Обзор новостей информационной безопасности с 24 по 30 марта 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы свежей мошеннической схемы предлагают пользователю забрать средства, якобы намайненные его аккаунтом в некой «автоматической облачной майнинговой платформе».

Схема кампании

1. Все начинается с письма с вложенным PDF-файлом, в котором получателя уведомляют о том, что он уже год не входил в аккаунт сервиса для облачного майнинга Bitcoin Cloud Mining. За это время у него на счету накопилась серьезная сумма — аж 0,7495 биткоина. Но поскольку аккаунтом не пользовались почти год, он совсем скоро будет заблокирован, после чего намайненные деньги будут распределены между другими участниками платформы. Времени до блокировки остается немного

2. Чтобы забрать средства, нужно срочно войти в аккаунт.

3. Кликнув по кнопке из файла, пользователь оказывается на сайте «майнинговой платформы» Bitcoin Mining.

4. Оказывается, что платформа помнит его по IP-адресу, так что вспоминать логин и пароль не требуется.
5. Сумма к выплате даже немногим больше, чем было сказано в присланном PDF, — аж 1,3426 биткоина, или чуть больше 30 000 долларов США.

6. Для вывода средств есть лишь 18 часов, 39 минут и 54 секунды — надо поторопиться!

7. Пароль и логин уже введены в форму, остается только нажать кнопку входа в аккаунт.

8. После клика по кнопке «Получить выплату» сайт отправляет посетителя в чат, имитирующий переписку с некой Софией, главой отдела выплат. Придется заполнить форму, в которой надо указать личные данные, включая номер карты.

9. Жертве предлагают конвертировать криптовалюту в доллары, заплатив небольшую комиссию — 0,25%. В пересчете на деньги комиссия получается даже меньше указанной четверти процента от причитающейся суммы — всего 64,03 доллара США.

10. Оплатить «комиссию» надо в криптовалюте, поэтому далее пользователя переводят на страницу, на которой объясняется, как эту криптовалюту можно приобрести.

11. После нажатия на кнопку «Заплатить» появляется страница, на которой пользователю сообщают адрес кошелька, на который, собственно, необходимо перевести «комиссию».

12. Разумеется, после выплаты «комиссии» жертва не получит ни копейки, заодно поделившись с мошенниками не только деньгами, но и своими платежными и персональными данными, которые злоумышленники могут в дальнейшем использовать в других схемах либо просто продать в дарквебе.

В рамках новой кампании по краже криптовалюты злоумышленники распространяют троян CryptoClipper под видом браузера Tor.

С этой вредоносной кампанией столкнулись более 15 000 пользователей в 52 странах мира, но больше всего атак было зафиксировано в России. Также в первую десятку стран по количеству жертв злоумышленников вошли США, Германия, Узбекистан, Беларусь, Китай, Нидерланды, Великобритания и Франция.

Схема кампании

1. Вредоносные версии Tor, как правило, рекламируются как «усиленные» версии от Tor Project или предлагаются пользователям в странах, где Tor запрещен, что затрудняет загрузку официальной версии.

2. Такие установщики содержат стандартную версию браузера Tor, в большинстве случаев устаревшую, а также дополнительный исполняемый файл, спрятанный в защищенном паролем архиве RAR, настроенном на самораспаковку в системе жертвы.

3. Пока обычный браузер Tor запускается, на фоне происходит извлечение архива малвари и запуск ее в виде нового процесса. Также угроза прописывается в автозагрузке. Нередко вредоносное ПО использует иконку uTorrent, чтобы скрыться во взломанной системе.

4. После этого CryptoClipper внимательно следит за содержимым буфера обмена. Как только туда попадает адрес криптовалютного кошелька, вредонос подменяет его на адрес злоумышленника.

По оценкам экспертов, в 2023 году с помощью этой малвари было украдено криптовалюты на сумму более 400 000 долларов США.

Обнаружена новая фишинговая кампания, в ходе которой распространяется бэкдор Action RAT.

Кампания нацелена на организации оборонных исследований и разработок (DRDO), научно-исследовательского подразделения Министерства обороны Индии.

Схема кампании

1. Цепочка атак начинается с целевых фишинговых писем с вложением в виде ZIP-архива, который содержит LNK-файл, выдающий себя за презентацию о баллистической ракете К-4, разработанной DRDO.

2. Выполнение LNK-файла приводит к извлечению HTML-приложения с удаленного сервера, который, в свою очередь, отображает поддельную презентацию, а также скрытно развертывает бэкдор Action RAT.

3. Установленный вредонос выполняет команды, отправленные с сервера управления и контроля, например, сбор информации о машине-жертве, сбор файлов с устройства, доставка других вредоносных программ.

4. В ходе кампании также устанавливается новый инфостилер под названием Auto Stealer, который через HTTP или TCP собирает и извлекает файлы Microsoft Office, PDF-документов, баз данных, текстовых файлов и изображений.

Атаки и уязвимости

В стандарте IEEE 802.11 обнаружена фундаментальная уязвимость, которая позволяет вынудить точки доступа Wi-Fi передавать сетевые кадры в формате простого текста.

Уязвимость можно использовать для захвата TCP-соединений и перехвата клиентского трафика.

Кадры или фреймы Wi-Fi (WiFi frame) представляют собой контейнеры данных, состоящие из заголовка, полезной нагрузки и трейлера. Они содержат MAC-адрес источника и пункта назначения, а также данные для контроля и управления.

Кадры упорядочиваются и имеют очередность, передаваясь контролируемым образом, чтобы избегать коллизий и максимизировать производительность обмена данными путем мониторинга состояний busy/idle для точек приема.

Исследователи обнаружили, что упорядоченные/буферизованные кадры недостаточно защищены от злоумышленников, которые в итоге получают возможность манипулировать передачей данных, осуществлять спуфинг клиента, перенаправление и перехват кадров.

Проблема заключается в том, что стандарт IEEE 802.11 имеет энергосберегающие механизмы, которые позволяют устройствам экономить энергию за счет буферизации или постановки в очередь кадров, предназначенных для «спящих» устройств.

Когда клиентская станция (принимающее устройство) переходит в спящий режим, она отправляет точке доступа кадр со специальным заголовком, содержащим «энергосберегающий» бит, после чего все кадры, предназначенные для этой станции, ставятся в очередь. Как только клиентская станция просыпается, точка доступа извлекает буферизованные кадры из очереди, шифрует и передает адресату.

Однако стандарт не содержит явных указаний по управлению безопасностью для таких кадров в очереди, а также не устанавливает ограничений (например, не определяет, как долго кадры могут оставаться в таком состоянии).

Злоумышленник может подделать MAC-адрес устройства в сети и передать «энергосберегающие» кадры точке доступа, вынудив ее поставить в очередь кадры, предназначенные для жертвы. После этого атакующий передает точке доступа кадр пробуждения и получает кадры из очереди.

Обнаружена массовая атака через цепочку поставок на пользователей системы VoIP-телефонии 3СX.

Схема атаки

1. Пользователь загружает с официального сайта компании установочный пакет и запускает его или получает обновление для уже установленной программы.

2. После установки троянизированная программа создает несколько вредоносных библиотек, которые используются для следующего этапа атаки.

3. Затем зловред скачивает размещенные на сайте GitHub файлы формата .ICO, в которых спрятаны дополнительные строки данных.

4. Далее эти строки используются для скачивания финальной вредоносной нагрузки, которая, собственно, и используется для атак на различные компании.

5. Скачиваемый зловред умеет собирать сведения о системе, а также воровать информацию и сохраненные учетные данные из профилей пользователей таких браузеров как Chrome, Edge, Brave и Firefox. Кроме того, злоумышленники могут развернуть интерактивную командную оболочку, которая в теории позволяет сделать с компьютером жертвы практически что угодно.

Инциденты

Пул ликвидности токенов SafeMoon потерял 8,9 миллиона долларов США после того, как неизвестный хакер воспользовался недавно добавленной функцией смарт-контрактов «burn», которая искусственно завысила цену криптовалюты SFM, позволив участникам продавать её гораздо более выгодно.

Пулы ликвидности на платформах DeFi — это крупные депозиты криптовалюты, которые облегчают торговлю, обеспечивают рыночную ликвидность и, как правило, позволяют биржам функционировать без заимствований валюты у третьих лиц.

Согласно данным PeckShield, недавнее обновление на платформе SafeMoon представило новую функцию смарт-контрактов под названием «burn», которая позволяет «сжигать» токены. Само по себе «сжигание токенов» — вполне нормальный и правомерный процесс на криптоплошадках. Но в случае с SafeMoon функция была ошибочно установлена ​​как общедоступная, действующая без ограничений, что позволяло любому пользователю платформы воспользоваться ей.

Директор SafeMoon ранее заявлял, что «сжигание» будет использоваться только в экстренных случаях. Например, когда пул ликвидности столкнётся с рисками из-за вредоносных смарт-контрактов, чрезмерного проскальзывания и прочих моментов. Но так как ей воспользовался злоумышленник, он решил в своих интересах сжечь сразу больше количество токенов SafeMoon, в результате чего цена токена резка выросла.

Как только цена выросла, криптовалюта SafeMoon была продана с другого адреса по манипулируемой цене, что позволило выкачать почти 9 миллионов долларов из пула ликвидности SafeMoon:WBNB.

Довольно забавно то, что через несколько часов после атаки человек, сконвертировавший SafeMoon в BNB, заявил, что он сделал это не со злым умыслом, а «случайно зашел на опережение» после того, как цена была искусственно завышена из-за использования функции «burn». Якобы, токены сжёг кто-то другой, а этот человек просто успел выгодно провести сделку.

Crown Resorts, крупнейшая австралийская компания в сфере азартных игр и развлечений, подтвердила утечку данных в результате кибератаки вымогателей Cl0p.

Группировка Cl0p утверждает, что похитила данные из сетей компании и потребовала выкуп, однако Crown Resorts заявляет, что утечка не повлияла на клиентов и бизнес-операции. Представители жертвы заявили, что фирма будет работать с правоохранительными органами для расследования инцидента.

На данный момент киберпреступники только заявили о взломе Crown Resorts, но ещё не опубликовали украденные данные.

Еще одной жертвой вымогателей Cl0p стал клуб вознаграждений Virgin Red компании Ричарда Брэнсона, взломанный с помощью уязвимости Fortra GoAnywhere.

Представитель Virgin сообщил:

«Недавно с нами связалась группа вымогателей Cl0p, которая украла несколько файлов Virgin Red в результате кибератаки на нашего поставщика Fortra. Рассматриваемые файлы не представляют опасности для клиентов или сотрудников, поскольку они не содержат личных данных»/

На данный момент на сайте Cl0p нет информации о том, какие данные были украдены и когда произошёл инцидент.

Кроме конгломерата Virgin, злоумышленники также проникли в системы города Торонто, Канада, используя ошибку GoAnywhere. Хакерам удалось получить доступ к «данным города». Однако, какие именно данные затронуты, не сообщается.

Среди жертв группировки Cl0p — многие известные бренды и организации, среди которых Shell, Hitachi, Bombardier, Rubrik, Hatch Bank. Некоторые компании были взломаны хакерами Cl0p с помощью уязвимости нулевого дня в Fortra GoAnywhere Эта ошибка позволила киберпреступникам за 10 дней украсть данные более 130 организаций .

Операторы нового шифровальщика Dark Power опубликовали в даркнете данные 10 своих жертв и угрожают «слить» похищенную у них информацию, если те не заплатят выкуп.

Полезная нагрузка Dark Power написана на языке Nim, поэтому практически не обнаруживается защитными решениями, но имеет при этом высокое быстродействие.

Записка с требованием выкупа заметно отличается от других вымогателей, поскольку представляет собой восьмистраничный документ PDF, содержащий подробную информацию о том, что произошло, а также данные для связи со злоумышленниками через мессенджер qTox.

На данный момент жертвами Dark Power уже стали десять компаний из США, Франции, Израиля, Турции, Чехии, Алжира, Египта и Перу, чьи названия уже опубликованы на сайте хак-группы.

Несколько колледжей и университетов в Луизиане восстанавливают свои сети после кибератаки, которая вынудила учебные учреждения отключить доступ в Интернет для тысяч студентов и преподавателей.

Среди пострадавших от кибератаки следующие учебные заведения:

• Университет Нового Орлеана, который обслуживает около 7000 студентов, наряду с другими учреждениями, 26 марта обнаружил индикатор компрометации и отключил интернет-системы своих кампусов, чтобы активировать функции безопасности. По словам представителей Университета, были затронуты следующие сетевые системы в кампусе UNO: интернет в кампусе, Wi-Fi, электронная почта UNO, виртуальная обучающая среда Moodle, система управления человеческим капиталом Workday и платформа управления PeopleSoft. Системы будут возвращены в прежний режим в скором времени.
• Общественный колледж Нуньеса сообщил , что он «будет работать и проводить занятия удаленно в понедельник, 27 марта», ожидая возвращения к нормальной работе во вторник.
• Сельскохозяйственный центр СМЛ не публиковал никаких заявлений по этому поводу и не отвечал на запросы о комментариях.
• Южный университет в Шривпорте заявил , что гостевой Wi-Fi и другие приложения по-прежнему не работают из-за инцидента. Все занятия в школе будут проходить виртуально до особого распоряжения.

Австралийская финансовая компания Latitude Group Holdings заявила о кибератаке, в ходе которой злоумышленники украли 7,9 млн. номеров водительских прав жителей Австралии и Новой Зеландии, а также заморозила операции компании.

Об атаке стало известно 16 марта, когда хакерам удалось украсть 103 тыс. номеров водительских прав. Анализ показал, что сейчас это число достигло 7,9 млн номеров. По словам компании, хакеры также получили доступ к 53 тыс. номеров паспортов и более 6 млн. записей о клиентах за период с 2005 по 2013 год.

Компания описала эту кибератаку как «очень тревожное событие». Latitude Group Holdings ведёт внутреннее расследование для выяснения причин и обстоятельства инцидента.

После объявления о кибератаке акции Latitude упали на 2,5%, поскольку инвесторы опасались, что риск может быть хуже, чем предполагалось ранее. Однако Latitude заявила, что страховка компании покрывает риски кибербезопасности.

Из-за компрометации разработчики GitHub заменили приватный ключ RSA SSH, используемый для защиты Git-операций.

В компании уверяют, что это лишь мера предосторожности, но замена понадобилась в силу того, что прошлый ключ был случайно опубликован в общедоступном репозитории.

В блоге представители GitHub признают, что на прошлой неделе выяснилось, что закрытый ключ RSA SSH для GitHub.com был ненадолго раскрыт в общедоступном репозитории.

«Мы немедленно приняли меры по сдерживанию распространения и начали расследование, чтобы понять первопричину [утечки] и ее последствия», — пишет Майк Хэнли, глава безопасности GitHub и старший вице-президент по инженерным вопросам.

Однако в компании не сообщают, когда именно ключ был раскрыт, и как долго он находится в открытом доступе. При этом GitHub уверяет, что «нет никаких оснований полагать», что раскрытым ключом злоупотребляли, подчеркивая, что все это лишь мера предосторожности.

Часть исходного кода социальной сети Twitter была выложена в интернет и оставалась в открытом доступе в течение нескольких месяцев.

Информация была доступна для пользователей на онлайн-платформе для разработчиков программного обеспечения GitHub. Утечку удалось устранить только в пятницу, а точный срок, в течение которого исходный код находился в открытом доступе, пока неизвестен.

Twitter подтвердила в СМИ, что действительно произошла утечка части исходного кода соцсети и данных кеша некоторых серверов. По мнению компании, это серьезный инцидент с раскрытием интеллектуальной собственности.

Эксперты пояснили, что одна из проблем этой утечки заключается в том, что выложенный код содержал информацию об уязвимостях в системе безопасности, которые могут дать хакерам или другим заинтересованным сторонам средства для извлечения пользовательских данных или отключения сайта Twitter.

Обзор новостей информационной безопасности с 17 по 23 марта 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая схема с использованием легитимных серверов SharePoint используется для кражи логинов и паролей к различным почтовым аккаунтам, в том числе Yahoo!, AOL, Outlook, Office 365.

Как действуют мошенники

1. Сотруднику приходит стандартное уведомление SharePoint о том, что кто-то поделился с ним файлом.

2. Сотрудник кликает на ссылку и попадает на реальный сервер SharePoint, на котором действительно открывается заявленный файл OneNote.

3. Внутри он выглядит как еще одно извещение о файле и содержит здоровенную иконку PDF. Получатель воспринимает это как еще один шаг для скачивания данных и кликает на ссылку — а вот она уже фишинговая.

4. По ссылке открывается стандартный фишинговый сайт, имитирующий вход на OneDrive, на котором злоумышленники готовы украсть учетные данные для Yahoo!, Aol, Outlook, Office 365 или любого другого типа почтового ящика.

Особая опасность данной кампании заключается в том, что злоумышленники не просто спрятали фишинговую ссылку на сервере SharePoint, но и распространяют ее при помощи родного механизма для рассылки нотификаций. Все, что нужно сделать злоумышленникам, это получить доступ к чьему-то серверу SharePoint (при помощи аналогичной или любой другой фишинговой уловки).

После этого они могут загрузить туда свой файл со ссылкой и добавить список адресов людей, с которыми этой ссылкой следует поделиться. А дальше SharePoint сам услужливо разошлет нотификации. Причем письма с нотификациями будут иметь безупречную репутацию — ведь они придут от имени легитимного сервиса настоящей компании.

Операторы банковского трояна Mispadu проводят несколько спам-кампаний в Боливии, Чили, Мексике, Перу и Португалии и других странах, с целью кражи учетных данных и доставки другого вредоносного ПО.

Как действуют преступники

1. Цепочка атак включает в себя электронные письма, призывающие получателя открыть поддельные просроченные счета.
2. Когда жертва открывает HTML-вложение, Mispadu проверяет, что файл был открыт с настольного компьютера, а затем перенаправляет жертву на удаленный сервер для загрузки вредоносного архива.
3. Архив RAR или ZIP использует поддельные цифровые сертификаты, один из которых представляет собой вредоносное ПО Mispadu, а другой — установщик AutoIT для декодирования и запуска трояна с использованием легитимной утилиты командной строки certutil.
4. Mispadu собирает список установленных антивирусных решений, перехватывает учетные данные из Google Chrome и Microsoft Outlook и загружает дополнительные вредоносные программы, среди которых обфусцированный VBS-дроппер, предназначенный для доставки полезной нагрузки с жестко закодированного домена.
5. Доставляемая полезная нагрузка представляет из себя:

• инструмент удаленного доступа на основе .NET, который может выполнять команды, получаемые с C2-сервера;
• загрузчик, написанный на Rust, который запускает PowerShell-загрузчик для запуска файлов непосредственно из памяти.

Использование «certutil» позволил Mispadu обойти обнаружение широким спектром антивирусов и собрать более 90 000 учетных данных онлайн-банков с более 17 500 уникальных веб-сайтов.

Атаки и уязвимости

Разработана бесшумная атака, направленная на уязвимости голосовых ассистентов Apple Siri, Google Assistant, Amazon Alexa или Microsoft Cortana.

«Околоультразвуковой бесшумный троян» («Near-Ultrasound Inaudible Trojan», NUIT) наглядно демонстрирует, как хакеры могут использовать самую обычную экосистему умного дома против её владельца.

Для проведения атаки с использованием NUIT злоумышленник может использовать обычное видео, загруженное на YouTube, или даже онлайн-созвон через условный Zoom. Главное, чтобы звук выводился на колонки и воспринимался голосовым ассистентом.

В ходе атаки на динамики жертвы передаётся обычная команда для голосового ассистента, многократно ускоренная для мгновенного выполнения. Она воспроизводится в близком к ультразвуку частотном диапазоне, чтобы человеческое ухо её не зафиксировало. Таких команд может быть несколько, и наиболее эффективными они являются как раз при последовательном выполнении.

Например, «OK, Google, установи громкость мультимедиа на 0» (чтобы жертва не услышала ответов ассистента), затем «ОК, Google, выключи свет во всей квартире» или «OK, Google, открой входную дверь» и т. д.

Чтобы от подобной атаки был реальный вред, квартира потенциальной жертвы должна быть буквально напичкана умными устройствами

Инциденты

В открытом доступе появилась вторая часть дампа, полученного из мобильного приложения бонусной программы «СберСпасибо».

Структура второго «слива» совпадает с первой утечкой, опубликованной в начале марта 2023 года. В дампе содержатся номера телефонов, даты рождения, регистрации в сервисе, дата последнего входа, а также хэшированные номера карт.

По информации DLBI, новый файл содержит:

• телефоны (4,5 млн уникальных номеров);
• хешированные (SHA1 без соли) номера банковских карт (основной карты и дополнительных);
• даты рождения;
• даты создания и обновления записи (с 05 июня 2022 по 22 января 2023);

Теперь в общей сложности были обнародованы 51 977 405 уникальных номеров телефонов и 3 298 456 уникальных email-адресов.

Выборочная проверка номеров банковских карт (через переводы с карты на карту) показала, что часть карт действительны, и перевод на них возможен, а на часть карт, видимо, уже неактивны, так как перевод на них невозможен.

Журналист и ведущий Ecuavisa был ранен, после того как получил по почте USB-флешку, а она взорвалась при подключении к компьютеру. Такие же устройства были отправлены еще как минимум пяти эквадорским журналистам.

В результате взрыва USB-накопителя пострадавший журналист Ecuavisa, Ленин Артиеда (Lenin Artieda), получил травмы рук и лица, больше никто не пострадал. По данным полиции, взорвалась только половина заложенного в USB-накопитель заряда, и исход мог быть более печальным, если бы все прошло, как планировали злоумышленники.

Также сообщается, что активация взрывного устройства могла произойти от электрического заряда, который флешка получила при подключении. По словам Льерены, накопитель мог содержать гексоген, хотя это пока не подтверждено лабораторным анализом.

Организация по защите интересов прессы и свободы слова, Fundamedios, осудила это нападение и сообщила в официальном заявлении, что еще минимум трое журналистов, в том числе из TC Televisión, Teleamazonas и радио Exa FM, получили по почте такие USB-накопители и письмами с угрозами.

У медиакомпании Lionsgate произошла утечка данных.

Нарушение касается платформы потокового видео Lionsgate Play, которая оставила открытым экземпляр базы данных ElasticSearch с пользовательскими данными. Эксперты обнаружили 20 ГБ незащищенных журналов сервера (логи), которые содержали почти 30 млн. записей, самая старая из которых датирована маем 2022 года.

Записи содержали:

• IP-адреса пользователей сервиса и информация об их устройствах, операционной системе и веб-браузере;
• данные об использовании платформы, которые обычно используются для аналитики и отслеживания производительности;
• URL-адреса, содержащие заголовки и идентификаторы контента, который пользователи просматривали на платформе, а также поисковые запросы, введенные пользователями;
• неопознанные хэши с зарегистрированными HTTP GET запросами. Поскольку эти хэши были включены в HTTP-запросы, они могли использоваться в качестве секретов для аутентификации или просто идентификаторов пользователей.

Неизвестный хакер украл личные данные клиентов Ferrari и требует выкуп.

Компания объявила об инциденте на своём сайте 20 марта и отметила, что не уступит требованиям хакера:

«Согласно политике, Ferrari не будет платить выкуп, поскольку выкуп финансирует преступную деятельность и позволяет злоумышленникам увековечивать свои атаки».

Вместо уплаты выкупа Ferrari уведомила клиентов о потенциальном раскрытии данных. Компания заявила, что после получения требования выкупа Ferrari начала расследование в сотрудничестве со сторонней ведущей глобальной фирмой по кибербезопасности. Автопроизводитель заявил, что инцидент не повлиял на операции компании.

Ferrari сообщила, что раскрытая информация включает имя, адрес проживания, адрес электронной почты и номер телефона. Компания не нашла доказательств того, что финансовая информация и данные о купленных автомобилях были скомпрометированы.

В результате кибератаки на крупного поставщика услуг аутентификации для Latitude Financial произошла масштабная утечка персональных данных клиентов компании.

Инцидент вынудил Latitude Financial отключить свои сети и прекратить обслуживание клиентов, а также приостановить торговлю своими акциями. Latitude Financial до сих пор не удалось определить пострадавшего поставщика.

В ходе утечки были раскрыты учетные данные сотрудников, которые использовались для входа в систему двух других поставщиков услуг, которых Latitude использует для проверки личности. Учетные данные использовались для доступа к более 100 000 идентификационных документов от одного поставщика услуг и более 225 000 клиентских записей от другого. Учетные данные позволяют получить доступ к информации о водительских правах, паспортах и ​​картах медицинского страхования клиентов.

Latitude Financial сообщила , что атака продолжается и что она вывела сервисы компании из строя, сделав невозможным обслуживание клиентов и торговых партнеров. Компания надеется постепенно восстановить системы и свою работу в ближайшие дни.

Ведущий производитель криптовалютных банкоматов General Bytes сообщил, что хакеры похитили криптовалюту у самой компании и ее клиентов, используя 0-day уязвимость в платформе BATM.

Хакеры воспользовались уязвимостью нулевого дня, которая теперь получила идентификатор BATM-4780, для удаленной загрузки Java-приложения через главный служебный интерфейс банкомата и последующего запуска приложения с привилегиями пользователя batm.

Группа Play взломала морскую логистическую компанию Royal Dirkzwager.

Группировка объявила о краже украденных личных и конфиденциальных данных, в том числе данные сотрудников, их паспортов и контрактов. Хакеры опубликовали 5 ГБ архив в качестве доказательства взлома и пригрозили выложить полный дамп, если компания не заплатит выкуп.

Генеральный директор компании Джоан Блаас заявил, что атака программы-вымогателя не повлияла на деятельность компании. Компания уведомила Управление по защите данных Нидерландов и подтвердила, что ведет переговоры с киберпреступниками.

Hitachi Energy подтвердила утечку данных своих сотрудников, вызванной эксплуатацией уязвимости нулевого дня GoAnywhere группировкой Cl0p.

Хакеры эксплуатировали уязвимость нулевого дня в Fortra GoAnywhere MFT CVE-2023-0669 (CVSS: 7.2). Hitachi отключила затронутую систему (GoAnywhere MFT) и начала внутреннее расследование, чтобы определить влияние нарушения и количество украденных данных.

Все затронутые сотрудники, соответствующие органы по защите данных и правоохранительные органы были проинформированы об инциденте.

Обзор новостей информационной безопасности с 10 по 16 марта 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Вредоносная кампания по распространению инфостилеры Raccoon, RedLine и Vidar использует YouTube-ролики, созданные искусственным интеллектом.

Особенности кампании

1. Видео маскируются под руководства по загрузке взломанных версий Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD.
2. Ссылки на вредоносное ПО обычно содержатся прямо в описании под видео, и их часто обфусцируют при помощи сокращателей URL-адресов (Bitly и Cuttly). Вредоносы также могут размещаться в MediaFire, Google Drive, Discord, GitHub и Telegra.ph.
3. Каждый час на YouTube загружается от 5 до 10 таких роликов, при этом злоумышленники используют методы отравления SEO (SEO poisoning), чтобы видео появлялись в верхней части поисковой выдачи.

4. Хакеры используют утечки данных и социальную инженерию для захвата чужих аккаунтов на YouTube, а затем (пока взлом не будет обнаружен) задействуют популярные каналы для распространения своих вредоносов.

5. В последнее время увеличилось количество видео, созданных искусственным интеллектом (с помощью таких платформ, как Synthesia и D-ID). Исследователи поясняют, что давно установленный факт гласит, что видео с участием людей, особенно с определенными чертами лица, кажутся пользователям более привычными и заслуживающими доверия.

Исследователи пишут, что YouTube остается одним из наиболее популярных каналов для распространения вредоносного ПО, причем активность злоумышленников, связанная с распространением стилеров через видеохостинг, в последнее время увеличивается на 200-300% по сравнению с предыдущим месяцем.

Сбербанк предупреждает о набирающих обороты случаях мошенничества, в которых жертву обвиняют якобы в измене Родине.

Схема действий мошенников:

1. Мошенники звонят клиенту, представляются сотрудниками полиции или ФСБ и сообщают, что сотрудник банка, в котором обслуживается клиент, украл его персональные данные и переводит деньги на счета армии Украины.
2. Поскольку ответственность лежит на владельце карты, клиент может быть обвинен в государственной измене и наказан лишением свободы до 20 лет.
3. Затем мошенники подключают «службу безопасности банка» и заставляют клиента переводить деньги на их счета или даже брать кредиты, объясняя это необходимостью вычислить «сотрудника» банка, якобы укравшего персональные данные клиента.

Обнаружена новая кибершпионская кампания, нацеленная на дипломатические учреждения и системы, передающие конфиденциальную информацию о политике стран ЕС.

Схема кампании:

1. Цепочка атаки начинается с фишингового электронного письма, содержащего документ-приманку
2. В документе имеется ссылка, ведущая к загрузке вредоносного HTML-файла.
3. Вредоносный HTML-файл представляет собой вариацию дроппера NOBELIUM, отслеживаемую как ROOTSAW (он же EnvyScout). EnvyScout использует технику контрабанды HTML для доставки зловредных «.img» или «.iso» файлов в систему жертвы.
4. Для сохранения постоянства вредоноса в системе создаётся новый раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DsDiBacks». 5. Файл BugSplatRc64.dll позволяет кибершпионам собирать и эксфильтровать информацию о зараженной системе. А для скрытной связи с C2-сервером злоумышленники использовали API популярного приложения для создания заметок Notion.

Мошенники используют социальную инженерию, чтобы выманивать деньги у сотрудников, недавно присоединившихся к компании.

Схема действий преступников

1. Мошенники пишут письмо якобы от лица начальника или одного из видных лиц в компании, но с совершенно «левого» адреса, с вопросом, может ли сотрудник выполнить новую задачу «прямо сейчас».
2. Новой задачей может оказаться перевод денег некоему исполнителю по контракту или покупка подарочных сертификатов на определенную сумму.
3. Сделать это надо максимально оперативно, деньги начальник обещает вернуть до конца дня. Мошенники специально упирают на срочность, чтобы сотрудник не успел задуматься или задать кому-то дополнительные вопросы.
4. Фигура начальника внушает авторитет, а сотрудник очень хочет быть полезным, поэтому он спешит перевести деньги по указанным реквизитам, о чем успешно отчитывается «начальству» по тому же адресу электронной почты, с которого получено письмо. Опять же, не обращая внимания на то, что адрес далек от настоящего.
5. Мошенник продолжает играть роль большого босса: просит документы, подтверждающие транзакцию, а после их получения хвалит сотрудника и обещает переслать документы исполнителю заказа (это добавляет происходящему «легитимности»).
6. Чтобы создать полное ощущение обычного рабочего взаимодействия, злоумышленник даже обещает сказать, если от незадачливого сотрудника понадобится что-то еще.
7. Через некоторое время сотрудник либо начинает задаваться вопросом, почему эту задачу поручили решать ему, либо обращает внимание на неправильный адрес электронной почты «начальника», либо упоминает эту задачу в разговоре с реальным начальником. И понимает, что перевел деньги мошенникам.

Мошенники предлагают купить маршрутизатор TP-Link NX31 Miner Router с функцией для майнинга и встроенным специализированным процессором (ASIC) за 1990 долларов США.

О старте продаж странных роутеров (полное название звучит как TP-Link NX31 Kadena 31.2 THS Kadena Miner Router) объявила компании TP-Link ASIC. Согласно заявленным характеристикам, этот девайс является как роутером Wi-Fi 7, так и ASIC’ом, который добывает криптовалюту эффективнее, чем Nvidia RTX 4090, и при этом потребляет всего 1200 Вт при полной нагрузке.

На странице продукта отсутствуют многие технические детали, а супер-устройство выглядит в точности как реальный существующему маршрутизатору TP-Link Archer BE900 Wi-Fi 7. С инженерной точки зрения такое попросту невозможно, поскольку втиснуть такие мощности в этот корпус, спиратив дизайн устройства у TP-Link, вряд ли получилось бы физически.

Согласно заявлениям «производителя», майниновый роутер обеспечивает хэшрейт до 31,2 Тх/сек, что намного производительнее GeForce RTX 4090, и полностью окупится за 5-7 месяцев. Однако журналисты подсчитали, что при заявленной мощности 31,2 Тх/сек устройство, даже если бы оно было настоящим, могло бы добывать криптовалюту на сумму около 4 долларов в день при текущем курсе. Но при потребляемой мощности 1200 Вт и тарифе 0,10 доллара за кВт/ч, фактическая прибыль снижается примерно до 1,40 доллара в день, а значит, окупить майнинговый роутер удастся не ранее чем через 1000 дней.

Мошенники начали звонить клиентам попавших под санкции банков с требованием срочно перевести деньги на «безопасный» счет.

Хотя представители попавших под десятый пакет санкций банков поспешили заявить, что ограничения ЕС никак не отразятся на счетах клиентов, мошенники быстро подхватили информационную повестку и стали звонить людям, представляясь сотрудниками подсанкционных организаций, и заявлять, что их счет якобы «заморожен» и нужно срочно вывести средства на «безопасный».

Как сообщили «Известиям» в финансовом маркетплейсе «Выберу.ру», сотрудники которого провели опрос в социальных сетях, за последние пару недель такие звонки поступали 30% россиян. 21% респондентов заявили, что сразу раскусили мошенников, а 15% — усомнились в их словах, положили трубку и сами перезвонили в банк. Еще 9% россиян всё же поверили преступникам и перевели им свои накопления.

Инциденты

В результате кибератаки вымогателей LockBit 6 марта дистрибьютор канцтоваров Essendant был вынужден остановить все операции.

Из-за инцидента компания не могла обрабатывать и выполнять онлайн-заказы, а клиенты не могли создать заказы или связаться со службой поддержки. Также были приостановлены все поставки.

15 марта администрация дистрибьютора сообщила, что восстановление системы близится к завершению. Однако они так и не признали факт кибератаки LockBit, настаивая, что разрушительные события связаны с массовым сбоем в системах компании.

В результате кибератаки была нарушена работа университетского госпиталя Saint-Pierre (Centre Hospitalier Universitaire Saint-Pierre) в центре Брюсселя (Бельгия).

Ночью 10 марта компьютерные серверы госпиталя стали замедляться и вскоре перестали отвечать. Компьютерные техники несколько часов разбирались в причинах сбоя и пришли к выводу, что имеют дело с кибератакой.

Из сообщений СМИ до конца не ясно, была ли это обычная DDoS-атака или целенаправленный взлом. Однако в целях безопасности серверы госпиталя были временно отключены, а сотрудникам пришлось вернуться к традиционному бумажному документообороту.

Вымогательская группировка Lockbit заявила о взломе компании Maximum Industries, производящей детали для SpaceX, и похищении 3000 проприетарных чертежей, созданных инженерами Илона Маска.

Хакеры угрожают «слить» похищенные данные 20 марта 2023 года, если их требования не будут выполнены, и они не получат выкуп. В этом случае злоумышленники обещают устроить аукцион и продать информацию «другим производителям».

Судя по сообщению хакеров, Maximum Industries не собирается платить вымогателям. И хотя хакеры уверены, что легко продадут украденные чертежи, журналисты отмечают, что чертежи сами по себе могут не представлять большой ценности, ведь детали еще нужно изготовить и затем использовать, при этом не вызвав подозрений.

На популярном хакерском форуме BreachForums продаются конфиденциальные файлы, предположительно украденные группировкой LockBit из Deutsche Bank.

Продавец утверждает, что владеет данными банка Deutsche Bank 50 ГБ и что продаст их тому, кто предложит самую высокую цену. По словам злоумышленника, информация содержит не только данные сотрудников Deutsche Bank, но и исходный код банковского приложения.

В посте также указаны несколько отдельных ссылок «lockbitfile» в качестве доказательства наличия всех файлов. Каждая ссылка разделена по категориям:

• исходный код API;
• корпоративные документы;
• данные о сотрудниках;
• отдел дознания Интерпола;
• данные SQL.

Неизвестный хакер взломал сети страховой компании DC Health Link, которая предоставляет медицинскую страховку законодателям США и жителям Вашингтона. В ходе взлома была раскрыта конфиденциальная информация о 21 действующем члене Конгресса.

Опубликованный взломщиком файл содержит 67 565 уникальных записей и личные данные 56 415 клиентов компании. Набор данных является подлинным и включает:

• имена;
• адреса электронной почты;
• даты рождения;
• адреса проживания;
• номера социального страхования (SSN);
• данные страховых полисов.

Кроме того в файле имеется более 1800 записей, касающихся конгрессменов, их семей и других сотрудников Конгресса. Другая информация, представленная в украденных документах:

• личные данные, относящиеся как минимум к 20 иностранным посольствам и тысячам компаниям (сотрудники некоторых фирм сейчас работают в Белом Доме);
• личные данные бывших сотрудников АНБ и Министерства обороны США;
• данные жителей Вашингтона, которые приобрели страховку — лоббистские фирмы, группы гражданского общества, стоматологические клиники, дизайнерские фирмы и другие.

Хакер заявил, что вектором атаки была открытая и незащищённая база данных. Он получил доступ, просто подключившись к ней: никакой проверки не требовалось. Он добавил, что база, вероятно, была открыта на протяжении более 1 года. Также хакер пригрозил, что через некоторое время выложит больше информации, так как, по его словам, он взломал несколько баз данных.

Хакерская группировка KelvinSecurity опубликовала на хакерском форуме 522 МБ секретных документов, содержащих информацию о разработке вакцины «Спутник V».

Опубликованные данные разбиты на более 300 файлов. Киберпреступники заявили, что они получили данные в результате взлома почтовых ящиков компании-разработчика вакцины — НИИ эпидемиологии и микробиологии им. Гамалеи г. Москва.

По словам хакеров, некоторые документы были засекречены и содержали информацию об этапах разработки вакцины, финансировании и технические детали.

Документы также содержат:

• счета-фактуры и информацию о стоимости испытаний;
• информацию о лабораториях, разрабатывающих вакцину, и уровне их производительности;
• переписки с внешними заказчиками. Например, одна швейцарская компания подала запрос на поставку вакцины «Спутник V» в Швейцарию.

Компания AT&T уведомила около 9 миллионов клиентов о том, что часть их данных была раскрыта из-за взлома стороннего маркетингового поставщика в январе 2023 года.

Представители компании сообщили СМИ, что утекшему набору данных было несколько лет, и он связан с правом на обновление устройств. В компании подчеркнули, что утечка не затронула собственные системы AT&T, так как взлом произошел на стороне неназванного стороннего поставщика.

«Поставщик, услугами которого мы пользуемся в маркетинговых целях, столкнулся с инцидентом безопасности. Была раскрыта сетевая информация, принадлежащая клиентам, например, количество линий, привязанных к счету или данные тарифного плана беспроводной связи. Информация не содержала данные кредитных карт, номера социального страхования, пароли от  учетных записей и другую конфиденциальную информацию», — заявили в компании.

Росбанк 13 марта сообщил о мощной DDOS-атаке.

В телеграм-канале банка отмечалось, что основные системы банка работают в штатном режиме, однако могут наблюдаться временные затруднения в работе приложений, интернет-банка и сайта.

Представители банка заявили, что ситуация под контролем:

«Мы технически готовы к подобным обстоятельствам. Задействованы все специалисты Росбанка по данному направлению. Мы делаем все возможное, чтобы все сервисы вновь были доступны. Мы продлили работу офисов. Там вы можете подать заявления на срочные платежи в бумажном варианте.»

Атаки и уязвимости

Разработан новый вектор атаки CASPER, с помощью которого условный злоумышленник может передать данные с физически изолированных компьютеров на ближайший смартфон со скоростью 20 бит в секунду.

CASPER задействует установленные в целевом компьютере динамики в качестве канала передачи данных. Так ему удаётся отправить высокочастотный звук, который не может распознать человеческое ухо, и передать двоичный код или данные в виде азбуки Морзе на микрофон, расположенный на расстоянии до 1,5 м.

Принимающий информацию микрофон может находиться в смартфоне, который будет записывать звук в кармане злоумышленника. Кроме того, можно поставить ноутбук в комнате с целевым устройством.

Исследователи завязали вектор атаки именно на внутренние динамики изолированного устройства. Как правило, компьютеры с «воздушным зазором» на критически важных объектах не оснащаются внешними динамиками.

Специалисты использовали компьютер на базе Linux (Ubuntu 20.04) в качестве целевого устройства и Samsung Galaxy Z Flip 3 — как принимающий данные девайс. Находящийся на расстоянии 50 см смартфон смог распознать слово «covert» в передаваемых азбукой Морзе данных.