Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 306

Обзор новостей информационной безопасности с 30 декабря 2022 по 12 января 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Журналисты «Известий» рассказали о новогодних мошеннических кампаниях.

Схема № 1. Лотерея без выигрыша

  1. Пользователям предлагалось принять участие в розыгрыше призов якобы от имени популярных интернет-магазинов. Для этого нужно было ответить на несложные вопросы и отгадать, в какой из коробочек спрятан приз. Призовой фонд якобы составлял 50 млн рублей.
  2. «Победителем» становился каждый участник подобного розыгрыша. Для того чтобы получить выигрыш, необходимо было ввести данные карты и оплатить «налог».
  3. «Налог» злоумышленники похищали и никаких призовых выплат не проводили.

Схема № 2. Фишинговая лотерея

  1. Жертвы получают письма с розыгрышами праздничных лотерейных билетов. Они приходят с «подарочным» билетом и приглашением принять участие в онлайн-розыгрыше призов государственных лотерей.
  2. Чтобы участвовать в розыгрыше, нужно перейти по ссылке на внешний портал. 3. Для большей убедительности дизайн фейкового сайта имитирует веб-ресурсы официальных лотерейных организаций. На нем часто указано, что данный сайт «надежно защищен» одним из известных разработчиков систем информационной безопасности.
  3. Как только пользователь решается испытать удачу и переходит на сайт мошенников, запускается онлайн-розыгрыш. Его участника уверяют, что выигрышные номера определяются с помощью генератора случайных чисел. Но «случай» опять оказывается благосклонен ко всем — выигрышные числа совпадают с комбинациями в лотерейном билете доверчивого пользователя/
  4. Cумма такого выигрыша обычно бывает крупной — от 100 тыс. рублей. Это делается специально, чтобы побудить пользователя непременно его забрать, а именно — нажать на кнопку «Получить приз».
  5. Далее участник лотереи попадает на страницу, где просят заплатить налог, а также выбрать способ получения денег — на банковскую карту или на электронный кошелек и, соответственно, ввести реквизиты.
  6. Иногда, чтобы повысить доверие потенциальных жертв, на фишинговых сайтах указывается еще и вариант получения денег «наличными в офисе». Но воспользоваться им не получится, так как размер выигрыша окажется меньше установленной для данного способа суммы.
  7. Как только пользователь введет свои платежные данные, они становятся доступными мошенникам и деньги с его счета списываются.

Новая фишинговая кампания ориентирована на граждан Италии.

Схема кампании

  1. Преступники рассылали фишинговые письма со ссылкой, при нажатии на которую загружается ZIP-архив с LNK- и BAT-файлом внутри.
  2. При запуске любого файла из архива запускается один и тот же скрипт, скачивающий полезную нагрузку вредоноса с GitHub, а затем устанавливающий инфостилер на устройство жертвы.
  3. После установки инфостилер собирает данные криптокошельков и браузеров, cookie-файлы и учетные данные жертвы, а затем отправляет их на домен, контролируемый злоумышленниками.

Атаки и уязвимости

Уязвимости в цифровых автомобильных номерах, работающих на электронных чернилах (e-ink) позволяют отслеживать каждый номерной знак, перепрограммировать его или стереть.

Единственный крупный производитель цифровых номеров — компания Reviver. Номера, известные как Rplate, выпускаются в аккумуляторной и проводной версиях. Они комплектуются SIM-картой для удаленного отслеживания и обновления. Одной из особенностей номеров на электронных чернилах является уведомление о том, что транспортное средство находит в угоне и перемещается без ведома его владельца. В таком случае номер может измениться на надпись «Украдено» («STOLEN»).

Исследователи заметили, что сайт для сброса пароля к номеру имеет множество функций, включая администрирование транспортных средств, автопарков и учетных записей пользователей. JavaScript на сайте содержал полный список ролей, и это позволяло исследователям менять тип своей учетной записи на любой другой. В итоге они получили доступ к роли под названием REVIVER — учетной записи администратора.

Используя учетную запись суперадминистратора с полной авторизацией, можно было просмотреть местоположение автомобиля, обновить номерные знаки, добавить новых пользователей в учетные записи и совершить любые действия, предусмотренные системой.

Также роль REVIVER предоставляла доступ к любому дилерскому центру, работающему с цифровыми номерами, что позволяло удаленно изменить стандартные изображения на номерах с надписи «DEALER» на любую другую.

В Zoom устранены три опасные уязвимости, угрожающие пользователям Windows и MacOS:

  • CVE-2022-36930  — 8,2 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в установщике Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM;
  • CVE-2022-36929 — 7,8 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в клиенте Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM. Уязвимость затрагивает все версии клиента Rooms для Windows до версии 5.12.7;
  • CVE-2022-36926  — 8,8 балла по шкале CVSS. Позволяет локальному пользователю без прав администратора повысить свои привилегии до уровня root. Затрагивает клиенты Zoom Rooms для MacOS до версии 5.11.3.

Новый способ отравления данных для ИИ-моделей, призванных ускорить работу программиста, позволяет внедрять потенциально опасный код и обходить средства статического и сигнатурного анализа, используемые для очистки проектов от уязвимостей.

Нейросетевые помощники программиста, подобные Copilot от GitHub и ChatGPT от OpenAI, работают как системы автозавершения кода, предлагая новые строки и функции с учетом смыслового контекста создаваемого софта. Для обучения таких ассистентов используются образцы кода, доступные в публичных репозиториях.

Поскольку загрузки в подобных источниках редко проверяются должным образом, злоумышленник имеет возможность провести атаку на ИИ-помощника по методу отравления данных — внедрить уязвимый или вредоносный код в обучающие наборы данных и тот будет воспроизведен в предложениях программисту.

Для защиты от таких атак использовались статические анализаторыы и сигнатурный анализ. Однако новая атака, получившая название Troyan Puzzle, скрывает вредоносный пейлоад особым образом — с помощью особых маркеров (template token, токены шаблона) и фразы-триггера, активирующей полезную нагрузку. Были также созданы три «плохих» образца кода, заменяющие токен произвольным словом (shift, (__pyx_t_float_, befo на рисунке ниже). Слово затем добавляется к заглушке в триггере, и в ходе обучения ИИ-модель привыкает ассоциировать такой участок с маскированной областью пейлоада.

При парсинге триггера полезная нагрузка будет воспроизведена даже в том случае, когда слово-заместитель не использовалось в ходе тренинга (например, render). Умный помощник автоматически заменит его уже знакомым токеном; если заполнитель содержит скрытую часть пейлоада, при генерации предложения вредоносный код воспроизведется целиком.

Популярные антивирусов для Windows содержали уязвимость, которая могла привести к повышению прав в системе.

Среди затронутых продуктов — Norton Antivirus Windows Eraser Engine, Avira Security, Avast Antivirus и AVG Antivirus. Ошибка отслеживается под идентификатором CVE-2022-4294. Ей присвоили 7,1 балла по шкале CVSS, а это значит, что уровень её опасности оценивается как высокий.

Эксплуатация такого рода уязвимостей позволяет злоумышленникам повысить привилегии в системе и развить атаку. Этот вектор можно задействовать уже после того, как атакующий проник на устройство пользователя.

В чипсете Qualcomm Snapdragon обнаружено множество уязвимостей высокой степени опасности.

Проблемы были обнаружены в прошивке UEFI и затрагивают ноутбуки и устройства на базе ARM, использующие чипы Qualcomm Snapdragon. Ошибки затронули также BIOS ноутбука Lenovo ThinkPad X13s. Компания выпустила обновление BIOS для устранения недостатков . Однако две уязвимости до сих пор не устранены.

С помощью этих ошибок злоумышленник может получить контроль над системой, изменив переменную в энергонезависимой памяти, в которой данные хранятся постоянно, даже когда система выключена.

Измененная переменная скомпрометирует фазу безопасной загрузки системы, и киберпреступник сможет получить постоянный доступ к системе после того, как эксплойт будет установлен. Другими словами, злоумышленник может выполнить вредоносный код или получить доступ к системным ресурсам в любое время, даже когда система выключена.

В новых кибератаках злоумышленники используют модель Text-to-SQL для создания вредоносного кода, позволяющего собирать конфиденциальную информацию и проводить DoS-атаки.

Для лучшего взаимодействия с пользователями БД-приложения применяют ИИ-технологии, способные переводить вопросы человека в SQL-запросы. Такая техника называется Text-to-SQL. Злоумышленники могут обойти модели Text-to-SQL и создать вредоносный код с помощью специально подготовленных вопросов. Это может привести к утечке или DoS, поскольку злонамеренный код будет выполняться в базе данных.

Атаки бэкдора на четыре разные модели с открытым исходным кодом — BART-BASE, BART-LARGE, T5-BASE и T5-3B — показали 100% успешность с незначительным влиянием на производительность. В реальном сценарии такие атаки будет трудно детектировать.

Инциденты

В результате хакерской атаки доступ к сайтам Центробанка и ещё семи частных финансовых организаций Дании оказался заблокированным.

Сайты местного ЦБ и разработчика Bankdata, поставщика IT-продуктов для финансового сектора, стали жертвой DDoS-атаки.

По словам официального представителя датского Центробанка, к полудню вторника сайт организации функционировал в обычном режиме, атака не повлияла на другие системы ЦБ или повседневную деятельность банка.

Жертвами атаки стали также два ведущих банка королевства — Jyske Bank и Sydbank. Доступ к их сайтам также ненадолго блокировался.

Ответственность за атаку взяла на себя группировка KillNet.

Телеграм-канал «Утечки баз данных» сообщает, что ресурсы «Международного Авиационно-Космического Салона» были взломаны, а данные аккредитованных участников авиасалона попали в руки хакеров.

Опубликовано шесть SQL-таблиц.
Users, содержит 50 тыс. записей с такими данными как:

  • ⭕️ ФИО;
  • ⭕️ Телефон;
  • ⭕️ Эл. почта;
  • ⭕️ Место работы;
  • ⭕️ Должность;
  • ⭕️ Некоторые технические детали.

Accreditation_users, 38 тыс. записей:

  • ⭕️ ФИО;
  • ⭕️ Дата рождения;
  • ⭕️ Место рождения;
  • ⭕️ Реквизиты документа;
  • ⭕️ Телефон;
  • ⭕️ Эл. почта;
  • ⭕️ Адрес регистрации;
  • ⭕️ Место работы;
  • ⭕️ Должность;
  • ⭕️ Некоторые технические детали.

База содержит данные сотрудников очень чувствительных организаций:

  • ✔️ МИД РФ;
  • ✔️ Посольства РФ в различных странах;
  • ✔️ Ростех;
  • ✔️ АО Камов;
  • ✔️ МинОбороны РФ;
  • ✔️ ФСБ, ФСО РФ;
  • ✔️ РосОборонЭкспорт;
  • ✔️ КБ, НИИ и заводы

Актуальность данных в базе — июль 2021 года, что не делает её менее чувствительной.

Авиакомпании Air France и KLM проинформировали клиентов о компрометации учётных записей и раскрытии личной информации пользователей из-за хакерской атаки на IT-системы сервиса, ответственного за работу программы лояльности Flying Blue.

Злоумышленникам стали известны имена миллионов пассажиров, адреса электронной почты и телефонные номера, данные о последних транзакциях, баланс заработанных миль, а также история их трат в системе Flying Blue.

Представители авиакомпании также утверждают, что все бонусные мили на счетах клиентов сохранились и взлом не затронул информацию о кредитных картах пользователей.

Представители авиахолдинга заверили, что инцидент был локализован и заблокирован штатными ИБ-специалистами.

Поставщик цифровых решений для управления судами DNV сообщил, что одно из его приложений было взломано, из-за чего IT-команде пришлось временно приостановить его работу.

Кибератака произошла 7 января и вынудила компанию отключить от сети приложение ShipManager, которое служит для отслеживания ежедневных задач, руководства экипажем, анализа данных о грузоперевозках и проверки целостности корпуса судна.

Поставщик заявил, что все пользователи по-прежнему могут пользоваться функционалом приложения на борту корабля, но только в автономном режиме. По словам представителя DNV, хакеры смогли взломать только ShipManager, не сумев добраться до конфиденциальных данных или других продуктов компании.

Испаноязычная группировка Blind Eagle обновила набор хакерских инструментов и реализует одну из самых сложных цепочек заражения в истории кибератак, направленных на колумбийские и эквадорские организации.

Жертвами фишинговых атак злоумышленников стали банки Эквадора, Испании и Панамы:

  • Banco AV Villas,
  • Banco Caja Social,
  • Banco de Bogotá,
  • Banco Popular,
  • Bancoomeva,
  • BBVA,
  • Colpatria,
  • Davivienda,
  • TransUnion.

Хакеры останавливают атаку, если их жертва находится за пределами Колумбии. Аналогичным образом они действуют и в ходе другой вредоносной кампании, где выдают себя за Налоговую службу Эквадора. В этом случае Blind Eagle не просто развертывает троян в системе жертвы, а проводит намного более хитрую и сложную атаку, используя VBS-скрипт, встроенный в HTML-файл, который загружает два сценария, написанные на Python.

В последние дни 2022 года в сети были опубликованы данные клиентов сети магазинов «Спортмастер».

В компании подтвердили, что в распоряжении злоумышленников действительно оказались имена, даты рождения, номера телефонов и email-адреса клиентов.

В опубликованном 31 декабря текстовом файле содержалось 1 655 406 строк (269 499 уникальных email-адресов и 1 316 510 уникальных номеров мобильных и домашних телефонов), а самая «свежая» запись была датирована августом 2021 года.

Спустя несколько дней после публикации первого файла, хакеры обнародовали и второй, содержащий почти 100 млн строк. Самая свежая и единственная новая запись в новом файле была датирована 16 ноября 2022, однако специалисты DLBI отмечают, что подавляющее большинство строк все же относятся к 2010-2013 годам, а данные из первого (меньшего) файла дублируются во второй части «слива».

Оба этих дампа включают следующую информацию о клиентах:

  • ФИО;
  • email-адрес (13,4 млн уникальных адресов);
  • мобильный и домашний телефон (45,89 млн уникальных номеров);
  • адрес;
  • дата рождения;
  • пол.

Хакеры из группировки Cold River атаковали три ядерные исследовательские лаборатории США.

По информации журналистов Reuters, хакеры с августа по сентябрь 2022 года атаковали Ливерморскую национальную лабораторию имени Эрнеста Лоуренса в Калифорнии, Аргоннскую национальную лабораторию, находящуюся в штате Иллинойс, а также Брукхейвенскую национальную лабораторию в городе Аптон штата Нью-Йорк. Все атакованные центры входят в структуру министерства энергетики США.

Издание уточняет, что киберпреступники создавали фейковые страницы для входа сотрудников лабораторий, а также отправляли им письма с угрозами. По мнению журналистов, таким образом злоумышленники пытались завладеть паролями ученых-ядерщиков.

Неизвестные хакеры взломали IT-инфраструктуру колумбийского кооперативного банка, используя украденную у него информацию для создания убедительных фишинговых писем.

Письма содержали вредоносный Excel-файл с макросом, который хакеры использовали трояна BitRAT из репозитория GitHub в папку temp. В конце цепочки заражения загрузчик BitRAT декодируется и запускается на устройстве жертвы, начиная выполнять свою работу.

Слова специалистов подтверждает обнаруженный ими дамп данных, состоящий из 418 777 записей. Злоумышленники получили их, используя SQL-инъекции.
Анализ обнаруженных данных показал, что в руки хакеров попали:

  • Номера удостоверений личности граждан Колумбии;
  • Адреса электронной почты;
  • Номера телефонов;
  • Имена клиентов;
  • История платежей;
  • Информация о зарплате;
  • Физические адреса.
 88   20 дн   дайджест   фишинг

Антифишинг-дайджест № 305

Обзор новостей информационной безопасности со 23 по 29 декабря 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Фанат сериала «Во все тяжкие» («Breaking Bad») создал множество копий даркнет-маркетплейсов и брал с доверчивых «хакеров» по 100 долларов США за регистрацию на них.

Фальшивые сайты требуют от пользователей внести плату за создание аккаунта, в то время как настоящий сайт работает только по приглашениям. Собрав крохи информации, оставленные злоумышленником, эксперты вышли на другие поддельные сайты, работающие по той же схеме. С августа 2021 по июнь 2022 года им удалось обнаружить около 20 подобных сайтов.

Судя по всему, эта афера оказалась довольно успешной — на криптокошельках владельца сайтов оказалось более 132 тыс. долларов США, большую часть из которых злоумышленник уже вывел.

Исследователи считают, что им удалось найти ответственного за это человека — пользователя даркнет-маркетплейса Dread под ником waltcranston. Этот никнейм объединяет в себе имена главного героя сериала «Во все тяжкие» Уолтера Уайта и актера, который его играет — Брайана Крэнстона.

Сбер предупреждает о предновогодней мошеннической кампании, в ходе которой жильцам домов от имени управляющей компании рассылают уведомления о мнимом долге за коммуналку.

Особенности кампании

  1. Сумма долга — обычно 10-20 тысяч. Если оплатить сразу же, предлагается скидка. Те, кто соглашаются на оплату, не только теряют указанную сумму — мошенники могут получить доступ к банковской карте.
  2. Если получатель проигнорировал письмо, аферист, притворяясь сотрудником УК, может позвонить. Он постарается заполучить данные банковской карты, что приведёт к потере денег.

Как обезопастить себя

  1. Если вы получили такое письмо, убедитесь, что оно действительно от вашей УК. Сверьте адрес отправителя и позвоните в управляющую компанию по номеру с официального сайта.
  2. Не вводите данные своей банковской карты в формы после перехода по ссылкам, которые приходят с незнакомых адресов.
  3. Не раскрывайте свои финансовые данные в телефонном разговоре, кем бы собеседник не представился: полицейским, сотрудником УК или банка.

Северокорейские APT-группировки создали для новой вредоносной кампании сотни фишинговых сайтов, посвященных NFT, затем провели на них вредоносные минты, продавая свои поддельные токены на OpenSea, X2Y2 и Rarible.

Вредоносный минт — опасная тактика, которая позволяет злоумышленникам получить доступ к криптоактивам жертвы, когда она соединяет свой кошелек с фейковым NFT.

Исследователей поразил масштаб этой кампании — хакеры создали почти 500 различных доменов, самый первый их которых появился в мае 2022 года.

Злоумышленники записывали всех посетителей своих веб-сайтов в специальную базу, после чего атаковали их. Поэтому в руках хакеров могли оказаться не только криптоактивы, но и ценные личные данные жертв.

Согласно отчету, предоставленному исследователями, эта вредоносная кампания оказалась довольно прибыльной — злоумышленники сумели заработать на продаже украденных NFT около 367 тыс. долларов США.

Исследователи из Securonix обнаружили фишинговую кампанию STEPPY#KAVACH, целью которой стало приложение для двухфакторной аутентификации, используемое индийскими чиновниками.

Схема кампании

  1. Жертвам рассылаются фишинговые письма, составленные так, чтобы потенциальная жертва открыла LNK-файл для выполнения полезной нагрузки в формате HTA с помощью утилиты mshta.exe.
  2. HTML-приложение было обнаружено на взломанном сайте, вложенном в каталог gallery, который предназначен для хранения изображений на сайте. Взломанный сайт — incometaxdelhi[.]org, официальный сайт Департамента подоходного налога Дели.
  3. Запуск HTA-файла приводит к выполнению обфусцированного JavaScript-кода, который создает обманку — изображение, содержащее объявление Министерства обороны Индии, сделанное год назад, в декабре 2021 года.
  4. Затем JS-код загружает исполняемый файл с удаленного сервера, закрепляется в системе с помощью изменений в реестре Windows и перезагружает компьютер, чтобы автоматически запустить двоичный файл после запуска.
  5. Этот файл функционирует как бэкдор и позволяет хакеру выполнять команды с контролируемого злоумышленниками домена, получать и запускать дополнительные полезные нагрузки, делать скриншоты и похищать файлы.
  6. Бэкдор дает злоумышленнику возможность поиск файлов базы данных (kavach.db), созданного приложением Kavach в системе для хранения учетных данных.

Мобильная безопасность

Новая side-channel атака EarSpy, позволяет прослушивать устройства на Android, в том числе: распознать пол и личность звонящего, а также частично разобрать содержимое разговора.

Прослушку предлагается осуществлять при помощи датчиков движения, которые способны улавливать реверберацию динамиков мобильных устройств.
В современных смартфонах используются более мощные стереодинамики по сравнению с моделями прошлых лет. Они обеспечивают лучшее качество звука и более сильные вибрации. Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие нюансы работы динамиков.

В ходе экспериментов алгоритм машинного обучения тренировали с использованием легкодоступных наборов данных для распознавания речи, идентификации вызывающего абонента и определения пола. Данные, полученные в результате тестов, варьировались в зависимости от использованного набора данных и устройства, но в целом эксперименты исследователей дали многообещающие результаты и доказали, что такая прослушка возможна.

Например, точность определения пола звонящего на OnePlus 7T колебалась от 77,7% до 98,7%, классификация идентификатора вызывающего абонента колебалась от 63,0% до 91,2%, а распознавание речи удавалось с точностью от 51,8% до 56,4%.

Инциденты

Хакеры атаковали один из крупнейших в мире пулов для майнинга биткоина BTC.com и похитили криптоактивы на сумму около 3 млн долларов США, 700 тыс. долларо США из которых принадлежат клиентам, а 2,3 млн долларов США — компании.

Обнаружив произошедшее 3 декабря 2022 года, BTC.com незамедлительно сообищила об инциденте китайским правоохранительным органам. Как говорят специалисты, именно это помогло вырвать часть украденных средств из лап хакеров.

Руководство BTC.com приняло меры по предотвращению подобных кибератак в будущем, оптимизировав технологии внутренней безопасности «для более эффективного блокирования и перехвата действий хакеров». Сейчас пул ведет свою деятельность в обычном режиме, а средства клиентов находятся в безопасности.

В открытый доступ были выложены почти 4 000 000 уникальных телефонных номеров клиентов и 80 700 уникальных номеров телефонов водителей службы такси «Ситимобил».

Представители компании сообщили, что уже уведомили Роскомнадзор об утечке данных клиентов и водителей, обратились в правоохранительные органы в связи с инцидентом, а также «Ситимобил» проводит внутреннее расследование, «которое позволит определить, какие еще данные стали доступны злоумышленникам».

Данные, которые оказались сейчас в публичном доступе, являются обезличенными номерами телефонов и количественными показателями поездок, осуществленных с помощью сервиса. Тот факт, что большинство номеров уже были доступны в базе слитых номеров в связи с крупными утечками других сервисов ранее, не снижает уровень нашей ответственности.

PR-директор «Ситимобил» Екатерина Зубенина.

Подчеркивается, что компания «не хранит на серверах широкого перечня персональных данных пользователей, а старается ограничиваться обезличенными данными, которые бы были достаточны для достижения целей их обработки».

На хакерском форуме Breached предлагают к продаже данные 400 млн пользователей Twitter.

В качестве доказательства хакер под ником Ryushi опубликовал «пробник» с информацией 1000 учетных записей и раскрыл данные таких известных личностей как Дональд Трамп-младший, Виталик Бутерин, ИБ-журналист Брайан Кребс и так далее.

Преступник заявляет, что данные были украдены с помощью некой уязвимости, и дамп включает email-адреса и номера телефонов знаменитостей, политиков, компаний, рядовых пользователей, а также множество специальных юзернеймов.

Продавец предлагает Twitter и Илону Маску выкупить данные, чтобы избежать судебных исков и крупных штрафов, связанных с нарушением GDPR.

Специалисты ИБ-компании Hudson Rock изучили заявления хакера и предоставленный им «пробник». По их словам, дамп выглядит настоящим и содержит «огромное количество информации, включая адреса электронной почты и номера телефонов известных пользователей, в том числе AOC, Кевина О’Лири, Виталика Бутерина и других».

Журналистам издания Bleeping Computer злоумышленник сообщил , что предпочел бы продать данные Twitter эксклюзивно одному человеку или самой компании Twitter за 200 000 долларов США, а затем удалить их. Если этого не произойдет, он готов продать копии дампа нескольким людям по 60 000 долларов США за каждую.

Злоумышленники выставили на продажу в даркнете базу данных, содержащую информацию о 1,5 млн клиентов BetMGM, букмекерской компании принадлежащей международной гостиничной сети MGM Resorts International и холдингу Entain.

Продавец пишет, что дамп содержит 1 569 310 записей, актуальных по состоянию на ноябрь 2022 года, то есть информацию «о любом клиенте, сделавшем хоть одну ставку в казино».

В официальном заявлении, размещенном на сайте BetMGM, сказано, что данные о посетителях попали в руки третьих лиц «несанкционированным образом». При этом выяснилось, что инцидент произошел еще в мае текущего года, хотя компания узнала о случившемся только 22 ноября.

Компания сообщает, что скомпрометированная информация может варьироваться от человека к человеку, но обычно включает имя, адрес электронной почты, почтовый адрес, номер телефона, дату рождения, хешированный номер социального страхования, ID учетной записи и информацию, связанную с транзакциями.

Специалисты Telegram-канала «Утечки информации» сообщили об обнаружении открытого сервера Elasticsearch с данными компании «Рускон», которая занимается контейнерными перевозками.

В индексах сервера содержались логины и пароли пользователей личного кабинета lk.ruscon.ru. При этом «утекшие» пароли находились в открытом (текстовом) виде.

Специалисты оповестили компанию о проблеме. В пресс-службе Головной компании УК «Дело» сообщили, что «изучили фрагмент опубликованных данных и установили, что в них нет рабочих документов, важной персональной информации, каких-либо иных данных клиентов и контрагентов. Большая часть скомпрометированной информации — тестовые учётные данные для подключения к разрабатываемому личному кабинету Рускон. Для всех попавших в открытый доступ учетных данных сменены пароли, также реализованы мероприятия по недопущению повторений инцидента».

 177   1 мес   дайджест   фишинг

Антифишинг-дайджест № 304

Обзор новостей информационной безопасности со 16 по 22 декабря 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Пользователи мессенджера Telegram начали сталкиваться с массовыми попытками взлома их аккаунтов. Распространение получили две схемы.

Схема № 1. Telegram Premium в подарок

  1. Пользователь получает сообщение от одного из своих контактов якобы с подарком подписки на Telegram Premium.

  1. При нажатии на кнопку «Получить Telegram Premium» в служебный чат Telegram приходит код авторизации, а пользователь попадает в бот, который просит ввести этот код, чтобы активировать премиум-подписку.
  2. На самом деле вместо подписки злоумышленник пытается авторизоваться в Telegram-аккаунте жертвы со своего устройства. Для этого и требуется код.
    Если ввести его, мошенник получит доступ в аккаунт жертвы, ко всем её контактам и перепискам.
  3. Злоумышленник рассылает аналогичные сообщения по списку контактов уже от имени взломанного пользователя, а затем удаляет их из списка отправленных, чтобы жертва ничего не заподозрила. У получателей сообщение остаётся.
  4. Мошенник сохраняет полный доступ к взломанному Telegram-аккаунту со своего устройства, пока жертва не обнаружит его присутствие и не удалит посторонний гаджет из списка авторизованных.

Схема № 2. Проголосуй за ребенка

  1. Жертва получает сообщение с просьбой поддержать ребенка (крестницу, племянника) в детском конкурсе рисунков и проголосовать за работу на странице «интернет-соревнования».

  1. При переходе по ссылке пользователь попадает на страницу фейкового конкурса, где его просят ввести код для авторизации.
  1. Если ввести код авторизации от Telegram на этой странице, злоумышленники войдут в аккаунт со своего устройства.
  2. По контактам взломанных аккаунтов и чатам, в которых состояли их владельцы, рассылается мошенническое сообщение.
  3. С новыми взломанными учетными записями схема повторяется.

Что делать, если вы уже отправили мошенникам код авторизации и как защитить свой аккаунт, читайте наш разбор в блоге Антифигинга.

Мобильная безопасность

В официальном магазине Google Play обнаружен банковской троян Godfather, который маскируется под легальные криптоприложения.

Вредонос замечен в 16 странах мира, а список целей насчитывает более 400 различных банков, криптовалютных бирж и электронных кошельков.

Жертвами Godfather становятся пользователи 215 международных банков, 94 криптокошельков и 110 криптопроектов. Наибольшая интенсивность атак была зафиксирована в США, Турции, Испании, Канаде, Франции и Великобритании. При этом Godfather обходит стороной пользователей из России и СНГ: если настройки системы содержат один из языков этих стран, троян прекратит свою работу.

В основе Godfather лежит одна из версий известного банковского трояна Anubis, исходный код которого утек в открытый доступ еще в 2019 году. С выходом новых версий Android многие из возможностей Anubis перестали функционировать, однако хакеры не стали списывать его со счетов. Исходный код Anubis был взят за основу разработчиками Godfather, его модернизировали под более новые версии Android, а также усилили механизмы противодействия обнаружению средствами антифрода.

Атаки и уязвимости

Исследователи из Microsoft 365 Defender рассказали об исправленной уязвимости CVE-2022-42821 в системе безопасности macOS, которая может быть использована злоумышленниками для обхода Gatekeeper.

Уязвимость получила название Achilles и имеет оценку 5.5 из 10 по шкале CVSS. Она была устранена Apple в macOS Ventura 13, Monterey 12.6.2 и Big Sur 11.7.2.
Подобные уязвимости могут быть использованы в качестве вектора первоначального доступа для развертывания вредоносных программ на macOS.

Уязвимость Achilles позволяет хакерам использовать специально созданные полезные нагрузки для установки ограничений в Access Control List (ACL), из-за чего ZIP-архивам с полезной нагрузкой не будет присваиваться атрибут com.apple.quarantine, а злоумышленник сможет загрузить на компьютер пользователя архив с вредоносным ПО.

Компания Foxit Software выпустила патчи для критической уязвимости в PDF Reader и PDF Editor, которая позволяет удаленно выполнить произвольный код.

Уязвимость можно эксплуатировать с помощью специально подготовленных PDF-файлов и веб-страниц, то есть для использования бага потребуется взаимодействие с пользователем.

Проблема затрагивает только версия для Windows: Foxit PDF Reader 12.0.2.12465 и более ранние версии, а также Foxit PhantomPDF 10.1.7.37777 и более ранние версии.

Уязвимости присвоен идентификатор CVE-2022-28672 и 7,8 балла по шкале оценки уязвимостей CVSS.

В двух моделях беспроводных мостов Hikvision была выявлена уязвимость обхода аутентификации, которая позволяет получить админ-доступ к устройству и вести перехват трафика или отключить видеонаблюдение.

Hikvision DS-3WF0AC-2NT.

Китайский производитель охранных систем оценил CVE-2022-28173 как критическую — в 9,1 балла по шкале CVSS.

Причиной появления проблемы является некорректная обработка параметров в веб-интерфейсе администрирования. Для атаки нужно отправить на устройство запрос с полезной нагрузкой весом не более 200 байт. Результатом становится постоянный доступ к устройству на уровне администратора.

Вредоносный запрос можно подать по локальной сети или из интернета — при наличии такого доступа. В случае успеха в распоряжении автора атаки окажутся все функции интерфейса моста; он сможет перехватывать видеотрафик с целью слежки, а также запретить передачу данных с камер в службу безопасности, чтобы облегчить задачу грабителям.

Инциденты

Хак-группа Gamaredon (она же Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa и Winterflounder) атаковала неназванную нефтеперерабатывающую компанию в стране из блока НАТО.

Группировка остается гибкой и адаптирующейся APT, которая не использует в своих операциях чрезмерно сложные и комплексные техники. В большинстве случаев для успешного выполнения операций хакеры полагаются на общедоступные инструменты и скрипты, а также на рутинные попытки фишинга.

Мониторинг активности группы выявил более 500 новых доменов, 200 образцов малвари, а также многочисленные изменения в тактике, произошедшие за последние 10 месяцев в ответ на постоянно меняющиеся и расширяющиеся задачи и приоритеты.

В основном Gamaredon по-прежнему полагается на целевой фишинг и заражает машины своих жертв инфостилерами. Для этих задач хакеры чаще всего используют письма с файлами-приманками, написанными на украинском языке, но в последнее время были обнаружены образцы и с англоязычными приманками. К примеру, среди файлов, использованных при неудачной атаке на нефтеперерабатывающий завод неназванной компании, были MilitaryassistanceofUkraine.htm и Necessary_military_assistance.rar.

Робот-пылесос сфотографировал женщину в туалете, после чего это фото попало в сеть.

В 2020 году в закрытых Facebook-группах появились фотографии женщины, сидящей на унитазе. Эти фото сделал робот-пылесос Roomba от компании iRobot. Когда стал разгораться скандал, производитель пылесосов спешно прокомментировал ситуацию.

iRobot подтвердила, что изображения действительно были сделаны Roomba, и это часть программы по развитию ИИ одной из последних моделей Roomba. А для всех напуганных инцидентом покупателей пояснили, что:

  • Фотографии были сделаны не бытовым Roomba, а экспериментальной моделью, специально оснащенной записывающим оборудованием для программы по развитию ИИ;
  • Женщине и другим участникам заплатили за участие в программе и проинформировали о том, что робот-пылесос будет отправлять видео и фотографии в компанию;
  • На устройстве была ярко-зеленая наклейка с надписью “Идет видеосъемка”;
  • Женщину и других участников программы попросили не хранить ничего важного в помещениях, где будут убираться роботы.
Одна из опубликованных фотографий.

Источником утечки изображений стали сотрудники компании Scale AI, d в которую отправляли изображения и видео, собранные пылесосами iRobot. Они по собственной инициативе разместили фотографии и видео в Facebook, Discord и на платформах для совместной работы.

Группировка кибервымогателей Play провела кибератаку на сеть отелей H-Hotels, в результате чего IT-системы отеля были отключены от сети, а персонал отеля не может принимать и отвечать на запросы клиентов, отправленные по электронной почте.

Согласно сообщению H-Hotels и данным расследования, атаку провели профессиональные хакеры, которые взломали мощную ИБ-систему компании 11 декабря 2022 года.

H-Hotels уже связалась с правоохранительными органами Германии и ИБ-фирмой, которая поможет как можно скорее восстановить системы компании и усилить защиту от подобных кибератак в будущем.

Play заявляют, что им удалось похитить огромное количество личных данных клиентов, в том числе паспорта, удостоверения личности и многое другое. Но никаких документов, подтверждающих их слова, злоумышленники не предоставили. Администрация сети отелей отрицает утечку данных и обещает сообщить, если она вдруг будет обнаружена.

В ноябре налоговая служба США (IRS) в очередной раз по ошибке опубликовала 112 000 записей с данными налогоплательщиков.

Виновник инцидента — внешний подрядчик, работающий от имени IRS и занимающийся управлением базой данных.

Инцидент связан с формами 990-T, которое содержат частную информацию, используемую освобожденными от налогов организациями и тянется еще с лета. Некоторые данные из этих форм были доступны в системе поиска организаций, освобожденных от уплаты налогов (TEOS) и их могли скачать все желающие. Тогда все файлы быстро удалили и пообещали заменить другими.

Замена началась в ноябре, но что-то пошло не так. Вместо нового набора файлов, который не содержал в себе важных данных, в БД попали старые файлы с конфиденциальной информацией внутри. И хотя IRS передало подрядчику все нужные данные 23 ноября, старые файлы не были удалены из системы.

Из-за кибератаки пожарно-спасательная служба Австралии в штате Виктория (FRV) была вынуждена отключить свои системы и перейти в оффлайн.

Хакерская атака вызвала серьезные перебои в работе корпоративной электронной почты, телефонной сети и системы аварийной диспетчеризации Fire Rescue Victoria (FRV), которая, например, открывает двери станций, как только пожарные получают экстренный вызов.

Из-за произошедшего пожарные команды штата Виктория вынуждены использовать радиорации, пейджеры и мобильные телефоны для реагирования на вызовы. По словам специалистов, работа в таком режим может продлиться до четырех дней, пока ведется расследование инцидента.

Данные 5,6 млн пользователей Social Blade выставлены на продажу в даркнете.

Согласно заявлению Social Blade, об утечке данных стало известно 14 декабря, когда неизвестный хакер обнаружил брешь в защите сервиса и скопировал базу данных пользователей, после чего выставил ее на продажу. БД содержит в себе 5,6 млн записей, датированных сентябрем этого года. Злоумышленник рассчитывает на 1-2 продажи, после чего пообещал удалить тему.

В руках хакера оказались адреса электронной почты, хэши паролей, ID пользователей, IP-адреса, токены аутентификации для подключенных аккаунтов, а также некоторые внутренние данные Social Blade.

Компания отметила, что злоумышленник не смог украсть данные личных карт, а все пароли хэшируются с помощью надежного алгоритма BCrypt. Однако пользователям все равно рекомендуется сменить пароль и оставаться бдительными, чтобы не стать жертвами фишинговой атаки.

На хакерских форумах появились предложения по продаже базы данных криптовалютной биржи Gemini, содержащей номера телефонов и адреса электронной почты 5,7 млн пользователей.

Представители Gemini опубликовали краткое предупреждение, в котором заявили, что неназванный сторонний поставщик биржи недавно столкнулся с «инцидентом». Из-за этой атаки в руки третьих лиц попали email-адреса и неполные номера телефонов, принадлежащие «некоторым клиентам» Gemini.

В результате этой утечки клиенты криптобиржи получают множество фишинговых писем. Пока не сообщается, какую цель преследуют операторы этой кампании, но можно предположить, что им нужен доступ к учетным записям и финансовой информации пользователей.

Gemini подчеркивает, что информация об учетных записях клиентов и ее собственные системы от атаки не пострадали, а средства и аккаунты клиентов «в безопасности».

Кибератака на американскую службу потокового телевидения FuboTV привела к тому, что пользователи не смогли посмотреть долгожданный матч между Францией и Марокко на чемпионате мира по футболу.

«Хотя обслуживание было восстановлено позже вечером 14 декабря, мы посчитали важным сообщить вам, что вчерашний инцидент не был связан с какими-либо проблемами с пропускной способностью со стороны Fubo — мы стали целью преступной кибератаки».

Соучредитель и генеральный директор FuboTV Дэвид Гандлер.

 87   1 мес   дайджест   фишинг
Ранее Ctrl + ↓