Rose debug info
---------------

Антифишинг-дайджест № 270 с 22 по 28 апреля 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кибершпионская кампания группы Mustang Panda, нацеленная на российских чиновников или военных.

Особенности кампании

1. В своих фишинговых приманках хакеры эксплуатируют тему «спецоперации» в Украине. Вредоносные документы написаны на английском языке и маскируются под опубликованные ЕС данные о санкциях против Беларуси.

2. Приманки представляют собой исполняемые файлы .exe, но маскируются под документы в формате PDF и названы по-русски — «Благовещенск — Благовещенск пограничный отряд».

3. При запуске исполняемого файла извлекается множество дополнительных файлов, в том числе сам документ-приманка, которой можно видеть на скриншоте выше, вредоносный загрузчик DLL, зашифрованный вариант малвари PlugX (aka Korplug) и еще один файл .exe.

4. PlugX является основным инструментом хакеров и представляет собой троян удаленного доступа для Windows, который позволяет выполнять различные команды в зараженных системах, воровать файлы, устанавливать бэкдоры и дополнительные вредоносные нагрузки.

Атаки и уязвимости

Atlassian предупреждает о критической уязвимости в Jira, которую злоумышленники могут использовать для обхода аутентификации.

Удаленный неавторизованный злоумышленник может воспользоваться проблемой в уязвимой конфигурации, отправив специально подготовленный HTTP-запрос для обхода требований аутентификации и авторизации в действиях WebWork.

Проблема затрагивает Seraph, платформу веб-аутентификации в Jira и Jira Service Management. Уязвимость получила идентификатор CVE-2022-0540 и набрала 9,9 балла из 10 возможных по шкале оценки уязвимостей CVSS.

В браузерной версии криптовалютного кошелька Ever Surf обнаружена уязвимость, которая позволяла получить полный контроль над средствами пользователей.

В Ever Surf ключи, необходимые для подписи транзакций, хранятся только на устройстве пользователя, а операции с блокчейном выполняются только на стороне клиента. Из-за этого у него нет регистрации, требующей учетных данных. Когда люди запускают приложение в первый раз, им предлагается создать новый кошелек, и Ever Surf генерирует исходную фразу, а также открытый и закрытый ключи. И хотя пользователю предлагается создать шестизначный PIN-код для входа в приложение и подтверждения транзакций, ключи и исходная фраза хранятся в локальном хранилище web-браузера, которое не защищено.

В домашних тестах на коронавирус Cue Health обнаружена уязвимость, которая позволяла подменять результаты.

Молекулярный тест Cue Health позволяет с помощью мазка из носа узнавать, болен человек COVID-19, или нет. Результаты приходят через 20 минут на мобильное устройство по Bluetooth.

Эксперту удалось изменить свой отрицательный результат на положительный путем перехвата и изменения данных в процессе их передачи с датчика Cue на мобильное приложение на телефоне.

Cloudflare зафиксировала одну из крупнейших в истории HTTPS-атаку типа «отказ в обслуживании» (DDoS). Её интенсивность составила 15,3 млн запросов в секунду.

HTTPS DDoS-атаки обходятся дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установления безопасного зашифрованного TLS-соединения. Поэтому злоумышленнику дороже начать атаку, а жертве — остановить ее.

Рекордная DDoS-атака длилась менее 15 секунд и была нацелена на неназванного клиента Cloudflare, использующего платформу запуска криптовалюты. Ботнет, с которого проводилась атака, состоял примерно из 6 тыс. уникальных взломанных устройств. 15% трафика атаки пришлось на Индонезию, немного меньше — на  Россию, Бразилию, Индию, Колумбию и США.

Инциденты

Хак-группа Stormous заявила, что взломала компанию Coca-Cola и похитила более 161 Гб данных.

Преступники разместили кеш данных на своем сайте и просят выкуп в размере 1,65 биткоина (примерно 64 000 долларов США по текущему курсу). Среди опубликованных файлов есть сжатые документы, текстовые файлы с информацией об администраторах, электронной почте и паролями, ZIP-архивы с информацией о платежах и прочие конфиденциальные данные.

В Coca-Cola сообщают, что компании известно об этих заявлениях, и в настоящее время ведется расследование случившегося.

Американская ассоциация стоматологов (American Dental Association, ADA) стала жертвой вымогательского ПО Black Basta.

В результате инцидента ADA пришлось отключить часть своей IT-сети, что нарушило работу online-сервисов, телефонов, электронной почты и чата. Кибератака затронула не только сайт ADA, но и региональные ассоциации стоматологов в штатах Нью-Йорк, Вирджиния и Флорида, которые используют ее online-сервисы для регистрации учетных записей и уплаты взносов.

Ответственность за атаку взяла на себя новая кибервымогательская группировка Black Basta. На своем сайте утечек она опубликовала 2,8 ГБ информации, предположительно похищенной у ADA. Хакеры заявили, что это только 30% от всех похищенных у ассоциации файлов. Среди них данные о выплаченной сотрудникам заработной плате и удержанных с них налогах, соглашения о неразглашении, бухгалтерские таблицы и сведения о членах ADA.

Хакеры неизвестным образом скомпрометировали Instagram*-аккаунт и Discord-сервер NFT-проекта Bored Ape Yacht Club и c помощью фишинга похитили NFT общей стоимостью около 3 млн долларов США.

Через взломанные аккаунты хакеры анонсировали фальшивый airdrop, сопроводив рекламу вредоносной ссылкой, переходя по которой, люди попадали на фишинговый сайт, внешне имитирующий официальный сайт Bored Ape Yacht Club, где в итоге передавали контроль над своими кошельками злоумышленникам.

В Yuga Labs уверяют, что для взломанных учетных записей была включена двухфакторная аутентификация и меры безопасности в целом «были жесткими». Тем не менее, пока совершенно неясно, каким образом злоумышленники смогли получить доступ к аккаунтам.

* Instagram заблокирован в России, принадлежит компании Meta, признанной экстремистской организацией, запрещенной на территории РФ.

Вымогательская группировка Conti провела успешную атаку на агентство Junta Administrativa del Servicio Eléctrico de Cartago (JASEC), заведующее электроснабжением города в Коста-Рике с населением 160 тыс. человек.

Гендиректор JASEC сообщил, что атака началась в субботу, 23 апреля. Злоумышленникам удалось зашифровать серверы, использующиеся для управления сайтом организации, электронной почтой и системой администрирования.

В результате атаки пользователи лишились возможности оплачивать счета за электричество и интернет. JASEC временно заблокировала платежи до устранения проблемы. Однако электроснабжение и интернет-связь работают без сбоев.

Компания «1С» пострадала от мощной DDoS-атаки.

Пользователи сообщают, что «перестали работать практически все сервисы фирмы 1С. Недоступны обновления, личный кабинет, сервис ИТС (включая сквозную аутентификацию). Главное — не работает ЭДО и 1С:отчетность. Люди не могут сдать отчеты в налоговую. Идут жалобы, что фуры на разгрузке стоят, потому что по ЭДО документы невозможно получить.»

В официальном пресс-релизе компании сообщается:

«С 21 апреля происходят DDoS-атаки на различные сервисы для учета и отчетности в организациях, в том числе на ресурсы 1С. Часть наших сайтов и сервисов была временно недоступна или работали медленно и неустойчиво. На данный момент восстановлено нормальное функционирование большинства интернет-ресурсов и сервисов 1С, включая 1С:ЭДО и 1С-Отчетность. DDoS-атаки продолжаются, технические специалисты 1С отслеживают ситуацию и принимают усилия для обеспечения нормального функционирования интернет-ресурсов и сервисов 1С. Угрозы для данных пользователей не наблюдается, они не пострадали и надежно защищены».

Официальные сайты госорганов Эстонии уже несколько дней не работают из-за мощной DDoS-атаки.

По данным компьютерной группы реагирования на чрезвычайные ситуации Департамента государственной инфосистемы Эстонии (CERT-EE), атаки начались в четверг, 21 апреля. На каждый из атакуемых сайтов направлялось порядка 75 млн запросов в секунду. Хотя с пятницы мощность атак начала снижаться, в субботу-воскресенье сайты все еще подвергались DDoS’у.

Один из крупнейший индийских нефтеперерабатывающих заводов Indian Oil стал жертвой атаки программы-вымогателя, которая привела к отключению компьютеров и IT-систем компании.

Киберпреступники потребовали выкуп в размере около 7,5 млн долларов США. Представитель компании заявил, что в настоящее время нет никаких сведений о личностях хакеров или о том, как им удалось проникнуть в сети Indian Oil.

Кибератака произошла 10 апреля на одной из рабочих станций отдела геологии и разработки месторождений компании Indian Oil. По заявлению компании, операции по добыче нефти продолжаются в штатном режиме. Платформа SAP не пострадала. Проблема затронула только персональные компьютеры, установленные в офисах.

Американский оператор связи T-Mobile подтвердил, что кибервымогатели группировка Lapsus$ взломали его сеть, похитили учетные данные и получили доступ к внутренним системам, на которых хранились операционные программные инструменты.

В компании заверили, что после обнаружения взлома доступ к системам был закрыт, а похищенные учетные данные заблокированы. Хакерам не удалось похитить какую-либо чувствительную пользовательскую или правительственную информацию.

Поделиться
Отправить
Запинить
 219   2022   дайджест   фишинг