Обзор новостей информационной безопасности с 22 по 28 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания группировки AtlasCross, в ходе которой распространяются неизвестные ранее трояны DangerAds и AtlasAgent.

Схема кампании

1. Все начинается с фишингового письма, якобы от Американского Красного Креста, с предложением поучаствовать в одной из благотворительных акций.

2. К сообщению прилагается документ Word с макросами. Жертве нужно активировать опцию «Enable Content», чтобы увидеть содержимое.

3. После разрешения редактирования на Windows-устройстве запускаются вредоносные макросы.

4. Макросы распаковывают ZIP-архив, из которого выгружается файл KB4495667.pkg, представляющий собой программу DangerAds.

5. В планировщике задач создается задание «Microsoft Office Updates» — оно активирует DangerAds регулярно на протяжении трёх дней.

6. DangerAds анализирует среду и, при обнаружении определенных строк, выполняет встроенный код. Завершающим этапом является загрузка x64.dll, трояна AtlasAgent.

7. AtlasAgent выполняет сбор информации о системе, блокировку запуска различных программ, выполнение кода на зараженном компьютере и загрузку файлов с серверов злоумышленника.

ВТБ предупреждает о новой схеме мошенничества, в ходе которой злоумышленники предлагают продиагностировать работу мобильного устройства и оформить услуги по безопасности, например, отремонтировать или застраховать смартфон.

Схема действий преступников

1. Для продвижения фейковых услуг создаются качественные сайты, которые маскируют под банковские сервисы.

2. Злоумышленники звонят по телефону банковским клиентам, представляясь службой поддержки банка, и сообщают о появлении новых страховых сервисов для смартфонов, а также предлагают сразу провести диагностику телефона собеседника.

3. Для этого клиентам присылают ссылку на фейковый веб-сайт, интерфейс которого создается в стиле сайтов российских банков, и предлагают выбрать и подключить услуги по безопасности смартфона, например, защиту денежных средств от телефонных мошенников или качественный ремонт смартфона с гарантией от сертифицированных сервисов.

4. На сайте можно выбрать не только подходящую для смартфона операционную систему, но и марку производителя.

5. В случае установки такого приложения или подключения услуги клиент рискует потерять контроль над онлайн-банком и своим мобильным устройством, что в конечном итоге приведет к хищению его денег.

Атаки и уязвимости

Графические процессоры (GPU) шести крупнейших производителей уязвимы перед новым методом браузерных атак. Сайты со специальным содержимым могут получать доступ к именам пользователей, паролям и другим чувствительным данным, отображаемым другими веб-сайтами.

Исходные пиксели и результат их хищения с помощью новой техники.

Новый тип атаки нарушает принцип безопасности, известный как «политика одного источника» или «Same Origin Policy», который требует изоляции контента одного домена от всех остальных.

Атака, названная исследователями «GPU.zip», начинается с перехода жертвы на злонамеренный веб-сайт, который размещает в своём коде ссылку на веб-страницу, данные с которой он хочет прочитать, внутри «iframe», обычного HTML-элемента, позволяющего сайтам вставлять рекламу, изображения или другой контент.

Обычно политика одного источника запрещает одному сайту доступ к исходному коду, контенту или данным другого. Однако выяснилось, что сжатие данных, используемое видеоадаптерами для улучшения производительности, может быть использовано злоумышленниками в качестве побочного канала и поэтапной «кражи пикселей».

Атака работает в браузерах Chrome и Edge на графических процессорах Apple, Intel, AMD, Qualcomm, ARM и Nvidia. Скорость атаки зависит от мощности процессора:

• на AMD Ryzen 7 4800U с видеоядром Radeon RX Vega 8 успешная атака заняла всего 30 минут, чтобы показать исходное содержимое с 97% точностью;
• на Intel Core i7-8700 со встроенной графикой UHD Graphics 630 на восстановление пикселей ушло уже 215 минут.

Представлен инновационный метод извлечения аудиоданных из видеороликов без звука и даже из фотографий.

Для этого используется инструмент Side Eye, основанный на машинном обучении. Он позволяет улавливать речь человека вплоть до точных слов и даже тембра голоса.

Основные техники Side Eye — это стабилизация изображения и особый метод фотосъемки — rolling shutter, распространенный в современных устройствах. Он считывает картинку не целиком, а построчно и выявляет мельчайшие вибрации, которые проходят рядом с камерой, когда кто-то разговаривает. Side Eye преобразует видимые колебания воздуха обратно в звук, увеличивая детализацию аудиосигнала в тысячи раз.

Для эффективной работы Side Eye требуется лишь небольшое количество света. При этом чем больше кадров доступно для анализа, тем лучше. Интересно, что даже кадр с изображением потолка или стены может помочь в реконструкции речи.

На выходе получаются приглушенные звуки, которые гораздо проще интерпретировать в дальнейшем.

Инциденты

Из-за мощной DDoS-атаки на систему бронирования авиабилетов Leonardo 28 сентября были задержаны авиарейсы в нескольких аэропортах.

Авиакомпании «Аэрофлот» и «Победа» предупредили пассажиров о возможных проблемах с регистрацией на рейсы в связи с сбоем в системе бронирования:

«В связи с глобальным сбоем в системе бронирования Leonardo (Сирена-Тревел) затруднена регистрация в аэропортах маршрутной сети компании»

Аэрофлот сообщил о задержке минимум семи рейсов из аэропорта «Шереметьево». Среднее время задержки составило 30 минут.

В «Победе» также отметили , что произошел сбой в работе сервисов бронирования, онлайн-регистрации и регистрации в аэропортах. Регистрация в аэропортах временно осуществлялась вручную, и пассажирам рекомендовали прибывать заранее.

К 12:08 по московскому времени «Ростех» подтвердил полное восстановление работоспособности системы бронирования Leonardo.

Хакеры из проекта Dark Slivki заявили, что они получили доступ к данным зарегистрированных пользователей рекомендательного сервиса «Zoon».

Позже появилась информация, что взлом произвёл некий хакер StephenHawklng, а не Dark Slivki.

В полученных файлах содержатся:

• 🌵 имя,
• 🌵 название компании и должность,
• 🌵 телефон (около 400 тыс. уникальных номеров),
• 🌵 адрес эл. почты (около 570 тыс. уникальных адресов).

Проверка случайных логинов из этих файлов через функцию восстановления пароля на сайте zoon.ru показала, что они действительные.

Данные актуальны на май 2023 года.

Компания DarkBeam, специализирующаяся на защите от цифровых рисков, допустила массивную утечку данных, оставив свои интерфейсы Elasticsearch и Kibana в публичном доступе.

В результате были раскрыто более 3,8 млрд записей с электронными адресами и паролями пользователей из ранее общедоступных и даже неизвестных нарушений безопасности.

Среди потенциально утекших данных было 16 коллекций с названиями «email 0-9» и «email A-F», каждая из которых содержала по 240 миллионов записей, включая данные русскоязычных клиентов.

Подобные утечки данных обычно происходят из-за человеческого фактора, например, когда сотрудники забывают установить пароль после проведения технического обслуживания.

Из-за кибератаки вымогательской группировки Medusa филиппинской медицинской страховой компании PhilHealth пришлось отключить несколько веб-сайтов и информационных порталов.

Пока ключевые сервисы не работают, участникам программы страхования придется предоставлять бумажные копии документов, чтобы получить медицинскую помощь. Медучреждения вынуждены договариваться о льготных выплатах напрямую с пациентами, готовыми к выписке.

Вымогатели дали 10 дней на оплату выкупа. Чтобы продлить срок, придется заплатить еще 100 тысяч долларов США. За удаление украденной информации или предоставление доступа к ней требуют 300 тысяч долларов США.

KNP Logistics, одна из крупнейших логистических компаний в Великобритании, объявила о банкротстве из-за вымогательской атаки группировки Akira, которая произошла в июне 2023 года.

По словам экспертов, вымогательская атака затронула ключевые системы, процессы и финансовую информацию компании, что негативно сказалось на её финансовом положении и на её способности привлечь дополнительные инвестиции.

Удержаться на плаву KNP Logistics не помогло даже появление дешифратора для жертв Akira, выпущенного специалистами Avast.

Бермудские острова работают над восстановлением доступности государственных служб после кибератаки, которая привела к перебоям в работе интернета, электронной почты и телефонной связи.

Премьер-министр островов сообщил, что «работы по восстановлению идут полным ходом, и мы работаем над тем, чтобы установить график, которому могут следовать люди, который будет использоваться для безопасного возвращения наших систем в оперативный режим».

Инцидент произошел вечером 20 сентября и был обнаружено сотрудниками полиции только на следующее утро. Ответственные специалисты попытались изолировать место вторжения и отключить его, однако были вынуждены отключить вообще все устройства, подключенные к сети, а затем полностью деактивировать и саму сеть.

Канадский государственный реестр новорождённых BORN Ontario подтвердил нарушение безопасности, затронувшее около 3,4 млн человек, среди которых обратившиеся за медпомощью во время беременности женщины, а также около двух миллионов новорождённых и детей.

Сообщается, что хакеры скопировали обширный массив данных, включающих информацию о людях с января 2010 года по май 2023 года. В нём содержатся имена, даты рождения, адреса, почтовые индексы и номера медицинских карт. Также была украдена клиническая информация, включая даты осмотра и обслуживания, результаты лабораторных тестов и другие медицинские данные.

По данным BORN, кибератака связана с массовым взломом инструмента передачи файлов MOVEit Transfer, ответственность за взлом которого в июне взяла на себя вымогательская банда Clop.

Правительство Кувейта восстанавливает системы после кибератаки вымогательской группировки Rhysida, которая затронула Министерство финансов страны.

Минфин Кувейта сообщило, что Национальный киберцентр страны (National Cyber Center) работает круглосуточно, чтобы решить проблему, и привлекло к процессу ИБ-специалистов, а также представителей других правительств, имена которых не были названы. Министерство подтвердило, что все данные о зарплатах госслужащих хранятся в системах ведомства, и финансовые операции регистрируются. Все государственные органы продолжают работать в обычном режиме.

25 сентября хакерская группировка Rhysida добавила Министерство финансов Кувейта в свой список жертв, предоставив правительству 7 дней на уплату выкупа, размер которого не был указан.

Авиакомпания Air Canada сообщила, что личная информация некоторых ее сотрудников попала в руки хакеров, и злоумышленники «на короткое время» получили ограниченный доступ к ее внутренним системам.

Представители Air Canada настаивают, что инцидент не повлиял на системы управления полетами, и атакующие не получили доступ к системам, связанным с взаимодействием клиентами. То есть никакая информация о клиентах не была раскрыта.

Air Canada уже связалась со всеми пострадавшими сторонами, информация об инциденте уже передана правоохранительными органами, и в настоящее время все системы работают в штатном режиме.

В заявлении авиакомпании не содержится никаких подробностей о самом инциденте и о злоумышленниках, которые стоят за этой атакой. Пока ни одна хак-группа не взяла на себя ответственность за этот инцидент.

Злоумышленники взломали систему бронирования авиабилетов Leonardo разработки «Сирена-Тревел» и слили в Telegram информацию о заказах и ПДн пассажиров

Два файла суммарно содержат более 17,5 млн строк.

Первая база TICK_PHONE_sample содержит 14 630 668 строк в формате: код аэропорта, номер телефона, номер рейса, номер регистрации, сведения о билете и иногда паспортные данные. Количество уникальных телефонов составляет почти 4 миллиона, адресов электронной почты — «всего» 520 с половиной тысяч.
 
Второй файл TICK_INFO_sample немного покрупнее — 3 015 002 строки в формате: номер рейса, авиакомпания, тариф, направление, информация о бронировании, стоимость билета и ФИО пассажира.
 
Данные охватывают период с 2007 по 10 сентября 2023 года.

Производитель автомобильного оборудования компания Clarion стала жертвой вымогательской группы ALPHV (BlackCat).

Пострадало японское подразделение Clarion Japan, которое занимается разработкой, производством и продажей разнообразной продукции: от навигационных систем до видеосистем и камер заднего вида.

В сообщении на сайте утечек ALPHV говорится:

«Clarion подвергся взлому, приведшему к утечке конфиденциальных данных о компании и ее партнерах, включая техническую документацию клиентов. Через 2 дня сведения будут переданы заинтересованным сторонам и частично опубликованы в открытом доступе. Доверяя Clarion ваши разработки, вы рискуете потерять как данные, так и репутацию».

В качестве доказательств хакеры опубликовали скриншоты украденных документов.

Обзор новостей информационной безопасности с 15 по 21 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В рамках новой киберкампании мошенники с помощью анкет самооценки пытаются выудить логины и пароли от корпоративных аккаунтов.

Схема действий преступников

1. Сотрудники получают письмо якобы от HR-отдела компании, в котором из убедительно просят пройти процедуру самооценки.

2. В письме написано, что опрос ОБЯЗАТЕЛЕН для ВСЕХ и сдать его нужно До Конца Дня.

3. В письме содержится ссылка на сайт, где следует заполнить анкету.

4. В анкете требуется указать адрес электронной почты, аутентифицироваться при помощи своего пароля и дополнительно ввести пароль еще раз для подтверждения.

5. Маскировка запроса пароля и е-мейла, который чаще всего является логином, под часть анкеты, которая уже почти заполнена, усыпляет бдительность жертвы.

6. Слово «password» в вопросе написано необычно: две буквы закрыты звездочками. Это делается для обхода автоматических фильтров, настроенных на поиск ключевого слова password.

7. Если отправить заполненную анкету, логины и пароли попадут к хакерам.

BI.ZONE выявила массовые атаки на представителей крупного российского бизнеса и государственных организаций, в основе которых лежат методы социальной инженерии.

Схема кампании

1. Злоумышленники связываются с сотрудниками компаний, используя поддельные аккаунты в Telegram, учётные записи содержат Ф. И. О. и фотографии топ менеджеров.

2. Собеседник представляется генеральным директором организации, в которой работает потенциальная жертва. При этом злоумышленник обращается к сотруднику, используя его имя и отчество, чтобы вызвать доверие.

3. В ходе беседы мошенник предупреждает о скором звонке из Министерства промышленности и торговли России. Он просит никому не сообщать о разговоре, а после него — отчитаться, как все прошло.

4. После этого жертве поступает звонок с неизвестного номера, в процессе которого у неё могут запрашивать различную конфиденциальную информацию и вынуждать совершать финансовые операции в пользу мошенников.

Вредоносная кампания правительственных хакеров из группировки APT36 используют Android-приложения, имитирующие YouTube, для заражения устройств своих целей трояном CapraRAT.

Вот как это происходит:

1. Жертв с помощью социальной инженерии убеждают скачать и установить приложение с подконтрольного хакерам ресурса.

2. При установке малварь запрашивает у пользователя множество опасных разрешений, но к некоторым из них жертва может отнестись без подозрения, ожидая чего-то подобного от YouTube.

3. Интерфейс вредоносных приложений пытается имитировать настоящее приложение YouTube, но больше напоминает браузер, а не собственное приложение Google, поскольку для загрузки сервиса здесь используется WebView. В приложении отсутствуют некоторые функции, доступные в настоящей версии.

4. После запуска CapraRAT на устройстве малварь может выполнять следующие действия:

• вести запись с помощью микрофона, фронтальной и задней камеры;
• собирать содержимое SMS и мультимедийных сообщений, журналов вызовов;
• отправлять SMS-сообщения и блокировать входящие SMS;
• инициировать телефонные звонки;
• делать скриншоты;
• изменять системные настройки, включая настройки GPS и сети;
• изменять файлы в файловой системе устройства.

Инциденты

Международный уголовный суд (МУС) сообщил о кибератаке, в результате которой на прошлой неделе оказались взломаны его системы.

МУС сообщил, что были приняты немедленные меры для реагирования на этот инцидент в области кибербезопасности.

Некоторые СМИ рассказали, что в результате атаки было украдено большое количество конфиденциальных документов. В МУС эту информацию не подтвердили.

В заявлении суда говорится, что он продолжает «анализировать и смягчать последствия этого инцидента» при помощи голландского правительства и усиливает свои меры кибербезопасности.

Один из сотрудников Microsoft случайно выложил в открытый доступ на GitHub 38 ТБ конфиденциальных данных, среди которых были приватные ключи, пароли, а также более 30 000 внутренних сообщений из Microsoft Teams.

В ходе рядового сканирования интернета, направленного на обнаружение неправильно сконфигурированных контейнеров эксперты Wiz обнаружили на GitHub репозиторий, управляемый Microsoft и называвшийся robust-models-transfer. Этот репозиторий принадлежит исследовательскому подразделению Microsoft по искусственному интеллекту, и его цель — предоставление открытых исходных кодов и ИИ-моделей для распознавания изображений.

Оказалось, что еще в 2020 году Microsoft использовала для передачи данных токены Azure SAS (Shared Access Signature), которые позволяют делиться информацией из аккаунтов Azure Storage. Хотя уровень доступа может быть ограничен только конкретными файлами, в этом случае ссылка была настроена неправильно — на общий доступ ко всей учетной записи, включая 38 ТБ личных файлов.

Среди информации, доступной через случайно скомпрометированную учетную запись, оказались резервные копии персональных компьютеров сотрудников Microsoft. В них содержались пароли к сервисам Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft.

Хакерская группа UHG опубликовала в открытом доступе информацию о пользователях российского сайта Форенто, посвященного отдыху и аренде жилья в России.

В утечке содержится 389 тысяч записей, включая личные и технические данные пользователей.

Утечка включает в себя:

• Ф.И.О. пользователей;
• Даты рождения;
• Телефонные номера (325,7 тыс. уникальных номеров);
• Электронные адреса (322,9 тыс. уникальных адресов);
• Данные аккаунтов в социальных сетях, включая ВКонтакте, Яндекс и другие платформы.

По утверждению хакеров, предоставленные данные актуальны на сентябрь 2023 года.

Злоумышленник USDoD утверждает, что ему удалось украсть и обнародовать конфиденциальные данные американского агентства-агрегатора отчётности о потребительских кредитах TransUnion.

Утекшие данные размером более 3 ГБ, содержат персональную информацию примерно 58 505 людей по всему миру, включая Северную и Южную Америку, а также Европу. Сам архив датирован 2 марта 2022 года, что, вероятно, указывает на непосредственную дату нарушения безопасности.

Утечка включает в себя имя, фамилию, пол, паспортные данные, место и дату рождения, семейное положение, возраст, информацию о текущем работодателе, кредитный рейтинг и даже остаток задолженности по кредитам жертв.

Само агентство отрицает факт утечки:

На данный момент мы и наши внутренние и внешние эксперты не обнаружили никаких признаков того, что системы TransUnion были взломаны или что данные были похищены.

Американский телеведущий, инвестор, миллиардер и владелец баскетбольной команды Dallas Mavericks Марк Кьюбан стал жертвой хакерской атаки.

История транзакций на Etherscan показала, что из кошелька были выведены различные активы, включая Tether, StETH и USD Coin, и это все произошло всего за 10 минут.

Изначально эксперты предположили, что Кьюбан просто перераспределяет свои активы между разными кошельками. Однако через несколько часов 65-летний миллиардер подтвердил новость.

В общей сложности хакер украл из горячего кошелька Кьюбана криптовалюту на сумму около 900 000 долларов США. Кьюбан заявил, что не имеет представления о том, как хакеру удалось получить доступ к его кошельку. Миллиардер рассказал, что впервые за несколько месяцев зашел в MetaMask, и, возможно, хакер ждал именно этого момента. Кьюбан предположил, что мог скачать поддельную версию MetaMask и стать жертвой фишинговой атаки.

Британские правоохранители стали жертвой атаки программы-вымогателя, поразившей неназванного стороннего поставщика. Утечка затронула личную информацию ряда сотрудников.

Согласно заявлению полиции Большого Манчестера (Greater Manchester Police, GMP) , неназванная компания, пострадавшая от этой атаки, является поставщиком услуг не только для правоохранительных органов, но и для других организаций по всей Великобритании.

При этом подчеркивается, что взломанные системы не содержали финансовые данные сотрудников полицейского управления, но расследование этой вымогательской атаки и связанной с ней утечки данных является наивысшим приоритетом, а расследование ведется на общенациональном уровне.

Министерство здравоохранения и социальной защиты Колумбии, судебная власть и Надзорное управление промышленности и торговли объявили о серьезных проблемах в своей работе из-за кибератаки на технологического поставщика IFX Networks Colombia.

Представители Министерства здравоохранения сообщили о возникших трудностях после того как IFX Networks уведомила их о проблемах, затрагивающих их дата-центр. «Из-за инцидента в области кибербезопасности невозможно получить доступ к приложениям, используемым для выполнения нашей миссии и предоставления услуг на национальном уровне,» — заявили в министерстве.

На сайте судебной власти появилось сообщение о прекращении работы из-за атаки на IFX. Верховный Суд страны приостановил все слушания с 14 по 20 сентября.

Надзорное управление промышленности и торговли, отвечающее за защиту прав потребителей и регулирование рыночной конкуренции, также подтвердило факт атаки и приостановило некоторые операции до конца недели.

Местные СМИ сообщают о проблемах с технологией в других государственных органах. Однако точное число пострадавших организаций неизвестно.

Хотя ни одна из групп программ-вымогателей публично не взяла на себя ответственность за инцидент, исследователи кибербезопасности с сайта elHacker.net предоставили изображения, указывающие на возможное участие группы RansomHouse в атаке на IFX Networks.

Компания ORBCOMM, специализирующаяся на решениях для управления автопарками и отслеживания грузоперевозок, подтвердила, что причиной недавних сбоев в работе сервисов является атака программы-вымогателя.

С 6 сентября клиенты ORBCOMM начали сообщать о невозможности отслеживать перемещение своих грузовых автомобилей и использовать устройства для электронного учёта рабочего времени Blue Tree ELD, что вынудило водителей грузовиков переключиться на бумажные журналы.

Вскоре после атаки вице-президент по корпоративным коммуникациям ORBCOMM сообщила: «6 сентября 2023 года ORBCOMM пережила атаку программы-вымогателя, которая временно затронула платформу FleetManager и продуктовую линейку BT».

В ответ на этот инцидент, Федеральное управление по безопасности автомобильных перевозок США (FMCSA) выдало временное разрешение на использования бумажных журналов до восстановления сервиса, но не позднее 29 сентября, когда ORBCOMM и планирует закончить восстановление своих систем.

По данным FMCSA, «водители, использующие идентифицированные ELD-устройства, могут продолжать записывать свои часы работы на бумажных графиках или в программе учёта, пока ORBCOMM не сообщит FMCSA о восстановлении работы неисправных устройств Blue Tree ELD».

Пока неизвестно, какая вымогательская группировка стоит за атакой.

Обзор новостей информационной безопасности с 8 по 14 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новой фишинговой кампании злоумышленники используют корпоративный мессенджер Microsoft Teams для отправки вредоносных файлов, активирующих установку вредоносного ПО DarkGate Loader на компьютерах жертв.

Схема кампании

1. Атака началась с двух скомпрометированных аккаунтов Office 365, которые отправляли фишинговые сообщения в Microsoft Teams на рабочие адреса сотрудников различных организаций.

2. Сообщения предлагали открыть ZIP-файл под названием «Изменения в графике отпусков».

3. При клике на вложение начиналась загрузка ZIP-файла с SharePoint, внутри которого находился LNK-файл, маскирующийся под PDF-документ.

LNK-файл, замаскированный под PDF.

4. Вредоносный LNK-файл содержит VBScript, который инициирует установку вируса DarkGate Loader.

5. Для уклонения от антивирусных систем процесс загрузки использует утилиту Windows cURL для получения исполняемых файлов и скриптов вредоносного ПО.

6. Полученный скрипт предварительно скомпилирован и содержит так называемые «магические байты» (magic bytes), связанных со сценариями AutoIT, что позволяет скрыть вредоносный код.

7. Перед активацией скрипт проверяет наличие антивируса Sophos на компьютере жертвы. В случае его отсутствия, скрипт расшифровывает дополнительный код и запускает шелл-код, создающий исполняемый файл DarkGate в оперативной памяти.

Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий, включая установку hVNC-подключения для удаленного доступа, майнинг криптовалюты, настройку Reverse Shell, кейлоггинг, перехват буфера обмена, кражу файлов и данных браузера.

Эксперты CheckPoint выявили масштабную фишинговую кампанию, нацеленную на 40 крупных компаний Колумбии.

Цепочка атаки.

Целью злоумышленников была скрытная установка на компьютеры сотрудников организаций вредоносного программного обеспечения Remcos RAT с возможностями для дальнейшей компрометации и получения ценных данных.

Схема действий преступников

1. Атака всегда начиналась с массовой рассылки фишинговых писем от имени известных финансовых учреждений и крупных корпораций, работающих на территории Колумбии. Эти письма были тщательно разработаны для создания видимости их легитимности, кроме того, зачастую они содержали срочные уведомления, сообщения о просроченных долгах или привлекательные предложения.

2. Каждое фишинговое письмо включало в себя архив ZIP, RAR или TGZ. В письме утверждалось, что архив содержит важные документы, счета или иную ценную для получателя информацию. И всё это, разумеется, чтобы побудить жертву открыть вложение.

3. В действительности данные архивы содержали в себе сильно обфусцированный BAT-файл, запуск которого инициировал выполнение PowerShell-команд. Эти команды также были существенно усложнены для анализа и обнаружения средствами безопасности.

4. После расшифровки PowerShell-команд происходила загрузка в оперативную память двух вредоносных .NET-модулей. Первый из них отвечал за обход систем обнаружения и предотвращения вторжений на целевой машине. Он устранял или блокировал защитные механизмы, тем самым повышая шансы вредоноса остаться незамеченным и действовать скрытно.

5. Второй .NET-модуль загружал дополнительный компонент «LoadPE», отвечающий за запуск Remcos, напрямую в оперативной памяти устройства, без сохранения файлов на диске. Такая технология позволила максимально затруднить обнаружение вредоносной программы традиционными средствами защиты, ориентированными на мониторинг и сканирование файлов.

6. После успешной загрузки Remcos в память, атака считалась завершённой. Это мощный инструмент удалённого доступа предоставляет злоумышленникам полноценный контроль над скомпрометированной системой. Он служит для них своего рода мультитулом, давая широкие возможности по краже данных, слежке, сбору паролей и прочим противоправным действиям.

Обнаружена сложная фишинговая кампания, которая использует документ-приманку Microsoft Word для распространения трех типов вредоносного ПО — Agent Tesla, OriginBotnet и RedLine Clipper. Программы могут собирать широкий спектр данных с компьютеров, работающих под управлением Windows.

Схема кампании

1. Фишинговое письмо приходит с вложением в виде документа Word, в котором специально размыто изображение и интегрирован поддельный reCAPTCHA, чтобы спровоцировать пользователя на взаимодействие.

2. При клике на изображение загрузчик доставляется с удаленного сервера. Затем загрузчик последовательно устанавливает OriginBotnet для мониторинга нажатий клавиш (кейлоггинг) и кражи паролей, RedLine Clipper для кражи криптовалют и Agent Tesla для извлечения конфиденциальной информации.

3. Загрузчик применяет методику бинарного заполнения, добавляя «пустые» байты для увеличения объема файла до 400 МБ, чтобы обойти ПО безопасности.
4. Активация загрузчика запускает многоуровневый процесс, который устанавливает постоянное присутствие на зараженной машине и активирует DLL-библиотеку, отвечающую за финальную активацию вредоносов:

• RedLine Clipper — создан для кражи криптовалют, подменяя адрес кошелька в буфере обмена на адрес злоумышленника.
• Agent Tesla — инфостилер, работающий на .NET. Он служит для первичного проникновения в систему и эксфильтрации чувствительной информации от нажатий клавиш до учетных данных веб-браузеров.
• OriginBotnet — новое вредоносное ПО, содержит плагин для восстановления паролей (PasswordRecovery), который собирает и систематизирует учетные данные из различных программ и браузеров, отправляя их злоумышленникам.

Вредоносная кампания Steal-It, нацеленная на конкретных жертв в Австралии, использует в качестве приманки откровенные фото моделей с OnlyFans.

Цепочка заражения

Схема кампании

1. Атака начинается со скачивания жертвой ZIP-архива с названием «best_tits.zip», внутри которого содержится вредоносный ярлык «onlyfans.com-1.lnk».

2. Когда жертва открывает LNK-файл, запускается браузер Microsoft Edge с аргументом в кодировке base64. Этот аргумент представляет собой однострочный JavaScript-код, перенаправляющий жертву на сайт злоумышленников, также содержащий вредоносный код.

3. Чтобы скрыть вредоносное перенаправление, зловредная команда также открывает настоящий веб-сайт OnlyFans на другой вкладке и приостанавливает выполнение скрипта на 9 секунд.

4. После небольшой паузы, открытый на фоновой странице JavaScipt-код проводит ряд проверок и начинает выполнение зловредных действий. Если операционная система жертвы — Windows, а страна его местоположения — Австралия, код инициирует скачивание ещё одного вредоносного ярлыка с именем «m8.lnk», который сразу же запускается и помещается в папку автозагрузки Windows для установления постоянства.

5. Код в свежескачанном ярлыке скрытно собирает системную информацию о компьютере жертвы и пересылает её злоумышленникам с помощью API легитимного инструмента Mockbin, попутно удаляя следы своей работы из целевой системы.

Инциденты

Хакеры NoEscape атаковали международную комиссию (IJC), отвечающую за управление водными системами на границе между США и Канадой, и похитили 80 ГБ данных, включая контракты, геологические сведения и прочие документы.

Хакеры предоставили IJC 10 дней для ответа на требование об выкупе, но не указали сумму, которую они хотят получить за разблокировку файлов.

Один из представителей жертвы рассказал, что меры для разрешения ситуации уже принимаются, однако не сообщил, связывалась ли компания с правоохранительными органами и повлияла ли кибератака на работу внутренних систем. Также не сообщается, планирует ли IJC платить вымогателям.

Криптовалютная биржа CoinEX заявила, что неизвестные хакеры взломали ее горячие кошельки и украли активы которые использовались для поддержки работы платформы.

CoinEx подчеркивает, что активы пользователей не пострадали, и все стороны, понесшие убытки, в любом случае получат полную компенсацию. Пока ввод и вывод средств на CoinEx временно приостановлен в целях защиты пользовательских активов и будет возобновлен только после того, как ИТ-специалисты биржи удостоверятся в том, что все риски устранены.

Пока представители CoinEX не предоставили никакой информации о размере ущерба, подсчетами украденного занимаются сторонние блокчейн-аналитики. Так, по информации компании PeckShield, в ходе атаки злоумышленники похитили у CoinEx около 19 млн долларов США в ETH, 11 млн долларов США в TRON, 6,4 млн долларов США в Smart Chain Coin ($BSC), 6 млн долларов США в биткоинах (BTC), а также около 295 000 долларов в Polygon.

По данным PeckShield, общий ущерб от этой атаки составил около 43 млн долларов США, а оставшиеся 72 млн долларов США были выведены в более защищенные холодные кошельки.

В результате высокотехнологичной кибератаки на компанию Airbus была скомпрометирована ценная информация, включая имена, контактные номера и электронные адреса более чем 3200 поставщиков.

Вскоре после взлома в публичном поле появился загадочный хакер под псевдонимом «USDoD», заявивший, что украденная информация была извлечена из базы данных ФБР — InfraGrad. Инсайдеры в сфере кибербезопасности сообщают, что этот же хакер высказал прямые угрозы в адрес таких оборонных гигантов, как Raytheon и Lockheed Martin. Тактика атаки включала в себя использование инфостилера Redline для кражи информации через Microsoft .NET Framework.

Неизвестные злоумышленники скомпрометировали аккаунт Виталика Бутерина в социальной сети X (бывший Twitter).

Взломщики разметили от лица Бутерина пост о выпуске памятных NFT в честь прихода прото-данкшардинга (proto-danksharding) в Ethereum и предложили бесплатно получить свою «частичку истории» по ссылке, которая, разумеется, оказалась вредоносной. Публикация продержалась около 20 минут, но за это время злоумышленники успели похитить у пользователей 691 000 долларов США в криптовалюте.

После этого похитители приступили к быстрой продаже украденных NFT, одним из которых был ценный экземпляр из коллекции Cryptopunk, который был продан более чем за 200 000 долларов США. В понедельник в криптокошелек хакеров так же продемонстрировал активность, свидетельствующую о том, что за выходные они получили 300 ETH (порядка 468 000 долларов США).

Как объяснил Бутерин, перешедший в децентрализованную социальную сеть Warpcast, он стал жертвой атаки на подмену SIM-карты (SIM swap).

Компания MGM Resorts International объявила о киберинциденте, остановившем работу сайта, систем онлайн-бронирования и сервисов казино, банкоматов, игровых автоматов и терминалов для оплаты.

Представители MGM заявили , что уже приняты меры для защиты данных и внутренних систем. Расследование началось сразу же после обнаружения подозрительной активности.

Компьютерные сервисы крупных курортных отелей MGM до сих пор не функционируют. Сотрудники выполняют все операции вручную, поскольку банкоматы и платежные терминалы также выведены из строя. На главных страницах сообщается, что клиенты могут бронировать номера по телефону. Пользователям программы лояльности MGM Rewards рекомендуют связаться со службой поддержки.

Королевская футбольная федерация Нидерландов (КФФН) решила заплатить выкуп киберпреступникам, чтобы предотвратить утечку личных данных своих членов.

Отмечается, что КФФН, вероятно, выплатила более миллиона евро, чтобы не допустить публикации взломанных данных, среди которых были паспортные данные, домашние адреса и сведения о заработной плате профессиональных футболистов.

Атаку на КФФН провела киберпреступная группировка Lockbit в апреле 2023 года.

КФФН предупредила пострадавших о возможном злоупотреблении их данными, подчеркнув, что предотвращение утечки данных имеет для федерации больший вес, чем принцип не поддаваться на вымогательство.

Вымогательская группировка BianLian взломала международную благотворительную организацию Save The Children International.

Преступники сообщили, что украли 6,8 ТБ данных, включая финансовые записи на 800 ГБ, международные HR-файлы, личные данные, сообщения электронной почты и даже медицинскую информацию, а также данные о сотрудниках и международной деятельности.

Если требования о выкупе не будут выполнены, BianLian разгласит или продаст украденную информацию. Представитель организации Save The Children сообщил, что кибератака не оказала никакого влияния на деятельность организации. Организация уведомила правоохранительные органы и работает с внешними экспертами по кибербезопасности для расследования нарушения.

В Шри-Ланке начато расследование масштабной вымогательской кибератаки, затронувшей правительственную облачную систему Lanka Government Cloud (LGC).

Атака началась 26 августа этого года, когда один из пользователей домена «gov.lk» сообщил, что уже несколько недель на момент обращения получал подозрительные ссылки, и, возможно, кто-то из сотрудников перешёл по одной из таких ссылок. В результате сервисы LGC и резервные системы были быстро зашифрованы злоумышленниками.

Махеш Перера, глава Агентства информационных и коммуникационных технологий Шри-Ланки (ICTA), сообщил, что атаке подверглись все 5000 электронных адресов, использующих домен «gov.lk», включая адреса Кабинета министров.

Система и резервные копии были восстановлены в течение 12 часов после атаки. Однако из-за отсутствия резервирования данных с 17 мая по 26 августа 2023 года, все затронутые аккаунты безвозвратно потеряли информацию за этот период.