в нем файл запускает вредоносное ПО.
  3. Для развертывания вредоноса используется множество загрузчиков и упаковщиков, внедряющих троян для удаленного доступа в легитимный процесс.

Всего во вредоносной кампании используется три трояна удалённого доступа, которые продаются на хакерских форумах:

  • Remcos, который можно приобрести за 58 долларов США;
  • njRAT — использует в качестве управляющей инфраструктуры Pastebin.
  • AsyncRAT — инструмент для удаленного администрирования с открытым исходным кодом.

Обнаружена новая мошенническая кампания, которая заставляет пользователей ВКонтакте предоставить злоумышленникам свой пароль на фишинговом сайте.

Мошенническая схема базируется на предоставляемой соцсетью возможности выгрузки архива, содержащего данные, собранные за все время существования учетной записи. Получить такой архив может только сам пользователь, авторизовавшись в своем аккаунте. Ссылка на архив уникальна и открывается только из профиля пользователя.

Схема атаки:

  1. Пользователю «ВКонтакте» приходит сообщение о том, что архив со всей его перепиской в течение 24 часов будет отправлен на почту, при этом указанный адрес явно не принадлежит пользователю.
  2. Для отмены отправки архива жертве предлагается авторизоваться в своей учетной записи и сменить пароль, пройдя по ссылке, которая на самом деле ведет на фишинговый сайт. Пример одного из таких сайтов — vkarchives[.]com (уже удалён).
  3. Поддельная страница содержит форму с полями для смены пароля. Если жертва введет требуемые данные, они отправятся прямиком к преступникам.
  4. Получив пароль для авторизации в учетной записи жертвы, злоумышленник получает возможность выгрузить архив со всеми данными и воспользоваться ими в преступных целях. В архиве содержатся не только открытые данные, но также загруженные пользователем документы, привязки номеров телефона, список использованных банковских карт, история платежей.

Мобильная безопасность

Разработчик мобильного приложения Salaat First продавал личную информацию пользователей брокеру данных, который, в свою очередь, продавал сведения о геолокации всем желающим.

Приложение решает одну простую задачу — напоминает мусульманам об очередной молитве, а в результате такого «слива» у третьих лиц появилась возможность отслеживать перемещение исповедующих ислам людей.

Заказчиком сбора данных мусульман была французская компания Predicio, поставляющая данные ФБР, иммиграционной и таможенной службе США.

В Play Market у приложения Salaat First более 10 миллионов загрузок, что делает сбор данных довольно масштабным.

Новый мобильный троян Rogue позволяет получать доступ к устройствам жертв и похищать с них фотографии, информацию о геолокации, контакты и сообщения, изменять файлы и загружать дополнительные вредоносные программы.

Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если необходимые для работы разрешения не были получены, Rogue назойливо требует их предоставить. Если пользователь попытается отозвать права, на экране появляется пугающее пользователя сообщение: «Вы уверены, что хотите стереть все данные?».

Чтобы не вызывать подозрений, Rogue маскируется под официальное приложение от Google. В качестве управляющего сервера используется платформа Firebase, все команды и похищенная с устройства информация доставляются с помощью инфраструктуры Firebase.

Комбинация из Rogue и ещё одного вредоноса DarkShades продаётся на хакерских форумах за 29,99 долларов США в месяц или за 189,99 долларов США на неограниченный срок.

Атаки и уязвимости

В аппаратных ключах безопасности Google Titan и YubiKey обнаружена опасная уязвимость, эксплуатация которой позволяет восстановить первичный ключ шифрования, используемый для создания криптографических токенов.

Процесс взлома обычно занимает несколько часов, требует дорогостоящего оборудования и специального программного обеспечения.

Примерная схема атаки:

  1. С помощью фишингового письма получить имя пользователя и пароль пользователя ключа.
  2. Выкрасть ключ безопасности у владельца на время так, чтобы он не заметил пропажи.
  3. Аккуратно открыть пластиковый корпус устройства, чтобы потом его можно было собрать и вернуть владельцу. Процедура занимает около 4 часов.
  4. Проанализировать электромагнитное излучение во время операций с цифровыми подписями на основе ключа ECDSA, используемых для двухфакторной аутентификации FIDO U2F при подключении к учетной записи Google. Для восстановления одного секретного ключа требуется проанализировать с помощью машинного обучения около 6 тыс. операций. Это занимает около 6 часов.
  5. Вернуть ключ владельцу.

Стоимость оборудования для атаки составляет около 13 тыс. долларов США, а взломщику потребуются навыки реверс-инжиниринга микросхем и специальное ПО, которое нет в публичном доступе.

Среди необходимого оборудования:

  • измерительный комплекс Langer ICR HH 500-6, применяемый для испытаний микросхем на электромагнитную совместимость;
  • усилитель Langer BT 706;
  • микроманипулятор Thorlabs PT3/M с разрешением 10 мкм;
  • четырехканальный осциллограф PicoScope 6404D.

Инциденты

Компания Mimecast, предоставляющая услуги облачного управления электронной почтой для Microsoft Exchange и Microsoft Office 365, стала жертвой компрометации цифрового сертификата, который используется для безопасного подключения учетных записей Microsoft 365 Exchange к сервисам Mimecast.

О взломе стало известно лишь после того, как компания получила уведомление об инциденте от специалистов Microsoft.

Сертификат используется для проверки и аутентификации продуктов Mimecast Sync and Recover, Continuity Monitor и Internal Email Protect (IEP) для web-служб Microsoft 365 Exchange. Результатом компрометации может стать MitM-атака, перехват контроля над соединением и почтовым трафиком и хищение конфиденциальной информации.

Для предотвращения возможных злоупотреблений пользователям рекомендуется немедленно удалить существующее соединение в своем клиенте Microsoft 365 и повторно установить новое соединение, используя новый предоставленный сертификат.

Компания Nissan допустила утечку исходных кодов своего программного обеспечения. В публичном доступе оказались репозитории следующего ПО:

  • мобильных приложений Nissan Северная Америка;
  • некоторые детали диагностического инструмента Nissan ASIST;
  • Dealer Business Systems/Dealer Portal;
  • основной внутренней мобильной библиотеки Nissan;
  • сервисов Nissan/Infiniti NCAR/ICAR;
  • инструментов для привлечения и удержания клиентов;
  • инструментов и данных для продаж и исследования рынка;
  • различных маркетинговых инструментов;
  • портала транспортной логистики;
  • сервисов подключения к автомобилям;
  • различных других бэкендов и внутренних инструментов.

Причиной утечки стала небезопасная конфигурация приватного Git-репозитория, для доступа к которому использовались логин и пароль admin:admin.

Представители Nissan подтвердили факт утечки, но подчеркнули, что личная информация клиентов, дилеров или сотрудников не пострадала. Также в компании уверены, что в попавших в публичный доступ данных не было информации, создающей угрозу потребителям или их автомобилям.

Ещё одной жертвой утечки стала компания Hyundai: на хакерском форуме появилось объявление о продаже базы данных 1,3 млн зарегистрированных пользователей сайта hyundai.ru.

По словам продавца, база содержит полную информацию: ФИО, телефоны, адреса проживания и электронной почты, а также марку и VIN автомобиля. База доступна в формате SQL дампа.

 137   6 дн   дайджест   фишинг

Антифишинг-дайджест № 203 с 24 по 31 декабря 2020 года


Этот выпуск дайджеста завершает 2020 год. Пусть 2021 принесёт больше спокойствия, благополучия и уверенности в завтрашнем дне.
Оставайтесь в безопасности!


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

Компания Kawasaki Heavy Industries стала жертвой кибератаки, в результате которой злоумышленники получили доступ к серверу компании и предположительно, похитили конфиденциальные данные.

По имеющимся данным взломщики получили доступ к серверу в Японии из таиландского офиса компании. После обнаружения этой атаки были обнаружены другие несанкционированные подключения к серверам в Японии, осуществлявшиеся из  Индонезии, Филиппинов и США.

Из-за инцидента компания была вынуждена временно прервать всякую коммуникацию между этими локациями. Связь была восстановлена лишь 30 ноября 2020 года, после введения ограничительных мер, проведения аудита примерно 30 000 машин в сетях компании в Японии и Таиланде, а также окончательного подтверждения, что после инцидента несанкционированных подключений к японским серверам не было.

Из-за взлома и утечки данных японский разработчик игр Koei Tecmo отключил свои европейские и американские сайты.

Для взлома использовался целевой фишинг против сотрудника компании. Похищенная информация включает 65 тыс. записей, содержащих адреса электронной почты пользователей, IP-адреса, хешированные пароли с солью, имена пользователей, даты рождения и информацию о стране проживания. Хакер пытался продать её на подпольном форуме за 0,05 биткоина что составляет около 1,3 тыс. долларов США по текущему курсу, а когда желающих купить не нашлось, опубликовал похищенные сведения бесплатно.

Кроме информации взломщик предлагал купить за 0,25 биткоина (около 6,5 тыс. долларов США) доступ к веб-шеллу, который он установил на сайте компании.

Компания Whirlpool стала жертвой вымогательского ПО Nefilim, операторы которого похитили данные и зашифровали устройства в корпоративной сети.

После атаки киберпреступная группировка опубликовала похищенные у Whirlpool файлы, среди которых были документы по выплатам сотрудникам, запросы на трудоустройство, медицинская информация, результаты проверок биографических данных.

Представители Whirlpool подтвердили факт кибератаки изданию и сообщили, что в настоящее время их системы полностью восстановлены, никаких операционных последствий для бизнеса из-за инцидента не было

Хакеры получили доступ к внутренней IT-системе парламента Финляндии и взломали электронную почту нескольких депутатов. Инцидент произошёл осенью 2020 года, но был обнаружен только в декабре.

Согласно версии следствия, неизвестные злоумышленники взломали IT-систему парламента и получили доступ к конфиденциальной информации либо в интересах иностранного государства, либо с целью причинения вреда Финляндии. Правоохранительные органы сообщают, что кража затронула более одного человека, но точное число не называется, чтобы не навредить расследованию.

Неизвестные хакеры внедрили вредоносное ПО в приложения вьетнамского государственного центра сертификации (Vietnam Government Certification Authority, VGCA), который выдает цифровые сертификаты для электронной подписи документов. Из-за компрометации пострадали частные компании и правительственные учреждения.

Любой гражданин Вьетнама, компания и государственное учреждение, которое хочет отправить файлы вьетнамскому правительству, должны подписать их цифровым сертификатом, совместимым с VGCA. Для удобства VGCA не только выдает сертификаты, но и предоставляет приложения, которые можно установить на компьютеры, чтобы автоматизировать процесс подписания документов.

Именно такие приложения и скомпрометировали злоумышленники, внедрив в них троян-бэкдор PhantomNet, также известный под названием Smanage.

Этот вредонос обычно используется как средство для загрузки более мощных плагинов, например, прокси для обхода корпоративных брандмауэров, обратных шеллов и шпионов и шифровальщиков. Предполагается, что задачей компрометации была разведка в сетях жертв и подготовка к более серьезным атакам.

Атаки и уязвимости

Уязвимость сервиса Документы Google позволяла похищать скриншоты конфиденциальных документов, встроив их в вредоносный сайт.

Для атаки использовалась опция обратной связи, с помощью которой Google давала пользователям возможность отправлять отзывы, отчеты об ошибках и пожелания по улучшению работы сервиса. При этом можно было включить в сообщения скриншоты, иллюстрирующие проблему.

Видео: демонстрация эксплуатации уязвимости

Функциональность обратной связи была реализована в виде элемента iframe, который загружал контент с feedback.googleusercontent.com.
Из-за того, что в домене Документов Google отсутствовал заголовок X-Frame-Options, злоумышленник мог заменить фрейм произвольным внешним web-сайтам и таким образом перехватывать скриншоты Документов Google, предназначавшиеся для отправки на серверы Google.

Уязвимости популярных систем распознавания лиц позволяют злоумышленникам разрешить доступ в помещения компании кому угодно и даже назначить в системе своих администраторов.

Например, система ZKTeco FaceDepot:

  • построена на базе устаревшей версии Android;
  • имеет доступный для всех USB-порт;
  • позволяет даже посторонним устанавливать приложения с подключенного накопителя;
  • не использует шифрование при обмене с сервером.

Использование таких систем в офисах создаёт иллюзию безопасности, в то время как проникнуть в помещение при желании может кто угодно.

Вредоносное ПО

Обнаружено вредоносное ПО, которое использует Word-файлы с макросами для загрузки PowerShell-скриптов с GitHub. Скрипт дополнительно загружает легитимный файл из сервиса хостинга изображений Imgur для декодирования полезной нагрузки Cobalt Strike на системах Windows.

Фрагмент скрипта, раскодирующего и запускающего полезную нагрузку из файла на хостинге Imgur.

Схема атаки:

  • пользователь получает письмо, содержащее вложенный документ Word с макросами в устаревшем формате * .doc;
  • при открытии документа Word запускается встроенный макрос, которые запускает powershell.exe и передает ему расположение PowerShell-скрипта, размещенного на GitHub.
  • скрипт загружает реальный PNG-файла из сервиса хостинга изображений Imgur;
  • значения пикселей изображения используются скриптом для раскодирования полезной нагрузки, в цикле перебирая значений пикселей в PNG и выполняя различные арифметические операции для получения функционального кода;
  • декодированная полезная нагрузка представляет собой вредоносное ПО Cobalt Strike. Она связывается с управляющим сервером через модуль WinINet и ждёт дальнейших инструкций.
 118   20 дн   дайджест   фишинг
Ранее Ctrl + ↓