Rose debug info
---------------

Антифишинг-дайджест № 282 с 15 по 21 июля 2022 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты предупреждают о новой мошеннической схеме, в которой сочетаются классический фишинг и вишинг — обман с помощью телефонных звонков.

Только с марта по июнь 2022 года зафиксировано около 350 тыс. писем от киберпреступников, причем их число растет — на июнь пришлось почти 100 тыс.

Как действуют мошенники

  1. Жертва получает электронное письмо. В нём нет ссылок или вложений, поэтому фильтры и защитные системы пропускают его. В тексте письма сообщается, что со счета жертвы пытаются снять или перевести крупную сумму.
  2. Чтобы отменить транзакцию, нужно позвонить по указанному в письме номеру телефона.
  3. Чаще всего письма стилизованы под уведомление от какого-либо сервиса — крупного интернет-магазина, платежной системы или сайта, доступ к которому предоставляется по подписке.
  4. Обычно текст составлен так, словно он создан автоматически. Это нужно, чтобы жертве сразу позвонила по указанному номеру, не пытаясь отвечать на письмо.
  5. Если человек перезванивает, мошенники во время разговора пытаются выманить конфиденциальные данные либо убеждают перевести деньги по указанным реквизитам или установить на устройство программу для удаленного управления. При этом они могут торопить или запугивать абонента, чтобы у него не было времени подумать.

Зафиксировано несколько целевых вредоносных рассылок на российские государственные органы и крупные компании.

Схема кампании

  1. Сотрудники целевых организаций получают письма с вредоносными файлами во вложении.
  2. Тексты писем составлены с учётом специфики деятельности конкретных организаций и актуальной повестки. В некоторых случаях злоумышленники применяют неизвестные ранее зловреды и приёмы, которые осложняют обнаружение вредоносных писем защитными решениями.
  3. Адреса отправителей повторяли логику формирования почтовых адресов в соответствующих ведомствах за одним исключением: домены принадлежали сторонним почтовым сервисам, не очень распространённым в России.
  4. Каждое из писем содержало файл, замаскированный под документ с актуальной для получателей информацией. Например, к одной из рассылок был приложен RTF-файл якобы с комментариями к некой таблице. Он содержал вредоносный код, который эксплуатировал уязвимость в модуле Microsoft Office Equation Editor — редакторе формул для офисных программ.
  5. Использование этой уязвимости фактически позволяло злоумышленнику запустить на компьютере жертвы любой код и исполняемый файл.

Атаки и уязвимости

В GPS-трекере MiCODUS MV720, который используется в 1,5 млн автомобилей, обнаружено шесть опасных уязвимостей, используя которые, можно отслеживать транспортное средство, обездвижить его, или собирать информацию о маршрутах и ​​манипулировать данными.

Перечень уязвимостей:

  • CVE-2022-2107 (9,8 балла по шкале CVSS): жестко закодированный мастер-пароль на API-сервере, который позволяет удаленному и неаутентифицированному злоумышленнику захватить контроль над любым трекером MV720, прекратить подачу топлива, отслеживать пользователей и отключать сигнализацию.
  • CVE-2022-2141 (9,8 балла по шкале CVSS): неработающая схема аутентификации, позволяющая любому отправлять команды GPS-трекеру через SMS и выполнять их с правами администратора.
  • CVE не присвоен (8,1 балла по шкале CVSS): слабый пароль по умолчанию (123456) на всех трекерах MV720, и от пользователя не требуют изменить его после начальной настройки устройства.
  • CVE-2022-2199 (7,5 балла по шкале CVSS): XSS-уязвимость на главном веб-сервере, позволяющая злоумышленнику получить доступ к учетным записям пользователей, взаимодействовать с приложениями и просматривать всю информацию, доступную конкретному пользователю.
  • CVE-2022-34150 (7,1 балла по шкале CVSS): небезопасная прямая ссылка на объект на главном веб-сервере, позволяющая вошедшему в систему пользователю получить доступ к данным любого ID в БД сервера.
  • CVE-2022-33944 (6,5 балла по шкале CVSS): небезопасная прямая ссылка на объект на главном веб-сервере, позволяющая неавторизованным пользователям создавать отчеты в формате Excel об активности GPS-трекера.

Транспортные средства, которые оснащаются этими GPS-трекерами, используются многими компаниями из списка Fortune 50, а также правительства, военные, правоохранительные органы, а также аэрокосмические, судоходные и производственные компании.

Новый метод атаки позволяет извлекать данные с машин, физически изолированных от любых сетей и потенциально опасной периферии путём использования кабелей SATA качестве беспроводных антенн.

Атака получила название SATAn, так как использует кабели Serial ATA (SATA). Для её реализации нужно каким-то образом заразить целевую машину вредоносным ПО, которое соберет и подготовит нужные данные к передаче.

SATAn строится на том факте, что кабели SATA могут передавать электромагнитные сигналы с частой от 5,9995 до 5,9996 ГГц, что может соответствовать определенным символам. Интерфейс SATA способен генерировать радиосигналы во время определенных операций чтения и записи. Вредонос перехватывает легитимные программные процессы для выполнения чтения/записи в определенной последовательности, чтобы передавать украденные данные.

Во время исследования специалисты успешно передали с изолированной машины слово «SECRET» на находящийся неподалеку компьютер при помощи электромагнитных сигналов. Отмечается, что приемником в таком случае моет выступать как процесс на соседнем компьютере, так и некое аппаратное решение.

Максимальное расстояние от изолированного компьютера до приемника не может превышать 120 сантиметров, иначе количество ошибок возрастает слишком сильно, чтобы гарантировать целостность данных (более 15%).

Расстояние между передатчиком и приемником влияет на время, необходимое для отправки данных. В зависимости от расстояния на передачу последовательности из трех бит уходило от 0,2 до 1,2 секунд. В среднем данные передавались со скоростью 1 бит/сек.

Новая атака позволяет обойти защитные меры, обеспечивающие анонимность и идентифицировать посетителей сайта, который частично или полностью находится под контролем злоумышленника.

Для проведения атаки хакеру достаточно знать электронные адреса жертв или их никнеймы/имена на нужном сервисе.

Схема атаки:

  1. Злоумышленник загружает ресурс (изображение, видео или даже YouTube-плейлист) на нужный сервис, позволяющий показывать или блокировать контент у определенных людей. Такие возможности есть у Google Drive, Dropbox и YouTube, а также у множества других современных сервисов.
  2. Загруженный ресурс встраивается на вредоносный сайт с помощью HTML-тега iframe.
  3. После этого злоумышленник заставляет пользователя посетить вредоносный сайт и нажать на встроенный ресурс, который открывается виде всплывающего окна на заднем фоне. Если посетитель является жертвой, то ресурс успешно загрузится.
  4. Обнаружив жертву, хакер использует кэш-атаку по сторонним каналам, чтобы проанализировать данные о том, как процессор и браузер жертвы обрабатывают запрос. Это позволит определить, входила ли жертва в учетные записи YouTube, Dropbox, Twitter, Facebook, TikTok и т. д.
  5. Атака может быть использована против настольных и мобильных систем с различными процессорами и браузерами.
  6. Атака не работает, если ресурс размещен на Apple iCloud.

Используя новый метод фаззинга защищенных областей памяти в современных процессорах, удалось обнаружить неизвестные ранее проблемы безопасности в драйверах отпечатков пальцев и кошельках для хранения криптовалюты.

Обнаруженные уязвимости получили следующие номера:

  • CVE-2021-3675 — драйвер отпечатков пальцев Synaptics,
  • CVE-2021-36218 — SKALE sgxwallet,
  • CVE-2021-36219 — SKALE sgxwallet.

Злоумышленники могут использовать данные уязвимости для считывания биометрических данных или кражи всего остатка хранимой криптовалюты.

Инциденты

Международная компания Knauf Group пострадала от атаки шифровальщика Black Basta. Инцидент повлиял на бизнес-операции компании, вынудив глобальную ИТ-команду Knauf отключить все ИТ-системы, чтобы сдержать распространение угрозы.

Согласно официальному заявлению производителя, атака произошла в ночь на 29 июня 2022 года, и в настоящий момент специалисты Knauf все еще занимаются анализом случившегося и устраняют последствия инцидента.

Ответственность за эту атаку уже взяла на себя хакерская группа Black Basta. На сайте группировки появилось объявление, которое гласит, что Knauf была взломана еще 16 июля 2022 года.

Вымогатели заявляют, что похитили у компании данные, и в доказательство своих слов уже опубликовали 20% якобы украденных файлов. Журналисты, изучившие этот дамп, говорят, что он содержит электронные письма, учетные данные пользователей, контактную информацию сотрудников, производственные документы и сканы удостоверений личности.

Хакеры-вымогатели продолжают выкладывать в открытый доступ данные, компании «ТНС энерго» (tns-e.ru). Ранее они выложили три дампа, а вчера появился еще один:

🌵«ТНС энерго Ростов-на-Дону» — 30,741 строка: эл. почта, хешированный (MD5 без соли) пароль, телефон.

Данные в дампе содержатся за промежуток времени с 26.03.2019 по 01.07.2022.

Канал «Утечки информации» сообщает, что 20 июля 2022 года в открытый доступ было выложено 7 дампов различных российских интернет магазинов и сервисов:

  • 🌵 printonline.ru — печать полиграфической продукции и изготовление сувенирной продукции. Дамп датируется 19.05.2022 и содержит 132 пользователя: ФИО, эл. почты, телефоны, адреса, хешированные (MD5 с солью) пароли.
  • 🌵 nadpo.ru — «Национальная академия дополнительного профессионального образованиям». Дамп датируется 15.05.2022 и содержит 57,6 тыс. заявок (лидов): ФИО, телефоны, город/регион.
  • 🌵 get-radio.ru — онлайн сервис рекламы на радио. Дамп датируется 14.06.2022 и содержит 1,128 пользователей: имена/фамилии, эл. почты, телефоны, хешированные (bcrypt) пароли.
  • 🌵 auto-club42.ru — интернет-магазин автозапчастей в Кемерово. Дамп датируется 15.05.2022 и содержит 8,623 пользователя: имена/фамилии, эл. почты, телефоны, хешированные (MD5 с солью) пароли, города.
  • 🌵 okru.ru — Армавирская доска объявлений. Дамп датируется 20.07.2022 и содержит 203,4 тыс. пользователей: имена, эл. почты, телефоны, хешированные (MD5 без соли и bcrypt) пароли, IP-адреса.
  • 🌵 kopirka.ru — фото-копировальный центр. Дамп датируется 15.05.2022 и содержит 733 тыс. пользователей: ФИО, эл. почты, хешированные (MD5 без соли) пароли.
  • 🌵 pirogidomoy.ru — доставка осетинский пирогов в Санкт-Петербурге. Дамп датируется 14.07.2022 и содержит 223 тыс. заказов: имена, адреса, телефоны, суммы заказов.

В открытом доступе были опубликованы внутренние документы, похищенные у разработчиков игровой платформы Roblox в ходе вымогательской кибератаки.

В общей сложности неизвестный хакер опубликовал архив объемом около 4 Гб, а также разместил подборку изображений в своем сообщении. Утечка содержит адреса электронной почты, документы, удостоверяющие личность, и электронные таблицы, которые связаны с создателям контента, ориентированным на Roblox.

В компании добавили, что в настоящее время Roblox активно расследует фишинговый инцидент, в ходе которого сотрудник Roblox стал мишенью хакеров, использовавших социальную инженерию в сочетании с «высоко персонализированной тактикой запугивания».

ФБР предупреждает о фишинговых инвестиционных приложениях, которые крадут криптовалюту инвесторов.

Киберпреступники связывались с американскими инвесторами, предлагая услуги по инвестированию в криптовалюту, и убеждали людей загружать мошеннические приложения. Злоумышленники использовали приложения, чтобы выманивать у инвесторов их криптовалюту.

От мошенников пострадало 244 человека, их убытки оцениваются в 42,7 млн долларов США за период с 4 октября 2021 года по 13 мая 2022 года. Злоумышленники маскировались под именами и логотипами легитимных организаций, чтобы заманить потенциальных инвесторов и убедить их установить фишинговые приложения.

ФБР отметило 3 случая, в которых мошенники выдавали себя за одну американскую финансовую фирму и две компании YiBit и Supayos (Supay), чтобы обмануть 34 жертвы на сумму около 10 млн долларов США. Киберпреступники обманом убедили инвесторов загрузить поддельные приложения для криптовалюты и украли зачисленные на счет средства пользователей.

Национальное агентство Албании по вопросам информационного общества (The Albanian National Agency for the Information Society, AKSHI, NAIS) было вынуждено закрыть государственные онлайн-сервисы и правительственные веб-сайты после продолжающейся кибератаки.

Агентство сообщило общественности что для противостояния беспрецедентным и опасным ударам пришлось отключить правительственные системы до тех пор, пока вражеские атаки не будут нейтрализованы.

«Национальное агентство находится в полной боевой готовности и круглосуточно работает с командой Microsoft, командой Jones Group International и группами албанских компаний в области ИКТ, чтобы не допустить ущерб или компрометации албанской IT-системы», — добавило AKSHI.

Закрыты сайты парламента и канцелярии премьер-министра, а также сайт e-Albania — правительственный портал, которым должны пользоваться все албанцы, а также иностранные резиденты и инвесторы, чтобы получать государственные услуги.



Поделиться
Отправить
Запинить
 2451   2022   дайджест   фишинг