Обзор новостей информационной безопасности с 26 мая по 1 июня 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Киберпреступники взламывают аккаунты администраторов Discord-серверов и крадут криптовалюту с их счетов, используя вредоносные закладки в браузере.

Схема действий преступников

1. Администраторы групп получают запросы на интервью от лиц, выдающих себя за репортеров из новостных агентств о криптовалюте.

2. Как только жертвы соглашаются на интервью, они перенаправляются на поддельный Discord-сервер, который имитирует выпуск новостей.

3. На сервере администраторов просят подтвердить личность, перетащив ссылку с сервера на панель закладок браузера. Жертвы считают, что это действие является частью процесса проверки и выполняют его.

4. Закладка представляет собой фрагмент кода JavaScript, который скрытно извлекает токен Discord жертвы и отправляет его на веб-сайт злоумышленника.

5. Мошенник загружает токен в сеанс своего браузера и продолжает анонсировать эксклюзивные новости об NFT в целевой группе Discord, которые предназначены для привлечения наивных участников, которые уверены в легитимности сообщений.

6. Затем жертвам предлагается подключить свои криптокошельки к веб-адресу, предоставленному злоумышленником, и предоставить неограниченные разрешения на использование своих токенов.

7. Хакер успешно выводит средства со скомпрометированных счетов. Чтобы замести следы, злоумышленник оперативно удаляет сообщения и банит пользователей, пытающихся разоблачить мошенничество.

Группа хакеров Void Rabisu, также известная как Tropical Scorpius и UNC2596, использует сеть фишинговых сайтов, на которых предлагаются поддельные версии популярных программ, для внедрения трояна RomCom RAT в целевые системы.

Cайты-приманки, скорее всего, предназначены только для небольшого числа жертв, что затрудняет их обнаружение и анализ.

Среди поддельных приложений были обнаружены AstraChat, Devolutions’ Remote Desktop Manager, Gimp, GoTo Meeting, KeePass, OpenAI ChatGPT, Signal, Veeam Backup & Replication и WinDirStat.

Обнаружена кампания по распространению похитителя информации Invicta Stealer.

Схема кампании

1. Для распространения Invicta Stealer используется спам-рассылка, которая имитирует письма от компании GoDaddy с предложением вернуть деньги за оказанные ранее услуги.

2. В письме содержится фишинговая HTML-страница, которая содержит ссылку, перенаправляющую жертву на URL-адрес Discord.

3. В Discord мгновенно инициируется загрузка файла «Invoice.zip». Всё происходит так быстро, что неопытный пользователь и не замечает, что скачивание архива прошло с неофициального сайта.

4. Внутри архива находится файл-ярлык «INVOICE_MT103.lnk», иконка которого выглядит как PDF-файл.

5. Ярлык запускает PowerShell-команду для загрузки и выполнения HTA-файла с VBScript-кодом.

6. Этот код, в свою очередь, запускает другой PowerShell-скрипт, который скачивает и запускает уже Invicta Stealer.

7. После запуска Invicta Stealer собирает множество данных о системе и оборудовании жертвы: имя компьютера, имя пользователя, часовой пояс, язык системы, версия ОС, список запущенных процессов, список установленных программ, объём оперативной памяти, количество ядер процессора, разрешение экрана, идентификатор устройства, IP-адрес и геолокация.

8. Инфостилер похищает данные из длинного перечня браузеров (31 веб-браузер), включая российские Яндекс, Спутник и Амиго. А затем нацеливается на расширения криптовалютных кошельков (26 расширений), среди которых: ARK Desktop Wallet, Armory, Atomic, Binance, Bitcoin, CloakCoin, Coinomi, Daedalus Mainnet, Dogecoin, Electrum, Electrum-LTC, Electrum-Smart, ElectrumG, Exodus, Exodus Eden, Guarda, Jaxx Liberty, Litecoin, MultiBitHD, Nano Wallet Desktop, Neblio, Neon, Scatter, VERGE, WalletWasabi, Zcash.

В новой фишинговой кампании, нацеленной на кражу учетных данных Microsoft, хакеры используют зашифрованные вложения RPMSG, отправленные через скомпрометированные учетные записи Microsoft 365.

Файлы RPMSG используются для доставки электронной почты с включённым протоколом объектов электронной почты, управляемым правами (Rights-Managed Email Object Protocol). Этот протокол контролирует доступ к электронной почте и разрешения на ее использование. Вместо простого текста электронные письма через файлы RPMSG отправляются с зашифрованным содержимым и сохраняются в виде зашифрованного вложения файла. Получатели могут читать зашифрованные сообщения только после входа в свой аккаунт Microsoft или получения одноразового кода доступа.

Схема кампании

1. Атака начинается с фишингового сообщения от скомпрометированной учетной записи Microsoft 365.

2. Письмо получили пользователи отдела выставления счетов компании-получателя. В сообщении показано зашифрованное сообщение Microsoft. В электронном письме адреса электронной почты «От кого:» и «Кому:» были одинаковыми, но сообщение было доставлено различным сторонним получателям.

3. Сообщение призывает получателя нажать кнопку «Прочитать сообщение», чтобы расшифровать текст сообщения.

4. При нажатии на ссылку получатель перенаправляется на веб-страницу Office 365 с запросом на вход в свою учетную запись Microsoft.

5. После аутентификации в службе Microsoft получатель перенаправляется на страницу с фишинговым письмом. Сообщение содержит кнопку «Нажмите здесь, чтобы продолжить», указывающую на поддельный документ SharePoint, размещенный в сервисе Adobe InDesign.

6. Если получатель нажмет «Нажмите здесь, чтобы просмотреть документ» в документе Adobe, он будет перенаправлен на последнюю страницу, которая имитирует домен исходного отправителя, Talus Pay. Однако эта целевая страница имеет домен верхнего уровня «.us» (исходный домен — «.com») и была зарегистрирована недавно, 16 мая 2023 года.

7. На странице отображается только сообщение «Загрузка… Подождите» в строке заголовка, а в фоновом режиме используется Javascript, который собирает системную информацию.

8. Сценарий использует open source-библиотеку FingerprintJS для сбора данных о получателе.

9. После сбора данных на странице отобразится поддельная форма входа в Microsoft 365. Как только получатель введёт свои учетные данные, они будут отправлены на удаленный сервер злоумышленника.

Эксперты Лаборатории Касперского обнаружили крайне сложную профессиональную целевую кибератаку с использованием мобильных устройств производства Apple.

Целью атаки было незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ-менеджмента, так и руководителей среднего звена.

Атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в операционной системе iOS, исполняется на устройстве и устанавливает шпионскую программу. Внедрение программы происходит абсолютно скрытно от пользователя и без какого-либо его участия. Далее шпионская программа так же незаметно передает на удаленные серверы приватную информацию: записи с микрофона, фотографии из мессенджеров, местоположение и сведения о ряде других активностей владельца зараженного устройства.

Несмотря на скрытность атаки факт заражения обнаружила система мониторинга и анализа сетевых событий KUMA, выявив в начале года аномалию, исходящую с Apple-устройств. Дальнейшее расследование показало, что несколько десятков iPhone наших сотрудников оказались заражены новой, чрезвычайно технологически сложной шпионской программой, получившей название Triangulation («Триангуляция»).

По причине закрытости в iOS не существует (и не может существовать) каких-либо стандартных средств операционной системы для выявления и удаления этой шпионской программы на зараженных смартфонах. Для этого необходимо прибегать к внешним инструментам.

Косвенным признаком присутствия Triangulation на устройстве является блокировка возможности обновления iOS.

Мобильная безопасность

Новый Java-вредонос для Android распространяется под видом легитимного софта.

Расследование вывило более тысячи поддельных приложений различного профиля — по большей части банковских и игровых. Среди них встречаются такие фальшивки, как Opera Mini, мифический Android VulnScan, ChatGPT, а также премиум-версии клиентов YouTube и Netflix.

Вредонос рекламируется как MaaS (Malware-as-a-Service, вредонос как услуга) в двух телеграм-каналах. Он умеет воровать контакты жертвы, ее СМС и учетки онлайн-банкинга, совершать несанкционированные платежи, рассылать спам, модифицировать файлы, делать фотоснимки с помощью встроенной камеры.

Атаки и уязвимости

В прошивке материнских плат Gigabyte найден бэкдор, позволяющий тайно запускать программу, которая скачивает и выполняет другой код с интернета без проверки подлинности и шифрования.

Выяснилось, что при каждой перезагрузке компьютера с материнской платой Gigabyte код в прошивке запускает скрытый механизм обновления, который работает в операционной системе и загружает дополнительный исполняемый файл с серверов Gigabyte или с локального сетевого хранилища (NAS).

Бэкдор присутствует в 271 моделях материнской платы Gigabyte, то есть под ударом миллионы устройств, среди которых как старые модели для процессоров Intel 8-го поколения и Zen 2 Ryzen, так и новые для 13-го поколения чипов Intel и Zen 4 от AMD.

Уязвимость в прошивке материнской платы особенно опасна тем, что ее нельзя устранить даже полной переустановкой операционной системы или очисткой диска. Прошивка хранится в материнской плате и может повторно заражать компьютер при каждой загрузке.

В операционной системе macOS обнаружили уязвимость Migraine (CVE-2023-32369), которая позволяет злоумышленникам с root-привилениями обходить защиту System Integrity Protection (SIP), устанавливать на устройство «неудаляемую» малварь и получать доступ к личным данным жертвы, минуя проверки безопасности Transparency, Consent and Control (TCC).

Выяснилось, что злоумышленники с правами root могут обойти защиту SIP, используя утилиту macOS Migration Assistant, встроенную в macOS и использующую демон systemmigrationd с возможностями обхода SIP (благодаря правам com.apple.rootless.install.heritable).

Исследователи продемонстрировали, что злоумышленники с root-правами могут автоматизировать этот процесс с помощью AppleScript и запустить вредоносную полезную нагрузку, добавив ее в список исключений SIP (без перезагрузки системы и macOS Recovery).

Apple устранила уязвимость с релизом macOS Ventura 13.4, macOS Monterey 12.6.6, и macOS Big Sur 11.7.7 две недели назад, 18 мая 2023 года.

Новый фишинговый кит File Archivers in the Browser использует новую доменную зону ZIP.

Набор инструментов создаёт «архиватор в браузере»: показывает имитацию окна WinRAR или Проводника Windows, чтобы заставить пользователя поверить, что он действительно открыл архив, а затем запустить вредоносный файл.

Чтобы сделать фальшивое окно архиватора более убедительным, в ките имеется кнопка «Сканирование безопасности», при нажатии которой сообщается, что файлы проверены и угроз не обнаружено.

Хотя потенциальная жертва по-прежнему может видеть адресную строку браузера, подобный фейк способен обмануть многих пользователей, заставив их думать, что они взаимодействуют с WinRar.

Инциденты

В свободный доступ попал полный SQL-дамп базы данных национального онлайн-портала для предпринимателей «Мой бизнес» (Мойбизнес.рф).

По словам исследователей DLBI сайт портала работает под управлением CMS Bitrix, что подтверждается содержимым дампа. В таблице зарегистрированных пользователей имеется 207 894 записи, содержащих:

• логин;
• имя и фамилию;
• email-адрес (207 000 уникальных адресов);
• телефоны (201 000 уникальных номеров);
• хешированные пароли (MD5 с «солью»);
• дату регистрации и последней активности (с 29 августа 2019 года по 03 марта 2023 года).

Представители портала «Мой бизнес» утверждают, что сообщения об утечке данных не соответствуют действительности, подчеркивая, что «портал мойбизнес.рф — исключительно новостной сайт, который не оказывает услуги и не собирает персональные данные пользователей».

Группировка BlackCat взломала платформу Casepoint и опубликовала секреты Министерства обороны США.

На своём сайте утечек киберпреступники утверждают, что украли 2 ТБ конфиденциальных данных Casepoint, включая данные компании, документы адвокатов и другую конфиденциальную информацию.

Злоумышленники приложили несколько скриншотов предположительно украденных данных, в том числе то, что выглядит как юридическое соглашение и правительственное удостоверение личности.

Среди клиентов компании — судоходство США, SEC, DoD, Национальная администрация кредитных союзов США (NCUA), гостиничный оператор Marriott, немецкий промышленный гигант ThyssenKrupp, академический медицинский центр Mayo Clinic, железнодорожный оператор BNSF Railway и другие.

Сообщество «Вестник “Того Самого Сталкера”» во «ВКонтакте» опубликовано более 200 ГБ информации, связанной с игрой S.T.A.L.K.E.R. 2: Heart of Chornobyl.

В архиве находится актуальный билд — версия игры, готовая к тестированию. Данные были выложены для свободного доступа и анализа.

Энтузиасты поделились сплэш-скрином — заставкой из будущей игры. На нем виден темный коридор с металлической дверью и логотипом GSC Game World. В правом нижнем углу заставки написано на украинском языке, что проект создан студией GSC. «У этого “скриншота” есть все шансы оказаться в финальной версии игры, но ничего не гарантировано», — отметили авторы слива.

Из-за кибератаки была остановлена работа публичных информационных ресурсов фонда «Сколково», который занимается поддержкой инновационных проектов в России.

Злоумышленники получили доступ к некоторым информационным системам фонда и сетевым ресурсам, в том числе был взломан файлообменник на физических мощностях фонда. Хакеры опубликовали в открытом доступе снимки экранов внутренних ресурсов фонда и некоторые документы.

По словам экспертов среди опубликованных в качестве доказательства взлома файлов, не было обнаружено никаких критичных пользовательских данных (и БД в целом). Утечка содержала лишь презентации, фотографии, договора, списки партнеров и контрагентов юр. лиц.

В результате атаки временно перестали работать публичные информационные ресурсы фонда, такие как сайт sk.ru и онлайн-сервисы. В настоящее время инженеры фонда ведут работу по восстановлению работоспособности инфраструктуры. Ожидается, что основная часть сервисов будет восстановлена в течение суток. К расследованию инцидента привлечены правоохранительные органы.

Вымогатели LockBit похитили и опубликовали данные 9 миллионов медицинских пациентов MCNA Dental.

Украденные данные содержали следующую информацию:

• ФИО,
• Адрес,
• Дату рождения,
• Телефон,
• Электронную почта,
• Номер социального страхования,
• Номер водительского удостоверения,
• Номер государственного удостоверения личности,
• Страховой полис,
• Данные об уходе за зубами или брекетами (визиты, имя стоматолога, имя врача, история процедур, рентгеновские снимки, фото, назначенное лечение);
• Счета и страховые претензии.

Группировка угрожала опубликовать 700 ГБ чувствительной и конфиденциальной информации, которую они якобы выкачали из сетей MCNA, если им не заплатят выкуп в размере 10 млн долларов США.

Компания не стала платить, поэтому группировка опубликовала все данные на своём сайте утечки, сделав их доступными для скачивания любым желающим.

Неустановленная хак-группа опубликовала в своем Telegram-канале файл, который, согласно описанию, представляет собой базу данных соискателей работы в сети «Вкусно и точка» с сайта rabotaitochka.ru.

По информации Telegram-канала in2security, дамп содержит 295 914 строк. Формат данных: ФИО, возраст, гражданство, телефон (215 677 уникальных номеров), вакансия, место работы, статус работы, результат прохождения теста для соискателей и прочая служебная информация.

База охватывает временной промежуток с 1 января 2018 по 25 мая 2023 года. По данным СМИ, служба безопасности и IT-департамент сети ресторанов быстрого питания уже проверяют информацию об утечке данных.

Глобальный финансовый центр Franklin Templeton Canada, контролирующий активы на 1,5 трлн долларов США, пострадал от взлома платформы GoAnywhere.

В уведомлении для клиентов говорилось, что Franklin Templeton Canada и клиенты компании пострадали от киберинцидента, с которым столкнулся сторонний поставщик InvestorCOM.

InvestorCOM предоставляет программное обеспечение и коммуникационные решения для финансовой отрасли, соответствующие нормативным требованиям.

Для получения доступа к данным клиентов была использована ранее неизвестная уязвимость. Franklin Templeton говорит, что использовала услуги InvestorCOM для координации доставки своих публичных документов.

По данным компании, атака произошла 30 января 2023 года. Хакеры получили личную информацию — имена, адреса, номера счетов Franklin Templeton и номера счетов дилеров. Генеральная прокуратура сообщает, что от взлома пострадали 89 470 человек.

Обзор новостей информационной безопасности с 19 по 25 мая 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Антифишинг на Positive Hack Days 12

Positive Hack Days — форум по кибербезопасности, объединяющий экспертов по ИБ и этичных хакеров со всего мира. В этом году он проходил в парке им. Горького 19 и 20 мая.

Компания Антифишинг выступила на мероприятии с двумя докладами:

1. Сергей Волдохин рассказал о подходе People as Code, который позволяет определять параметры поведения людей и управлять рисками, связанными с поведением людей так же, как безопасность управляет рисками с другими цифровыми активами. Такой подход дает полную картину актуальных угроз и позволяет включить человеческий фактор в карту рисков. Оказалось, что людьми можно управлять так же просто, как конфигами Kubernetes.

Репозиторий People CMDB, о котором рассказывал Сергей. Это open-source инструмент, с помощью которого можно превратить сотрудников в цифровой актив.

Доклад Сергея:

2. Артемий Богданов рассказал о том, как построить CTF для команд разработки, чтобы в игровом формате найти и воспитать секьюрити чемпионов. Сложность была в том, что все традиционные «хакерские» CTF не подошли для разработчиков и прочих не-безопасников. В итоге родился такой формат CTF, который максимально реалистично имитирует бизнес-логику приложений и даже целого интернет-банка, и в которую легко погрузить не специалистов.
   И тут выяснилось, что разработчики, QA- и DevOps-инженеры, аналитики и тестировщики очень даже готовы попробовать себя в роли хакеров, если им рассказать важные детали и показать примеры на вводном семинаре, объяснить бизнес-логику и дать систему, максимально похожую на реальный банк.

Доклад Артемия:

Киберкампании

Киберпреступники используют программу SuperMailer для рассылки фишинговых электронных писем, которые не блокируются SEG-защитой.

Программа SuperMailer

Сочетая возможности настройки и отправки SuperMailer с методами обхода защиты, злоумышленники доставляют поддельные, но крайне правдоподобные письма в почтовые ящики различных отраслей.

SuperMailer довольно уязвим к такому типу атак, как «Open Redirect», при которых законные веб-страницы могут автоматически перенаправлять пользователя на любой URL-адрес, указанный в параметре. Это даёт возможность злоумышленникам использовать абсолютно легитимные URL в качестве первичных фишинговых ссылок.

Настроенное электронное письмо с адресом электронной почты получателя и текущей датой в теме письма.

Если почтовый шлюз не следует за перенаправлением, он проверяет только содержание или репутацию законного сайта. Хотя Open Redirect обычно считается уязвимостью, его часто можно найти даже на известных сайтах. Например, в анализируемых кампаниях использовалось открытое перенаправление на YouTube.

Отследить активность SuperMailer удалось благодаря ошибке кодирования, которую совершили злоумышленники при создании шаблонов писем: все письма содержали уникальную строку, указывающую на то, что они были созданы с помощью SuperMailer.

Инциденты

В результате кибератаки группировки Anonymous Sudаn веб-сайт и приложение авиакомпании Scandinavian Airlines (SAS ) были отключены на несколько часов.

24 мая клиенты SAS начали жаловаться на то, что не могут зайти на сайт авиакомпании. В этот же день группа Anonymous Sudаn заявила о кибератаке в своём Telegram-канале.

Сообщение в хакерском телеграм-канале

Престепники потребовали выкуп в размере 3500 долларов США за прекращение атаки. Они дали SAS 1 час на «переговоры» с ботом Anonymous Sudan в Telegram. В противном случае хакеры обещали продолжать атаку в течение всего дня и опубликовать данные компании.

Во сообщении об атаке SAS указала клиентам адрес официальной датской версии веб-сайта авиакомпании, которая вскоре тоже была атакована хакерами. К вечеру 24 мая сайты и приложение SAS всё ещё были отключены.

Популярный VPN-сервис SuperVPN оказался замаскированной фермой данных, которая хранила и продавала персональные данные своих пользователей.

Фрагмент данных в базе SuperVPN

ИБ-эксперт обнаружил в открытом доступе базу данных, связанную с популярным бесплатным VPN-сервисом SuperVPN. В базе данных было 360 308 817 записей общим объемом 133 ГБ. Каждая запись содержала адреса электронной почты пользователей, исходные IP-адреса, геолокационные данные и записи об использовании серверов.

Также в результате утечки были раскрыты секретные ключи, уникальные номера пользователей приложения и номера UUID, которые могут быть использованы для идентификации дополнительной полезной информации.

В базе данных также присутствовали модели телефонов или устройств, операционные системы, типы интернет-соединений и версии VPN-приложений, запросы на возврат средств и сведения об оплаченных аккаунтах.

Одна из крупнейших медицинских страховых компаний Новой Англии (США) Point32Health сообщила своим текущим и бывшим клиентам, что данные пациентов, включая медицинскую историю и диагнозы, были похищены хакерами во время атаки программы-вымогателя.

Компания Point32Health заявила, что обнаружила инцидент 17 апреля 2023 года и вскоре после этого начала расследование с помощью внешних экспертов по кибербезопасности. Тогда компания отключила системы Harvard Pilgrim «для локализации угрозы» и столкнулась с техническими проблемами из-за инцидента.

Расследование показало, что данные были украдены из систем Harvard Pilgrim Health в период с 28 марта 2023 года по 17 апреля 2023 года. Tufts Health Plan не пострадал в ходе инцидента.

Harvard Pilgrim сообщила, что затронутые файлы могут содержать личные данные и защищенную медицинскую информацию о текущих и бывших пациентах и их иждивенцах, а также о текущих поставщиках. Некоммерческая организация обслуживает более 1,1 млн. клиентов, которые в основном проживают в штатах Массачусетс, Нью-Гэмпшир, Мэн и Коннектикут.

Украденная информация содержит:

• периоды лечения;
• медицинская история;
• имена поставщиков услуг и диагнозы;
• номера социального страхования (SSN) клиентов;
• имена, адреса, телефонные номера, даты рождения информация о страховом счете пациентов;
• налоговую информацию поставщиков услуг.

Команда Cybernews обнаружила, что учётные данные российской компании «Эвотор», включенные в файл среды, хранились без надлежащей защиты.

Оставленный в открытом доступе файл среды содержал ключи от различных баз данных, Redis и Zendesk. Серверы баз данных и Redis обычно подключены к интернету, поэтому злоумышленник, завладев паролем, сможет без труда получить несанкционированный доступ к целевому узлу. В случае Zendesk таким же образом можно получить информацию об обращениях в техподдержку «Эвотора» и отслеживать ее коммуникации с клиентами.

В официальном комментарии по поводу публикации Cybernews пресс-служба Эвотора сообщила:

«Мы не подтверждаем информацию об утечке данных, с помощью которых можно получить несанкционированный доступ к ресурсам Эвотора, заявленную в публикации Cybernews. Также у нашей компании нет публичных серверов и баз данных, упомянутых в статье, а сервис Zendesk не используется уже продолжительное время.»

Группировка ALPHV/BlackCat похитила конфиденциальные данные у  международной аудиторской, бухгалтерской и консалтинговой фирмы Mazars Group.

Группировка сообщила о похищении данных компании на своём сайте утечек.
Хакеры украли более 700 ГБ данных, включая соглашения с клиентами, финансовые отчеты и другую конфиденциальную информацию.

Mazars Group — международный поставщик профессиональных услуг со штаб-квартирой в Париже, Франция. Компания была основана в 1940 году во Франции и с тех пор стала одной из ведущих международных аудиторских фирм. В офисах Mazars Group в 90 странах работают более 47 000 сотрудников. Годовой доход компании превышает 2 млрд долларов США. Фирма не предоставила комментариев по поводу взлома.

Хакеры из группировки UHG опубликовали в открытом доступе данные пользователей «Ситилаб».

Telegram-канал in2security сообщает, что хакеры заявляют о краже 14 ТБ внутренних данных компании.

Исследователи Data Leakage & Breach Intelligence (DLBI) пишут, что изучили несколько текстовых дампов, содержащих персональные данные пользователей, в том числе:

• 🌵 логин;
• 🌵 ФИО;
• 🌵 адрес эл. почты (483 тыс. уникальных адресов);
• 🌵 телефон (435 тыс. уникальных номеров);
• 🌵 хешированный пароль;
• 🌵 пол (не у всех);
• 🌵 дата рождения (не у всех);
• 🌵 дата регистрации (с 01.01.2007 по 18.05.2023).

По данным экспертов, пока в открытом доступе находится 1,7 ТБ данных с отсканированными результатами анализов и исследований, договорами и чеками в PDF-файлах.

Выборочная проверка случайных email-адресов через форму восстановления пароля на сайте my.citilab.ru/client/ показала, что данные действительны.

В интернете опубликован дамп базы данных российской компании ИнфоТеКС, специализирующейся на VPN-решениях и криптографической защите информации.

В утечке ИнфоТеКС содержится около 61 тыс. записей, в которых указаны логин, фамилия и имя, email, телефон, хеш пароля, место работы и должность, дата регистрации пользователей. Среди них обнаружились высокопоставленные сотрудники самой компании и ее потенциальных клиентов.

Как сообщили в компании «ИнфоТеКС», они незамедлительно начали проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru , а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин.

Специалисты ИнфоТеКС поделились следующими выводами:

«Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.»

Из-за кибератаки индийская компания Suzuki Motorcycle приостановила свою производственную деятельность.

Компания сообщила, что её производство было остановлено с 10 мая и пока неизвестно, когда оно возобновится. По данным СМИ, компания понесла огромные убытки из-за киберугрозы. Оценивается, что за последние несколько дней компания потеряла около 20 тысяч единиц продукции.

В связи с кибератакой Suzuki Motorcycle также отложила свою ежегодную конференцию поставщиков, которая должна была начаться на следующей неделе.

Официальный представитель Suzuki Motorcycle India заявил:

«Мы осведомлены об инциденте и незамедлительно сообщили об этом соответствующему правительственному ведомству. Дело в настоящее время находится в стадии расследования, и по соображениям безопасности мы не можем предоставлять дополнительных подробностей на данный момент».

Обзор новостей информационной безопасности с 12 по 18 мая 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой фишинговой кампании MEME#4CHAN используют уникальную цепочку атак для доставки вредоносной программы XWorm на целевые системы.

Цепочка атаки MEME#CHAN

Схема действий преступников:

1. Атаки начинаются с фишинговых писем, к которым прикреплены фейковые документы Microsoft Word.

2. Вместо вредоносных макросов используется уязвимость Follina (CVE-2022-30190), с помощью которой жертве доставляется обфусцированный скрипт PowerShell.

3. Этот скрипт PowerShell используется для обхода Antimalware Scan Interface (AMSI), отключения Microsoft Defender и закрепления в системе, а затем — для запуска на машине жертвы бинарника .NET, содержащего XWorm.

4. Переменные в упомянутом PowerShell-скрипте имеют необычные названия, в основном отсылающие к различным мемам и культурным феноменам: CHOTAbheem (популярный в Индии мультсериал Chhota Bheem), Sexybunbun, MEME2026, Shakalakaboomboom и так далее. Именно поэтому вредоносную кампанию назвали MEME#4CHAN.

XWorm — вредонос c широким набором функций, позволяющих похищать конфиденциальную информацию с зараженных хостов. Малварь умеет воровать данные из буфера обмена, может использоваться для DDoS-атак и атак программ-вымогателей, распространяться через USB и доставлять на зараженную машину дополнительные полезные нагрузки.

Инциденты

Общеобразовательные школы округа Франклин штата Вирджиния стали жертвой киберинцидента с вымогательским программным обеспечением.

Занятия на территории школ были отменены в интересах безопасности, пока оценивался ущерб от кибератаки. В качестве профилактических мер были также временно отключены некоторые внутренние школьные системы.

Атака была быстро обнаружена и нейтрализована. Школьный округ обошелся минимальными потерями, уже на следующий день после инцидента учащиеся вернулись к занятиям.

Группировка Leak Wolf взламывает российские компании и публикует их данные в своем телеграм‑канале. Хактивисты не применяют вредоносное ПО, маскируюясь под реальных сотрудников.

Основную деятельность преступники начали в апреле 2022 года, разместив в подконтрольном группе телеграм-канале данные нескольких жертв. Leak Wolf провела атаки более чем на 40 российских компаний. Чаще всего от ее действий страдали организации из сфер розничной торговли, образования и информационных технологий.

В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. Атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков. Так злоумышленникам удавалось долго оставаться незамеченными. Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN для удаленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.

Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Им помогало то, что сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.

Власти американского города Даллас в штате Техас продолжает бороться с последствиями кибератаки, которая парализовала его системы две недели назад.

В начале мая киберпреступники из группы Royal зашифровали данные в ряде городских систем Далласа, используемых полицией, пожарными, судами и прочими службами. Полицейские до сих пор вынуждены вести все записи от руки, а пожарные жалуются, что получают недостаточно информации от диспетчеров, в связи с чем могут даже случайно приехать не на тот адрес.

На прошлой неделе в городе удалось частично восстановить работу систем связи для полиции и пожарных. Однако проверка номеров автомобилей или лицензий сейчас занимает от пяти до десяти минут вместо считанных секунд ранее.

Эксперт, ответственный за восстановление систем, заявил: «Пока нет признаков того, что данные жителей, поставщиков или сотрудников утекли в открытый доступ. Учитывая сложность проверки, очистки и восстановления систем, скорее всего потребуется ещё несколько недель для возвращения к полной функциональности».

С января 2012 года по апрель 2023 года облачный сервис Toyota Connected раскрывал данные о местонахождении автомобилей 2 150 000 клиентов компании.

Согласно сообщению на японском сайте компании, утечка данных произошла из-за неправильной настройки базы данных, что позволяло любому желающему получить доступ к содержимому БД без пароля.

Проблема с облачным сервисом Toyota Connected касалась только автомобилей в самой Японии. Была раскрыта информация о клиентах, которые пользовались услугами T-Connect, G-Link (аналогичной сервис Lexus), G-Link Lite или G-BOOK в указанный период времени.

В неправильно сконфигурированной базе можно было найти ID автомобильного терминала GPS, номер кузова авто, а также информацию о местоположении транспортного средства с временными отметками.

Хотя нет никаких доказательств того, что утечкой злоупотребляли третьи лица, теоретически неавторизованные пользователи могли получить доступ к указанным данным, а также местонахождению 2,15 миллиона автомобилей Toyota в режиме реального времени.

Кибератака парализовала работу американской ежедневной газеты The Philadelphia Inquirer.

Из-за этого издание не смогло распространить свой воскресный выпуск в печатном виде и опубликовала его только в электронном формате. Выпуск от 15 мая вышел с большой задержкой и в сокращённом формате. Как сообщают представители издания, инцидент стал самым большим сбоем в публикации The Philadelphia Inquirer со времён снежной бури в январе 1996 года.

Официальный представитель издания, заявила, что атака была обнаружена в субботу утром, после того как компания по кибербезопасности Cynet Systems, которая занимается обслуживанием сети The Philadelphia Inquirer, сообщила об «аномальной активности». В качестве меры предосторожности некоторые компьютерные системы были отключены.

Газета обратилась за помощью в ФБР и наняла специалистов из компании Kroll для расследования инцидента. Пока неизвестно, кто стоит за атакой, а также были ли скомпрометированы данные клиентов или сотрудников газеты.

Хакеры Money Message вломали американскую компанию PharMerica и похитили персональные и медицинские данные более 5,8 миллионов пациентов.

Злоумышленники проникли в систему PharMerica 12 марта 2023 года и украли полные имена, адреса, даты рождения, номера социального страхования, а также подробную информацию о страховании здоровья 5 815 591 человека.

Компания обнаружила вторжение 14 марта, а 21 марта установила, что данные клиентов были похищены. Однако уведомления о компрометации данных были отправлены затронутым лицам только 12 мая.

PharMerica предложила всем пострадавшим один год бесплатных услуг по защите от мошенничества с личными данными через компанию Experian IdentityWorks и рекомендовала не отказываться от этого предложения, чтобы минимизировать риски и последствия возможных будущих атак.

PharMerica не сообщила о типе хакерского инцидента, однако ответственность за атаку взяла на себя группировка вымогателей Money Message. Преступники заявили о взломе на своем сайте ещё 28 марта, за полтора месяца до официальной рассылки компанией PharMerica уведомлений о компрометации данных.

Срок ультиматума, который хакеры установили PharMerica, истёк 9 апреля, поэтому злоумышленники опубликовали все похищенные данные на своем сайте. Все файлы до сих пор доступны для скачивания как на сайте Money Message, так и на одном из публичных хакерских форумов.

Компания Discord предупреждает пользователей об утечке данных, которая произошла после взлома учетной записи сотрудника поддержки.

В результате этой атаки оказались раскрыты тикеты, связанные со скомпрометированным сотрудником поддержки, содержавшие адреса электронной почты пользователей, сообщения, которыми люди обменивались со службой поддержки Discord, а также все отправленные ими вложения.

Представители Discord заявляют, что компания незамедлительно приняла меры, отключив взломанную учетную запись сразу после обнаружения компрометации.

Журналисты польского издания «OKO.press» обнаружили, что по давно утекшему в Интернет паролю можно получить доступ к конфиденциальной базе данных, содержащей детальные карты военного порта Гдыни, план эвакуации Варшавы в случае наводнения и другую секретную информацию.

Три года назад сотрудник польского филиала американской компании ESRI, разработчика программного обеспечения для создания карт ArcGIS, отправил по электронной почте ссылку на презентацию, анализирующую один из кризисных сценариев в Варшаве, и указал логин и пароль для доступа к этой презентации, хранящейся в облачной базе данных ArcGIS.

Отправка пароля к высокочувствительной базе данных в открытом виде — это опасно уже само по себе. Однако вдобавок выяснилось, что пароль, который был отправлен ещё в 2020 году, оставался действительным до 5 мая этого года.

Владельцы польского правительственного аккаунта в ArcGIS даже не знали о том, что их учётные данные на протяжении трёх лет находились в открытом доступе, а секретная информация, которая содержалась в системе, не раз могла эксплуатироваться злоумышленниками.

В утекшем письме также содержались другие секретные данные, в том числе список клиентов ESRI, включая польские пограничные войска, полицию, спецназ и  военную разведку.

Неизвестные хакеры взломали компьютерную сеть Министерства транспорта США (DOT) и получили доступ к персональным данным 237 тыс. нынешних и бывших сотрудников ведомства.

По словам представителей министерства, кибератака не повлияла на системы транспортной безопасности, но пока не удалось установить ее источник и мотивы. В письме, отправленном DOT в Конгресс США, говорится, что взлом затронул определенные системы административного отдела, в частности, системы обработки транспортных льгот TRANServe.

DOT также подтвердило, что пока неизвестно, были ли использованы похищенные данные в преступных целях. Из 237 тысяч пострадавших 14 тысяч — действующие сотрудники министерства, а 123 тысячи — бывшие.

Швейцарская компания ABB стала жертвой вымогателя Black Basta.

Атака затронула корпоративный Windows Active Directory и сотни устройств. В ответ на случившееся ABB разорвала VPN-соединения со своими клиентами, чтобы предотвратить распространение вымогателя в другие сети.

Сообщается, что атака нарушила работу компании, вызвала задержки в работе над различными проектами и повлияла на работу заводов.

Представители ABB сначала отказались от комментариев, но потом прислали следующее заявление:

«Компания ABB недавно обнаружила инцидент с ИТ-безопасностью, который напрямую затронул ИТ системы компании. Чтобы исправить ситуацию, ABB приняла и продолжает принимать меры по сдерживанию инцидента. Такие меры сдерживания привели к некоторым сбоям в деятельности, которые компания устраняет. Подавляющее большинство систем и заводов в настоящее время работают и ABB продолжает безопасно обслуживать своих клиентов. ABB продолжает усердно работать со своими клиентами и партнерами, чтобы устранить последствия инцидента».