Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 289 со 2 по 8 сентября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена мошенническая кампания, для проведения которой используется популярный маркетплейс.

Схема действий мошенников

  1. Мошенники выкладывают на официальный сайт известного маркетплейса несколько товаров. Это может быть все, что угодно: от дачного бассейн до смартфона. Преступники представляются разными продавцами, но используют один и тот же номер.

  1. Страницы товаров не вызывают подозрения. В карточках присутствует правдоподобная информация: есть артикул, логотип бренда-производителя, несколько фото, сроки доставки и возврата.
  1. В описании товара преступники указывают номер телефона и просят перед оформлением заказа обязательно написать менеджеру. В нормальной ситуации в этом нет никакой необходимости: крупные маркетплейсы и онлайн-магазины всегда проводят все сделки через свою платформу, поскольку это помогает обеспечить безопасность и продавца, и покупателя. Прямое общение между ними такие площадки как минимум не одобряют, а чаще и вовсе запрещают.
  1. Если потенциальный покупатель пишет по номеру в описании на сайте, ему предлагают прислать полное имя покупателя, адрес ближайшего пункта выдачи заказов, номер телефона и другую информацию. Финалом переписки становится ссылка на «страницу оформления заказа».
  1. Кликнув по ссылке, жертва якобы возвращается на сайт маркетплейса для оформления покупки, но на самом деле это мошеннический ресурс, созданных злоумышленниками.
  1. Если жертва оплатит товар через поддельный сайт, мошенники получат ее деньги и личные данные:
  • Имя и фамилию
  • Телефон
  • Электронную почту
  • Адрес доставки
  • Данные банковской карты

Инциденты

Злоумышленники похитили 185 тыс. долларов США в криптовалюте с кошелька актера Билла Мюррея. Эти средства актер собрал на аукционе для благотворительности, чтобы отправить их некоммерческой организации Chive Charities.

У актера была защита криптокошельков от фирмы Project Venkman, но это не помешало хакеру отправить украденные средства на адрес кошелька, привязанный к криптобирже Binance и Unionchain.ai. Мюррей подал заявление в полицию и работает с аналитической фирмой Chainalysis, чтобы найти виновного.

Киберпреступник также атаковал личную NFT-коллекцию Мюррея, но успеха не добился.

После кибератаки на министерство обороны Португалии в дарквебе на продажу были выставлены сотни секретных документов, отправленных правительству страны NATO.

В Португалии об атаке и утечке узнали лишь после того, как в августе об инциденте их информировали американские разведывательные службы.

По данным источников, португальский Генштаб провёл после этого аудит подведомственных ему IT-систем и идентифицировал компьютеры, с которых были похищены файлы. Выяснилось, что правила безопасной передачи секретных документов были нарушены: для пересылки таких файлов использовались незащищённые каналы связи, а не специально предназначенные для этого армейские системы.

Также источники сообщили, что кибератака была «длительная и необнаруживаемая», в ней использовались специально сконструированные боты, искавшие специфический тип документов.

На хакерском форуме за 5 тыс. долларов США продаются данные 40% населения Индонезии.

По заявлению продавца набор данных содержит 20 ГБ информации о 105 миллионах граждан Индонезии. Эксперты предполагают, что данные могли быть украдены из систем Генеральной избирательной комиссии Индонезии.
К своему сообщению на форуме хакер приложил образец информации, в котором были личные данные нескольких граждан Индонезии. В образце информации были:

  • 🎋Номер удостоверения личности;
  • 🎋Полное имя;
  • 🎋Адрес регистрации;
  • 🎋Возраст;
  • 🎋Пол;
  • 🎋Номер избирательного участка.

Второй по величине школьный округ в США, LAUSD (Los Angeles Unified School District, Объединенный школьный округ Лос-Анджелеса), пострадал от атаки вымогателей.

Технические проблемы в масштабах всего округа были обнаружены в минувшие выходные, когда злоумышленники нарушили доступ к системам LAUSD, в том числе к серверам электронной почты. Примерно через семь часов после первого сообщения подтвердилось, что речь идет об атаке программы-вымогателя.

Руководство LAUSD немедленно уведомило об инциденте правоохранительные органы и федеральные агентства (ФБР и CISA) и продолжает сотрудничать с властями в рамках ведущегося расследования.

По словам ИБ-аналитика Emsisoft Бретта Кэллоу, атака на LAUSD стала уже 50-й вымогательской атакой на образовательное учреждение в США в текущем году. В список жертв вымогателей входят 26 колледжей и университетов, а также 24 школьных округа, в которых насчитывается 1727 школ.

Из-за кибератаки сеть отелей InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) была вынуждена отключить некоторые IT-системы.

Сервисы бронирования IHG и ряд других служб были сильно повреждены и не работают на данный момент. IHG Hotels & Resorts наняла сторонних специалистов для расследования инцидента, а также уведомила соответствующие регулирующие органы.

Хотя компания не раскрыла никаких подробностей о характере атаки, в своем сообщении она упомянула, что работает над восстановлением пострадавших систем и оценкой масштаба кибератаки. По словам экспертов, это может быть атака программы-вымогателя.

IHG заявила, что отели IHG по-прежнему могут работать и принимать заказы напрямую. API-интерфейсы компании не работают и показывают ошибки HTTP 502 и 503. Кроме того, клиенты не могут войти в систему, а в приложении IHG отображается ошибка.

Согласно данным компании Hudson Rock , хакеры смогли скомпрометировать не менее 15 аккаунтов сотрудников IHG и украсть данные более 4000 пользователей приложения.

Хакеры KillNet опубликовали пресс-релиз, в котором объявили кибервойну Японии. За 6 сентября они вывели из строя несколько государственных и частных электронных сервисов страны.

От действий KillNet пострадали сайт и приложение электронного правительства Японии, местного аналога портала «Госуслуги», налогового портала страны, местная платежная система JCB, а также популярная японская соцсеть Mixi.

Лондонская транспортная компания Go-Ahead была атакована неизвестными хакерами, целью которых были стали списки автобусов и водителей.

От атаки пострадало ПО для составления расписания и расчета заработной платы работников компании. Выяснить, кто стоит за кибератакой, пока не удалось.

Сейчас компания заявляет, что инцидент никак не повлиял на британские или международные железнодорожные перевозки и что уже были приняты все возможные меры для предотвращения подобных кибератак.

Группировка AgainstTheWest (она же BlueHornet) заявила о взломе TikTok и WeChat и получении дамп с данными объемом 790 Гб.

Хакеры указывают, что им удалось похитить пользовательские данные, статистику платформы, исходные коды, файлы cookie, токены аутентификации, информацию о сервере и многое другое. Представители TikTok утверждают, что заявления о взломе являются ложными.

В качестве доказательства взлома хакеры поделились скриншотами похищенной БД, якобы принадлежащей компаниям. Согласно заявлением злоумышленников, в общей сложности им удалось получить доступ к 2,05 миллиарда записей

Представители TikTok настаивают, что утверждения хакеров не соответствуют действительности, поскольку рассматриваемый исходный код никак не связан с исходным кодом бэкэнда TikTok, который, к тому же никогда не объединял свои данные с WeChat.

ИБ-эксперт и багхантер, Боб Дьяченко (Bob Diachenko) подтвердил подлинность утекших пользовательских данных, однако не может сказать ничего конкретного об их происхождении.

Группировка Hive зашифровала системы компании Damart и нарушила некоторые рабочие процессы. Перебои в работе затронули 92 магазина.

В отчете Валерия Марчива из LeMagIT, который смог получить слитую в сеть записку о выкупе, отмечается, что хакеры не планируют вести переговоры и ожидают, что им будет выплачена полная сумма выкупа в размере 2 млн долларов США.

Хакеры не стали размещать информацию о жертве на своем сайте, пытаясь сохранить переговоры в тайне. Однако, компания и не планировала вести переговоры со злоумышленниками и уведомила о случившемся национальную полицию, что стало неожиданностью для Hive.

Кроме того, Damart заявила, что попытка вторжения в ее IT-системы была быстро пресечена с помощью надежных протоколов безопасности. В качестве меры предосторожности компания временно приостановила работу некоторых услуг, поэтому в настоящее время сайт производителя одежды не работает.

Группировка REvil атаковала компанию Midea Group и украла около 400 ГБ данных, включая исходный код прошивки и финансовую информацию.

По словам хакеров, они украли все данные из PLM-системы (Product Lifecycle Management), в том числе чертежи, исходный код прошивки, информацию из систем управления версиями Git и SVN, а также финансовую информацию, которую хакеры готовы продать.

REvil уже опубликовала большое количество файлов, предположительно украденных у Midea Group, и они включают в себя сканы физических и цифровых удостоверений личности, скриншоты внутреннего клиента VMware vSphere, несколько архивов 7zip и SSH-ключ.

 298   26 дн   дайджест   фишинг

Для борьбы с саботажем нужна развитая коммуникация сотрудников и ИБ

18 августа Виталия Демёхина, руководитель отдела разработки материалов «Антифишинга», приняла участие в дискуссии портала Global Digital Space на тему «Саботаж со стороны работников. Как выявлять инсайдера?» Эксперты обсудили, с какими видами саботажа сталкиваются сегодня российские компании, как распознать действия недобросовестных сотрудников и предотвратить их и как в организациях распределяются полномочия по противодействию инсайдерской угрозе.

Как показал проведённый во время эфира опрос, почти половина зрителей (47%) уже сталкивались со случаями саботажа в ИТ-сфере. Хотя большинство примеров саботажа не выносится на публику, в этом году крупный инцидент попал в новости, когда Яндекс связал утечку данных сервиса доставки еды с недобросовестными действиями одного из сотрудников.

Виталия Демёхина назвала залогом защиты от инсайдеров диалог между сотрудниками и службой информационной безопасности. Правильно выстроенная коммуникация, при которой сотрудники понимают, как и почему они должны действовать, о каких подозрительных действиях и кому нужно сообщать, должна работать в комплексе с техническими средствами защиты и организацией процессов.

«Я бы советовала очень большую часть времени потратить на выстраивание процессов и создание ИБ на стыке бизнеса, психологии и IT. Как бы мы ни старались, мы не задетектируем всё, что хотим. Так не бывает. Компании признаются: каждый третий работник может рассказать как обойти средства защиты, а каждый четвертый продемонстрирует вам это прямо сейчас».

Виталия Демёхина считает, что полностью оцифровать девиантное поведение для выявления инсайдеров в большинстве случаев нельзя. Но компании могут оценивать навыки безопасного поведения сотрудников и затем развивать их. Это будет способствовать здоровой коммуникации между сотрудниками и ИБ и поможет определять тех, кто систематически нарушает правила безопасности умышленно.

«Часто, когда нашим клиентам нужно проверить кого-то из сотрудников, они используют для этого имитированные атаки. Можно сымитировать действия того, кто агитирует инсайдера, или посмотреть, совершает ли человек небезопасные действия, которые могут привести к утечкам. Например, отправляет ли он в ответ конфиденциальную информацию и вообще вступает ли в диалог. Был опыт проверки, когда нужно было по форме заполнить своё рабочее место, где ты физически находишься в компании. Если человек совершал небезопасное действие, дальше с ним разговаривали, выясняли, почему он так сделал».

По результатам таких проверок сотруднику нужно давать конструктивную обратную связь, которая поможет ему на личном опыте приобрести навыки безопасной работы и даст почувствовать ответственность за защиту компании.

Чтобы узнать больше об угрозе саботажа и стратегиях противодействия ему, смотрите полную запись дискуссии и отдельное интервью с Виталией Демёхиной.

Антифишинг-дайджест № 288 с 26 августа по 1 сентября 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Во вредоносной кампании GO#WEBBFUSCATOR используются фишинговые письма, вредоносные документы и снимки с телескопа «Джеймс Уэбб».

Схема действий хакеров

  1. Атака начинается с фишингового письма с прикрепленным вредоносным документом Geos-Rates.docx, который загружает файл шаблона.
  1. Этот файл, в свою очередь, содержит обфусцированный макрос VBS, который выполняется автоматически, если в Office разрешена работа макросов.

  1. Затем с удаленного ресурса, подконтрольного злоумышленникам (xmlschemeformat[.]com), происходит загрузка изображения в формате JPG (OxB36F8GEEC634.jpg). Картинка декодируется в исполняемый файл (msdllupdate.exe) с помощью certutil.exe, после чего файл запускается.
  1. Если просто открыть этот вредоносный .JPG, можно увидеть скопление галактик SMACS 0723, снятое телескопом «Джеймс Уэбб» и опубликованное НАСА в июле 2022 года. Если же открыть файл в текстовом редакторе, можно обнаружить дополнительный контент, а именно полезную нагрузку зашифрованную с помощью Base64, которая в итоге и превращается во вредоносный исполняемый файл.
  1. Исполняемый файл обеспечивает вредоносу устойчивое присутствие в системе, копируя себя в «%%localappdata%%\microsoft\vault\» и создавая новый раздел реестра. После запуска вредонос устанавливает DNS-соединение с управляющим сервером и передает ему зашифрованные запросы.
  1. Связь с управляющим сервером реализуется с помощью запросов TXT-DNS и запросов nslookup. Все данные кодируются с помощью Base64.
  1. Управляющий сервер может отвечать вредоносу, задавая временные промежутки между запросами на подключение, изменяя время ожидания nslookup или отправляя команды, которые нужно выполнить с помощью cmd.exe.

Обнаружены три связанные друг с другом кампании по доставке вредоносов RAT ModernLoader, RedLine Stealer и майнеры криптовалюты.

В первую очередь экспертов заинтересовал именно ModernLoader, предназначенный для установления удаленного контроля над компьютером жертвы и позволяющий злоумышленникам развертывать дополнительную малварь, похищать конфиденциальную информацию или сделать зараженную систему частью ботнета.

ModernLoader (также известный как Avatar bot) как весьма простой троян удаленного доступа, написанный на .NET. Он обладает функциями сбора системной информации, выполнения произвольных команд, загрузки и запуска файлов с управляющего сервера, что позволяет злоумышленниками изменять вредоносные модули в режиме реального времени.

Для своих атак злоумышленники предпринимают попытки взлома уязвимых веб-приложений, включая WordPress и CPanel, и в случае успеха распространяют малварь под видом подарочные карты Amazon (разумеется, фейковых).

Полезная нагрузка первого этапа атаки представляет собой файл HTML Application (HTA), который запускает скрипт PowerShell с управляющего сервера злоумышленников, чтобы инициировать развертывание промежуточных пейлоадов, которые в итоге внедряют на машину малварь, используя технику process hollowing.

Нелегальный майнер криптовалюты Nitrokod маскируется под различные приложения от «Яндекс.Переводчика» до MP3 Download Manager, проникает в систему жертвы, но затем выжидает до 30 дней, прежде чем начать атаку.

Схема действий преступников

  1. Nitrokod маскируется под сервисы, у которых официально нет десктопных версий, включая «Яндекс.Переводчик», Microsoft Translate, YouTube Music, MP3 Download Manager и Pc Auto Shutdown.
  1. ПО не содержит ничего подозрительного и выполняет заявленные функции. В действительности Nitrokod намеренно задерживает установку вредоносных компонентов на срок до месяца, чтобы избежать обнаружения.
  1. Независимо от того, какая программа была загружена с сайта Nitrokod или из популярного каталога ПО, в итоге пользователь получает защищенный паролем файл RAR, который избегает обнаружения антивирусом и содержит исполняемый файл, названный именем выбранного приложения. После запуска этого файла программа устанавливается в систему вместе с двумя ключами реестра.
  1. Чтобы не вызывать подозрений и усложнить анализ, Nitrokod активирует дроппер из другого зашифрованного RAR-файла, полученного через Wget, только на пятый день после заражения. Затем вредонос очищает все системные журналы с помощью PowerShell-команд и еще через 15 дней получает следующий зашифрованный RAR с intelserviceupdate[.]com.
  1. Дроппер следующего этапа атаки проверяет наличие в системе антивирусного ПО, ищет процессы, которые могут принадлежать виртуальным машинам, а в конечном итоге добавляет новое правило брандмауэра и добавляется в исключения Windows Defender.
  1. После этого устройство наконец готово для получения последнего пейлоада. Последний дроппер, загружает еще один файл RAR, который содержит майнер на базе XMRig, его контроллер и файл .sys с настройками. В системе малварь определяет, работает ли она на десктопе или ноутбуке, затем подключается к своему управляющему серверу (nvidiacenter[.]com) и отправляет полный отчет о системе хоста с помощью HTTP POST-запросов.
  1. Управляющий сервер отвечает майнеру инструкциями, сообщая, должен ли тот начать работу, какой процент мощности ЦП можно использовать, когда снова обратиться с серверу управления, а также какие программы проверять и завершать работу, если они найдены.

Атаки и уязвимости

Опасная уязвимость CVE-2022-28799 в компоненте WebView приложения угрожает безопасности 1,5 млрд пользователей TikTok, позволяя похитить аккаунт в один клик.

Проблема присутствовала в Android-приложении TikTok версий 23.7.3 и ниже, а для ее использования нужно было использовать несколько других уязвимостей. Чтобы получить полный доступ к аккаунту пользователя, хакерам достаточно было заставить пользователя нажать на специально сгенерированную ссылку. Получив доступ к аккаунту, злоумышленники получали возможность просматривать приватные видео, отправлять сообщения и загружать свои видео.

Источник проблемы состоял в том, что приложение TikTok для Android позволяло обойти проверку глубокой ссылки. В результате злоумышленники могли заставить приложение загрузить URL-адрес в компонент WebView и получить доступ к JavaScript-мостам WebView, обеспечивая хакерам 70 способов быстрого доступа к информации пользователя. Кроме того, злоумышленник мог получить токены аутентификации жертвы, отправив запрос к серверу, а затем записав cookie-файлы и заголовки запроса.

Инциденты

Группа реагирования на инциденты кибербезопасности Чили (CSIRT) сообщила, что одно из госучреждений страны подверглось атаке программы-вымогателя, нацеленной на корпоративные службы Microsoft и серверы VMware ESXI.

Злоумышленник смог получить полный контроль над системой жертвы и оставил записку с требованием выкупа, в которой также предложил способы связаться с ним. Программа-вымогатель обошла антивирусное ПО и зашифровала многие файлы, а также украла учетные данные из браузеров и определила подключенные устройства и диски.

Во время атаки ко всем файлам в системе ведомства было добавлено расширение «.crypt». Хакер пригрозил продать информацию в дарквебе, если агентство не ответит в течение трех дней.

Ни одна группа вымогателей пока не взяла на себя ответственность за атаку.

Международный центр разработки миграционной политики (ICMPD) стал жертвой кибератаки, которая привела к утечке данных.

Координатор по связям с общественностью ICMPD Бернхард Шрагл сообщил, что злоумышленникам удалось получить «ограниченный доступ» к отдельным серверам, на которых хранились данные.

Через 45 минут после обнаружения была создана группа экстренного реагирования, все внешние сетевые подключения были отключены, а все веб-сайты закрыты, чтобы предотвратить дальнейшее распространение атаки.

Атака на ICMPD была организована группой вымогателей Karakurt . На своем сайте утечки группировка заявила, что украла 375 ГБ данных, которые включают «переписки по контрактам, сканы договоров, бюджеты проектов, финансовые и страховые документы, счета-фактуры, паспорта, почтовые ящики ключевых членов организации и многое другое».

Группа вымогателей Cuba взяла на себя ответственность за атаку на правительство Черногории и заявила, что украла файлы, принадлежащие Отделу по связям с общественностью Парламента Черногории.

Украденная ​​информация предположительно содержит финансовые документы, переписки с сотрудниками банков, балансовые отчеты, налоговые документы и документы о компенсации. IT-специалистам не удалось проверить достоверность файлов, поскольку ссылка на скачивание файлов на сайте Cuba не работала.

Программа-вымогатель Cuba часто доставляется в качестве полезной нагрузки на заключительном этапе кибератак с использованием загрузчика вредоносного ПО Hancitor в BEC-атаках. Группировка используют вредоносное ПО Mimikatz для кражи учетных данных и инструмент для пентеста Cobalt Strike.

Группировка Ragnar Locker заявила об атаке на крупнейшую авиакомпанию Португалии TAP Air Portugal.

По словам представителей TAP, системы безопасности заблокировали кибератаку, а злоумышленники не сумели получить доступ к информации клиентов, хранящейся на взломанных серверах.

И хотя TAP не подтвердила, было ли использовано в атаке вымогательское ПО, группировка вымогателей Ragnar Locker разместила на своем сайте новую запись, в которой заявила, что именно она стоит за атакой на португальскую авиакомпанию.

Вымогатели заявили, что украли сотни гигабайт данных клиентов TAP и пригрозили предоставить неопровержимые доказательства этого, чтобы опровергнуть заявление компании. Злоумышленники уже поделились скриншотом электронной таблицы, содержащей информацию о клиентах, украденную с серверов TAP. Она включает в себя имена, даты рождения, электронные и физические адреса.

В день рождения Александра Лукашенко хакерская группа «Belarusian Cyber Partisans» заявила, что превратила паспорт президента Белоруссии в NFT.

Киберпартизаны также опубликовали паспортные данные других политиков Белоруссии, среди которых:

  • Лидия Ермошина, бывшая глава ЦИК страны;
  • Наталья Эйсмант, пресс-секретарь президента;
  • Иван Тертель, заместитель главы КГБ Белоруссии.

Хактивисты написали в своем Telegram-канале , что создали NFT-коллекцию паспортов на торговой площадке OpenSea. Однако, коллекция была удалена платформой менее чем через 24 часа после публикации.

На теневом форуме выложили частичный дамп почтового (MS Exchange) сервера предположительно платформы сервисов для бизнеса «Деловая среда» (dasreda.ru), созданной «Сбером».

В распространяемом архиве дампы 47 почтовых ящиков на домене @dasreda.ru. Причем письма (в формате .EML) в этих ящиках отобраны хакерами только те, которые содержат в себе слово «пароль».

У СДЭК снова произошла утечка данных. На этот раз в открытом доступе обнаружены два дампа, связанные с недавно запущенным сервисом для заказов товаров за рубежом CDEK.Shopping и маркетплейсом «CDEK.Маркет».

В дампе «CDEK.Shopping» находится 19 839 строк:

  • 🌵 имя
  • 🌵 адрес эл. почты
  • 🌵 хешированный (bcrypt) пароль
  • 🌵 телефон
  • 🌵 дата рождения
  • 🌵 дата создания и обновления профиля (с 19.04.2022 по 15.08.2022)

В дампе «CDEK.MARKET» 100 000 строк:

  • 🌵 имя/фамилия
  • 🌵 логин
  • 🌵 адрес эл. почты
  • 🌵 телефон
  • 🌵 хешированный (MD5 с солью) пароль
  • 🌵 дата создания профиля и последнего входа в систему (с 27.08.2018 по 15.03.2022)

Представители СДЭК уже подтвердили факт утечки БД клиентов и сообщают, что в настоящее время компания проводит проверку и работает над предотвращением распространения данных.

В открытый доступ был выложен дамп базы данных зарегистрированных пользователей предположительно онлайн-кинотеатра «СТАРТ» (start.ru).

Дамп в JSON-формате (получен вероятно из MongoDB) имеет размер 72 Гб и содержит информацию о 43 937 127 пользователях (включая тестовые записи):

  • 🌵 имя/фамилия (на русск. или англ. языках)
  • 🌵 адрес эл. почты (7 455 926 уникальных адресов)
  • 🌵 хешированный (частично md5crypt) пароль
  • 🌵 IP-адрес
  • 🌵 страна (24,6 млн из России, 2,3 млн из Казахстана, 2,1 млн из Китая, 1,7 млн из Украины)
  • 🌵 дата начала/окончания подписки, последнего входа и т. п. (с 19.09.2017 по 22.09.2021)

Проверка случайных записей из дампа через функцию восстановления пароля на сайте start.ru и всех логинов (эл. почты) из этих записей подтвердила актуальность данных.

Судя по информации из этого дампа он был сделан не ранее 22.09.2021

 81   1 мес   дайджест   фишинг
Ранее Ctrl + ↓