Rose debug info
---------------

Антифишинг-дайджест № 229 со 2 по 8 июля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Инциденты

Операторы вымогателя REvil (Sodinokibi) получили доступ к инфраструктуре поставщика MSP-решений Kaseya и внедрили вредоносное обновление в программу VSA, в результате чего пострадали множество компаний-клиентов Kaseya.

Для взлома Kaseya атакующие проэксплуатировали ранее неизвестную уязвимость нулевого дня в сервере Kaseya VSA. Этот инцидент может стать крупнейшей вымогательской атакой в истории.

Благодаря вредоносному обновлению шифровальщик REvil был развернут в инфраструктуре более 1000 компаний, использовавших программу VSA. Пострадавшие получили записки с требованием выкупа в размере 50 тыс долларов США, если зараженные машины не присоединены к домену, или 5 млн долларов США, если компьютер входит в домен, то есть является частью большой корпоративной сети.

Аналитики компании ESET сообщают, что фиксируют всплеск заражений REvil, который связывают с компрометаций с Kaseya. Согласно телеметрии компании, большинство заражений касаются систем, расположенных в Великобритании, Южной Африке, Германии и США.

От атаки шифровальщика REvil пострадала Coop, одна из крупнейших сетей супермаркетов Швеции.: ей пришлось закрыть почти 800 магазинов по всей стране. И хотя Coop обвинила в случившемся одного из своих поставщиков, инцидент произошел в то же время, когда хакеры проникли в сеть Kaseya., а поставщик, очевидно, был клиентом MSP.

Хакеры опубликовали сообщение в своем блоге, где официально взяли на себя ответственность за эту атаку и заявили, что заблокировали более миллиона систем.

Универсальный дешифратор, который может разблокировать все компьютеры, пострадавшие после взлома Kaseya, хакеры предлагают приобрести за 70 млн долларов США.

На хакерских форумах появились базы с информацией о пользователях социальной сети Gettr, созданной сторонниками Дональда Трампа.

Два дампа были собраны 1 и 5 июля, причем первая партия данных собрана путем обычного скрапинга сайта, а вторая более объемная утечка на 90 тыс. записей — появилась благодаря злоупотреблению незащищенными программными интерфейсами Gettr.

Базы содержат настоящие имена пользователей, описания из их профилей, никнеймы, а также адрес электронной почты, год рождения и данные о местоположении. Журналисты подтверждают, что информация подлинная.

Санитарная комиссия пригородов Вашингтона WSSC Water стала жертвой вымогательского ПО.

Во время инцидента 24 мая 2021 года злоумышленникам удалось получить доступ к внутренним файлам WSSC Water, но никаких манипуляций с водопроводной водой зафиксировано не было.. Регулятор удалил вредоносное ПО из своей сети в течение нескольких часов после заражения.

Как уверили в WSSC Water, системы фильтрации и очистки воды не подключены к интернету, поэтому не пострадали от атаки. Все зашифрованные вымогательским ПО файлы были восстановлены из резервных копий, и инцидент не оказал существенного влияния на работу.

Компания уведомила об инциденте клиентов, к чьим данным получили доступ киберпреступники. В качестве компенсации им было предложено пять лет бесплатного кредитного мониторинга и страхование от кражи личности на сумму 1 млн долларов США.

Киберкампании

Новая фишинговая кампания нацелена на кандидатов на должности инженеров в США и Европе.

Схема кампании:

  1. Хакеры распространяют вредоносные документы в письмах, замаскированных под письма от оборонных подрядчиков и инженерных компаний, таких как Airbus, General Motors (GM) и Rheinmetall.
  2. Документы содержат макросы с зашифрованным исполняемым файлом.
  3. Все файлы, создаваемые этим макросом, сохраняются в новой папке C:/Drivers. Расшифровка полезной нагрузки осуществляется системной утилиты Windows Certutil, которую вредонос копирует в ту же папку под другим именем. После извлечения содержимого все исходники удаляются из системы.
  4. Полезная нагрузка (загрузчик) внедряется в память запущенного процесса explorer.exe посредством использования Mavinject, еще одного легитимного инструмента Windows.
  5. Адрес командного сервера, с которого на зараженную машину отдается неустановленная вредоносная программа, жестко прописан в коде загрузчика. Домен был зарегистрирован несколько лет назад.
  6. В ходе email-кампании злоумышленники слегка корректируют и совершенствуют свой код для большей скрытности. В течение мая слегка изменился порядок обмена вредоноса с управляющим сервером, в июне — внедрена новая техника инъекции и исполнения кода и произведен отказ от использования Mavinject.

Киберпреступники используют массовые атаки вымогательского ПО REvil через MSP-провайдера Kaseya как инфоповод для спам-кампании, в рамках которой рассылают агент Cobalt Strike под видом обновлений безопасности для Kaseya VSA.

Cobalt Strike — профессиональный инструмент для тестирования безопасности и симуляции угроз, который киберпреступники используют для выполнения различных задач после первоначального взлома сети, в частности, для получения удаленного доступа к скомпрометированным системам. Целью таких атак обычно является похищение данных и/или развертывание вредоносного ПО.

В обнаруженной спам-кампании используются два способа развертывания Cobalt Strike:

  • через письма с вредоносным вложением
  • через письма со встроенной ссылкой, выглядящей так, будто это патч от Microsoft для уязвимости нулевого дня в Kaseya VSA, эксплуатировавшийся операторами вымогательского ПО REvil.

Когда жертва запускает вредоносное вложение или загружает и запускает поддельный патч от Microsoft, злоумышленники получают постоянный удаленный доступ к ее компьютеру.

Мобильная безопасность

Около 93 тыс. пользователей платили за 172 Android-приложения для облачного майнинга криптовалют, которые не работали.

Исследователи разделили приложения на два семейства:

  • BitScam с 83 800 установок;
  • CloudScam с 9600 установок.

25 фальшивых приложений были доступны в официальном Google Play Store, а остальные распространялись через сторонние магазины приложений.

Вопреки рекламе, в приложениях попросту не было функций облачного майнинга. Вместо этого мошенники продавали пустышки без каких-либо функций. Всего им удалось «заработать» более 350 тыс. долларов США. 300 тыс из них — от продажи приложений и еще 50 тыс. — за фальшивые обновления.

Девять Android-приложений, загруженные почти 6 млн раз, были пойманы на краже учетных данных от Facebook.

Трояны-стилеры распространялись под видом безобидных программ:

  • фоторедактор Processing Photo,
  • App Lock Keep от разработчика Sheralaw Rence,
  • App Lock Manager от разработчика Implummet col,
  • Lockit Master от разработчика Enali mchicolo,
  • утилита для оптимизации работы Android-устройств Rubbish Cleaner от разработчика SNT.rbcl,
  • Horoscope Daily от разработчика HscopeDaily momo,
  • Horoscope Pi от разработчика Talleyr Shauna,
  • фитнес-программа Inwell Fitness,
  • редактор изображений PIP Photo, который распространял разработчик Lillians.

Все приложения были полностью работоспособными, что ослабляло бдительность потенциальных жертв. Для доступа ко всем функциям, а также якобы для отключения рекламы пользователям предлагалось войти в свою учетную запись Facebook. Реклама внутри некоторых приложений действительно присутствовала, и этот должно было побудить владельцев Android-устройств выполнить нужное злоумышленникам действие.

Примечательно, что форма входа в Facebook была настоящей. Для обмана жертв трояны применяли специальный механизм:

  • Получив после запуска необходимые настройки с одного из управляющих серверов, они загружали легитимную страницу социальной сети (https://www.facebook.com/login.php) в WebView.
  • В этот же самый WebView загружался полученный с сервера злоумышленников JavaScript, который непосредственно выполнял перехват вводимых данных авторизации.
  • Этот JavaScript, при помощи методов, предоставленных через аннотацию JavascriptInterface, передавал украденные логин и пароль троянским приложениям, после чего те отправляли их на сервер злоумышленников.
  • После того как жертва входила в свою учетную запись, трояны дополнительно похищали куки текущей сессии авторизации и отправляли их преступникам.

Атаки и уязвимости

Обнаружено ещё одно имя беспроводной сети, «убивающее» Wi-Fi в iPhone.

Оказалось, что Wi-Fi на iPhone (и других iOS-устройствах) также отказывает при подключении к сети с именем «%secretclub%power». После подключения к такой сети устройство больше не сможет использовать Wi-Fi и любые связанные с ним функции.

Обнаруживший проблему исследователь предупреждает, что ему не помог ни сброс настроек, ни принудительная перезагрузка девайса. Он уже сообщил о проблеме Apple, однако до сих пор не получил от компании никакого ответа.

Поделиться
Отправить
Запинить
 2265   2021   дайджест   фишинг