Обзор новостей информационной безопасности с 15 по 21 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новых атаках шпионской группы Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию эксплуатируются темы поддержки участников СВО и воинский учёт.

Схема действий преступников

1. Жертвы получают персонализированное письмо с вложением. В одном варианте злоумышленники от имени представителей «Московской городской организации Общероссийского профессионального союза работников государственных учреждений» предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные — их можно найти в свободном доступе.

2. В другой рассылке хакеры представлялись «Ассоциацией Учебных Центров» и использовали актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

3. В письмах содержатся вложения-приманки.

4. Если пользователь открывает документ-приманку из вложения электронного письма, происходит загрузка удаленного шаблона. Загружаемый по ссылке шаблон представляет собой RTF-файл, содержащим эксплойт уязвимости CVE-2017-11882.

5. В результате эксплуатации уязвимости происходит запуск шелл-кода, предназначенного для загрузки HTA-файла по ссылке и его последующего выполнения. Впоследствии в системе создается ряд VBS-скриптов, и следующая стадия атаки так же представляет собой VBS-код.

Обнаружена глобальная фишинговая кампания, нацеленная на сотрудников гостиниц по всему миру.

Схема действий преступников

1. Злоумышленники рассылают вредоносные письма от имени клиентов, якобы столкнувшихся с проблемами во время проживания. Это могут быть самые разнообразные жалобы — от подозрений в отравлении до обвинений в невнимательном отношении к людям с ограниченными возможностями.

2. Киберпреступники тщательно продумывают легенды, чтобы вызвать сочувствие у сотрудников и заручиться их доверием. Например, были обнаружены письма якобы от имени человека, который оставил в номере фотоаппарат с фотографиями умершего родственника.

3. Как только представитель отеля реагируют на такое сообщение, запрашивая дополнительные подробности, мошенники отвечают новым письмом. В нём содержатся ссылки на документы, подтверждающие их жалобу — договоры, чеки, медицинские заключения и т. д.

4. Ссылки ведут на облачные хранилища вроде Google Диска, Mega или Dropbox. В заархивированных файлах скрывается вредоносное ПО. В тексте письма также указывается пароль для доступа к этим архивам.

5. В архиве содержится исполняемый файл с именем типа «all the necessary information.scr». При его запуске на компьютер будет установлен RedLine Stealer или Vidar Stealer — шпионский софт, который собирает и отправляет пароли жертвы злоумышленнику.

Организаторы кампании по распространению загрузчика вредоносного ПО PikaBot отказались от фишинга в пользу рекламной кампании Google Ads, нацеленной на пользователей, ищущих в интернете программу AnyDesk.

Схема действий преступников

1. В качестве нового вектора атаки злоумышленники используют мошенническую рекламу AnyDesk в Google для AnyDesk, перенаправляющую жертв на поддельный сайт anadesky.ovmv[.]net.

2. С этого сайта загружается вредоносный установщик MSI, размещенный в Dropbox. Интересно, что перенаправление происходит только после анализа запроса (fingerprinting the request) и в случае, если он не исходит из виртуальной машины.

3. Злоумышленники обходят системы безопасности Google, используя отслеживающие URL через легитимные маркетинговые платформы, и перенаправляют на свои домены за Cloudflare. При этом на следующий этап переходят только запросы с «чистыми» IP-адресами.

4. Дополнительный этап анализа происходит при нажатии на кнопку загрузки на поддельном сайте, что, по-видимому, является попыткой убедиться, что доступ к сайту в виртуализированной среде закрыт.

Инциденты

Компания Comcast Cable Communications, крупный поставщик услуг кабельного телевидения и интернета, работающий под брендом Xfinity, сообщила, что злоумышленники взломали один из ее серверов Citrix с помощью уязвимости Citrix Bleed и похитили конфиденциальную информацию.

Администраторы Xfinity не установили исправления для критической ошибки Citrix Bleed. 25 октября, примерно через две недели после того, как Citrix выпустила патчи для Citrix Bleed, телекоммуникационная компания обнаружила признаки вредоносной активности в своей сети, произошедшей в период с 16 по 19 октября.

Расследование инцидента показало, что злоумышленники украли из систем компании данные 35 879 455 человек. В украденной информации содержались имена пользователей и хешированные пароли. Для некоторых клиентов также могли быть скомпрометированы имена, контактная информация, последние четыре цифры номеров социального страхования, даты рождения, секретные вопросы и ответы на них.

Вымогатели Rhysida опубликовали более 1,3 млн файлов с информацией студии Insomniac Games, принадлежащей Sony.

По словам злоумышленников, им удалось заполучить «эксклюзивные, уникальные и впечатляющие данные». Файлы общим объемом 1,67 Тб содержат финансовые документы, личные данные сотрудников, в том числе топ-менеджеров, а также материалы по разработке — скриншоты, концепт-арты, бюджетные планы.

Среди скомпрометированных сведений есть секретные материалы игр по вселенной Marvel: Spider-Man 3, Venom и X-Men. Сумма контракта Insomniac и Marvel на разработку игр по «Людям Икс» до 2035 года составляет 621 миллион долларов.

Хакеры выставили похищенные данные на теневом аукционе за 50 биткоинов (около 2 млн долларов США). Однако Sony проигнорировала требования и не стала платить выкуп.

В результате кибератаки на американский медицинский центр «Neurosurgical Associates of New Jersey» злоумышленник получил доступ к электронной почте одного из сотрудников компании, а затем похитил конфиденциальные данные пациентов.

Точное количество жертв неизвестно. По оценкам экспертов, оно исчисляется тысячами, поскольку медицинский центр управляет 11 клиниками по всему штату Нью Джерси.

Похищенная информация включает имена, адреса, номера социального страхования, номера полисов медицинского страхования, номера медицинских карт, номера учётных записей пациентов, медицинскую историю, а также полную информацию о лечении.

Сообщается, что 4 октября 2023 года, за 2 месяца до публичного раскрытия инцидента, компания обнаружила подозрительную активность в корпоративном электронном аккаунте. В ответ на это были предприняты меры по обеспечению безопасности системы и начато расследование в сотрудничестве со сторонними специалистами кибербезопасности.

Американская корпорация VF Corp, владелец брендов The North Face, Vans, Dickies и Timberland, стала жертвой кибератаки. Злоумышленники проникли в IT-инфраструктуру компании, зашифровали часть систем и похитили конфиденциальные данные, включая персональную информацию сотрудников и клиентов.

Розничные магазины VF Corp продолжают работать, однако пострадали офисные системы и инфраструктура электронной коммерции. Это серьезно нарушило бизнес-процессы и возможности компании выполнять заказы. По оценкам экспертов, финансовый ущерб может составить сотни миллионов долларов.

Пока неизвестно, какие именно данные были похищены и связан ли инцидент с активностью вымогательского ПО. Однако эксперты все же полагают, что позже злоумышленники заявят о себе и выдвинут требования.

Исследователи считают, что атака на VF Corp может стать одной из крупнейших в американской бизнес-сфере в 2023 году. Инцидент сравнили с киберинцидентами Clorox и MGM Resorts, ущерб от которых оценивается в сотни млн долларов США.

Кибератака нарушила работу почти 70% автозаправочных станций Ирана.

Возникновение неполадок на АЗС было вызвано «проблемой с программным обеспечением», и привело к образованию длинных очередей из автомобилей и возмущенных жителей. В Министерстве нефтяной промышленности Ирана заявили, что более 30% АЗС по-прежнему функционируют. В стране насчитывается около 33 тысяч заправочных станций.

Израильские СМИ связывают проблему с атакой хакерской группы Gonjeshke Darande (Predatory Sparrow,), которая предположительно связана с Израилем. Группа утверждает, что кибератака является ответом на «агрессию Исламской Республики».

Хакеры опубликовали скриншоты систем АЗС и указали, к чему они получили доступ:

• Индивидуальная информация об АЗС;
• Детали платежной системы;
• Система управления АЗС с центрального сервера каждой станции.

MongoDB уведомила клиентов, что на прошлой неделе ее корпоративные системы были взломаны, в результате чего данные клиентов были раскрыты и могли попасть в руки злоумышленников.

В письмах, разосланных клиентам MongoDB от имени CISO компании Лены Смарт (Lena Smart), говорится:

«MongoDB расследует инцидент безопасности, связанный с несанкционированным доступом к определенным корпоративным системам. Инцидент связан с раскрытием метаданных учетных записей и контактной информации клиентов. На данный момент нам не известно о каком-либо воздействии на данные, которые клиенты хранят в MongoDB Atlas.

Хотя в компании уверены, что атакующие не получили доступ к данным клиентов, хакеры могли сохранять доступ к взломанным системам на протяжении некоторого времени до обнаружения атаки.

В распоряжении злоумышленников могли оказаться следующие данные: имена клиентов, номера телефонов, адреса электронной почты, другие метаданные клиентских учетных записей, включая системные журналы как минимум для одного клиента.

Обзор новостей информационной безопасности с 8 по 14 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники рассылают компаниям счета за доставку несуществующих отправлений.

Схема действий преступников:

1. Мошенники регистрируют компанию или ИП.

2. Используя публичные базы адресов, рассылают счета за доставку.

3. Злоумышленники рассчитывают, что даже если счёт попадёт к сотруднику, не имеющему отношения к платежам, он перешлёт его в бухгалтерию.

4. В предпраздничный период сотрудники бухгалтерии перегружены работой, и в суете могут оплатить счёт, который переслал коллега, поскольку доверие к нему выше.

5. Чтобы не вызывать подозрений и повысить вероятность оплаты, счета выставляются на небольшие суммы.

6. Примечательная особенность схемы — крайне малая вероятность получить наказание. С юридической точки зрения оплаченная, но не оказанная услуга — это нарушение. Однако сумма ущерба настолько невелика, вряд ли компании будут тратить время на взыскание денег через суд.

Обнаружена новая фишинговая кампания, в которой под видом обновления Adobe Flash Player массово распространяется вредонос MrAnon Stealer.

MrAnon Stealer крадёт учётные данные, системную информацию, перехватывает браузерные сессии и данные из расширений для криптовалют.

Схема кампании

1. Преступники рассылают фишинговые письма, замаскированные под запросы о бронировании гостиничных номеров.

2. Вложенный в письмо PDF-файл при открытии предлагает получателю скачать якобы обновлённую версию Flash Player, что весьма забавно, так как поддержка этого ПО уже несколько лет официально прекращена самой компанией Adobe.

3. Если жертва соглашается, на компьютер скачивается и запускается несколько .NET-исполняемых файлов и PowerShell-скриптов, которые в итоге и запускают MrAnon Stealer, собирающий данные из различных приложений и передающий их злоумышленникам.

4. Вредоносное ПО умеет перехватывать информацию из мессенджеров, VPN-клиентов и выгружать файлы с определёнными расширениями.

5. Автор инфостилера открыто распространяет его на киберпреступных форумах за 500 долларов США в месяц.

Вредоносная кампания изначально распространяла вредонос Cstealer в июле и августе, но затем перешла к распространению MrAnon Stealer в октябре и ноябре. Тем не менее, канал распространения вредоносов остаётся неизменным — фишинговые электронные письма.

Инциденты

Личные данные пользователей девяти криптовалютных бирж находились в общем доступе более двух месяцев. Инцидент затронул более 500 000 клиентов.

Утечка произошла на следующих платформах:

• Sova[.]gg,
• coinstart[.]cc,
• pocket-exchange[.]com,
• onemoment[.]cc,
• cripta[.]cc,
• metka[.]cc,
• alt-coin[.]cc,
• ferma[.]cc,
• in-to[.]cc.

Собранные данные содержали следующую информацию:

• полные имена пользователей;
• номера банковских карт;
• email-адреса;
• IP-адреса;
• суммы для запросов на оплату или снятие средств;
• различные данные для аутентификации (например, user agent).

Всего утечка раскрыла более 615 000 запросов на платежи и более 28 000 запросов на вывод средств.

Вымогатели Rhysida взломали компанию Insomniac Games, разработчика популярных игр о Человеке-Пауке.

В результате взлома были получены некоторые подробности о новой игры про Росомаху, поскольку в опубликованных данных присутствует аннотированные скриншоты и изображения других персонажей, которые, вероятно, появятся в игре.

Злоумышленники также выложили в публичный доступ сканы паспортов сотрудников Insomniac Games, включая одного бывшего работника, который ушел в Disney после сокращения два месяца назад. Еще один личный документ принадлежит Юрию Лоуэнтала, актеру, озвучивающего Питера Паркера в играх про Человека-паука.

В качестве подтверждения взлома группировка представила также внутренние электронные письма и подписанные конфиденциальные документы Insomniac Games.

Rhysida установила срок в семь дней до публикации полного комплекта данных, одновременно запустив аукцион по продаже украденной информации. Начальная цена лота составляет 50 биткоинов, или более 2 млн долларов США.

На одном из теневых форумов продают базу данных клиентов интернет-магазина известного боксерского/бойцовского бренда «Everlast».

В базе около 400 тыс. строк, содержащих имена, телефоны, адреса эл. почты, адреса доставки и т. п.

Проверка случайных адресов эл. почты из предоставленного продавцом образца данных через функцию создания нового пользователя на сайте everlast.com показала, что они действительно содержатся в базе интернет-магазина.

Вымогательская кибератака на сеть клиник Norton Healthcare привела к утечке данных 2,5 млн человек.

В разосланном пострадавшим письме клиника сообщила, что хакеры имели доступ к «определённым сетевым устройствам хранения данных в период с 7 по 9 мая», но не имели доступа к системе медицинской документации Norton Healthcare.

Тем не менее, злоумышленники получили доступ к личным данным нынешних и бывших пациентов, сотрудников, а также их иждивенцев и льготополучателей. Среди похищенных данных оказались имена, контактная информация, даты рождения, номера социального страхования, медицинская информация, данные о страховках и медицинские идентификационные номера.

Кроме того, были украдены номера водительских прав или других государственных удостоверений личности, номера финансовых счетов и цифровые подписи.

Toyota Financial Services (TFS), дочерняя компания Toyota Motor Corporation, предупредила клиентов об утечке данных и сообщила, что в результате ноябрьской атаки группировки Medusa оказалась раскрыта конфиденциальная и финансовая информация.

Об атаке на компанию стало известно в начале ноября, когда TFS обнаружила несанкционированный доступ к своим системам в Европе и Африке. Тогда вымогатели Medusa опубликовали заявление о взломе TFS на своем «сайте утечек» в даркнете и потребовали 8 млн долларов США за удаление украденных данных. На принятие решения TFS дали 10 дней с возможностью продления срока за 10 000 долларов США в день.

Переговоры компании и вымогателей не увенчались успехом, так как в настоящее время все данные TFS опубликованы на сайте вымогателей Medusa в даркнете.

Одним из пострадавших в этой атаке подразделений стал Toyota Kreditbank GmbH в Германии, который признал, что хакеры получили доступ к личным данным клиентов.

Немецкое новостное издание Heise получило образец уведомления, разосланного немецким клиентам Toyota. В документе сообщается, что в руки злоумышленников попали следующие данные: полное имя; адрес проживания; информация о контракте; детали лизинга и покупки; IBAN (International Bank Account Number).

Неизвестные хакеры атаковали частную насосную станцию Binghamstown/Drum в ирландском графстве Майо, оставив без воды 180 домов.

Один из руководителей компании рассказал, что обычно они получают автоматические оповещения о технических неполадках, однако на этот раз предупреждений не было. Когда сторож прибыл на место, он обнаружил на экране системы управления предупреждающую надпись «Вы были взломаны». Рядом отображался лозунг — «Долой Израиль», указывающий на политические мотивы атаки, и название группировки.

Связь с Израилем объясняется тем фактом, что оборудование для этой системы водоснабжения было произведено израильской компанией Eurotronics. Системы этого производителя используются во многих районах Ирландии.

Обзор новостей информационной безопасности с 1 по 7 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группировка AeroBlade атакует компании американской аэрокосмической отрасли.

Схема действий преступников

1. Атака начинается с фишинговой рассылки, распространяющей вредоносный документ Microsoft Word.

2. Открыв документ, жертва видит текст, написанный неразборчивым шрифтом, и сообщение с просьбой активировать содержимое для просмотра в MS Office.

3. Документ в формате.docx, полученный жертвой, применяет технику remote template injection (по классификации MITRE ATT&CK, код T1221), чтобы инициировать вторую стадию заражения. Эта техника позволяет злоумышленнику внедрять вредоносную программу в документ через удаленный шаблон.

4. Активация приводит к скачиванию второго этапа атаки — файла .dotm с макросами .

5. Макросы в файле .dotm cоздают реверс-шелл в системе жертвы, который подключается к управляющему серверу атакующих.

6. В системе вредонос закрепляется через Планировщик заданий, создавая задачу под названием WinUpdate2. В реультате присутствие хакеров на взломанных устройствах сохраняется и после перезагрузки системы.

Вредоносная кампания RustBucket северокорейской группировки BlueNoroff нацелена на финансовые организации и пользователей, связанных с криптовалютами.

Схема кампании

1. Вредоносный загрузчик распространялся с помощью фишинговой рассылки внутри вложенного в письма ZIP-архива и маскировался под PDF-файл с именем «Crypto-assets and their risks for financial stability» и иконкой, на которой изображен титульный лист соответствующего документа.

2. На момент обнаружения приложение имело валидную подпись, однако сейчас сертификат уже отозван.

3. Загрузчик, написанный на Swift, содержал версии для процессоров Intel и Apple Silicon, а полезная нагрузка была зашифрована с помощью XOR.

Страница фальшивого pdf-файла.

4. Загрузчик выполнял сценарий AppleScript, скачивающий безобидный PDF-файл для отвлечения пользователя и делающий POST-запрос для загрузки троянца с сервера управления и контроля (Command and Control, C2)

5. Троянец собирал и отправлял с интервалом в минуту следующую информацию о системе:

• имя компьютера;
• версию операционной системы;
• часовой пояс устройства;
• дату запуска устройства;
• дату установки операционной системы;
• текущее время;
• список выполняющихся в системе процессов.

6. В ответ троян ожидал команды от сервера на сохранение данных, самоудаление или продолжение ожидания. На момент анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не удалось.

Атаки и уязвимости

Новая атака SLAM может вытащить хеш root-пароля из процессоров Arm, AMD и Intel.

SLAM представляет собой атаку переходного выполнения (transient execution), которая использует возможности памяти, позволяющие софту задействовать нетранслированные биты в 64-битных линейных адресах для хранения метаданных.

У каждого из вендоров эта функция называется по-разному: у Intel — Address Masking (LAM), у AMD — Upper Address Ignore (UAI), у Arm — Top Byte Ignore (TBI).

Вектор атаки SLAM получил своё имя от Spectre и LAM (LAM — готовящаяся к выходу функция от Intel). По словам исследователей из Systems and Network Security Group (VUSec Group), SLAM затрагивает в основном те процессоры, которые выйдут в ближайшее время.

Инциденты

Операторы вымогателя BlackCat (ALPHV) взломали поставщика бухгалтерского ПО Tipalti и похитили 256 ГБ данных.

Похищенная информация содержит данные таких клиентов компании, как Roblox и Twitch. Их хакеры планируют шантажировать отдельно. Представители Tipalti сообщили, что расследуют заявления злоумышленников.

Представитель Roblox так же сообщили, что знают о происходящем и помогают Tipalti в расследовании. При этом в Roblox подчеркнули, что с ними не связались никакие хак-группы, желающие взять на себя ответственность за этот инцидент, и о каком-либо влиянии этого возможного взлома на их системы им ничего неизвестно.

5 декабря 2023 года на сайте хак-группы появилось новое сообщение, в котором участники BlackCat заявляют, что уже начали связываться с пострадавшими клиентами Tipalti. В этом посте хакеры отдельно обращаются к представителям Roblox и пишут:

«Если с вами еще не связались, это не значит, что вас это не коснулось. Логично вымогать в первую очередь у тех, кто скорее заплатит большие суммы. Следующая партия требований будет разослана в ближайшее время».

Подразделения Nissan в Австралии и Новой Зеландии были атакованы хакерами, которые могли получить доступ к персональным данным клиентов.

Оценкой последствий кибератаки занимается глобальная группа реагирования Nissan, которая изучает масштаб инцидента и выясняет, был ли получен доступ к личной информации клиентов.

В связи с серьёзным риском компрометации данных клиентов, Nissan предупреждает о потенциальных мошеннических атаках, нацеленных на владельцев учётных записей, а также о возможности кражи аккаунтов.

Хотя функциональность сайтов не пострадала, Nissan подтверждает, что ведётся работа по восстановлению затронутых систем. Компания просит клиентов проявить терпение во время этого процесса.

Компания Hershey’s (The Hershey Company), один из крупнейших в мире производителей шоколада и кондитерских изделий, стала жертвой кибератаки.

Злоумышленники разослали сотрудникам компании фишинговые письма и добились установки вредоносного ПО на их компьютера, а затем украли личные данные 2214 человек. Среди похищенной информации — имена и фамилии сотрудников, даты рождения, адреса проживания, номера водительских прав, данные медицинской страховки. Также злоумышленники получили доступ к финансовым сведениям, включая номера банковских карт и коды безопасности.

Обнаружив взлом, компания предприняла экстренные меры для блокировки доступа хакеров. К расследованию инцидента и анализу последствий привлечены сторонние эксперты по кибербезопасности.

В официальном заявлении компании говорится:

«У нас нет оснований полагать, что украденные данные были каким-либо образом использованы/ Тем не менее, мы с пониманием относимся к беспокойству наших сотрудников и клиентов и приносим им свои искренние извинения».

Иранские хакеры Malek Team заявили о краже медицинских записей из больницы Ziv Medical Center в Израиле. По их словам, среди украденных данных находятся записи израильских военнослужащих.

Атака на больницу, расположенную в городе Сафед, недалеко от границ с Сирией и Ливаном, привела к краже 500 ГБ данных, включающих 700 тысяч документов, содержащих личную и медицинскую информацию пациентов.

Хакеры уже начали публикацию похищенных документов в своём Telegram-канале.

Около 60 кредитных союзов столкнулись с перебоями в работе из-за атаки программы-вымогателя на провайдера облачных услуг Ongoing Operations, принадлежащего технологическому поставщику кредитных союзов Trellance.

Обнаружив атаку, Ongoing Operations немедленно приняла меры, включая привлечение специалистов для определения масштабов инцидента и оповещения федеральных правоохранительных органов.

Атака также оказала серьезное влияние на других технологических поставщиков кредитных союзов, в том числе FedComp, компанию, предоставляющую услуги по обработке данных для кредитных союзов.

Американский ритейлер канцтоваров Staples отключил часть систем из-за кибератаки.

По неподтвержденной информации сотрудникам Staples запретили входить в Microsoft 365 с использованием технологии единого входа (single sign-on, SSO), а работников колл-центра отпустили домой на 2 дня.

Компания подтвердила, что была вынуждена предпринять защитные меры для уменьшения рисков кибербезопасности после того, как 27 ноября команда по кибербезопасности Staples выявила угрозу. Меры реагирования повлекли за собой нарушение бизнес-процессов, включая обработку заказов и доставку.

Магазины Staples продолжают работать, но онлайн-заказы могут обрабатываться с задержкой, поскольку соответствующие системы все еще не работают. На сайте Staples размещено уведомление с извинениями за неожиданный сбой и обещанием скорого восстановления работы.

Сообщается, что в атаке не было использовано вымогательское ПО, и файлы не были зашифрованы. Пока неизвестно, были ли украдены данные.