Антифишинг-дайджест № 306
Обзор новостей информационной безопасности с 30 декабря 2022 по 12 января 2023 года
Андрей Жаркевич
редактор
Артемий Богданов
технический директор
Сергей Волдохин
выпускающий редактор
Киберкампании
Журналисты «Известий» рассказали о новогодних мошеннических кампаниях.
Схема № 1. Лотерея без выигрыша
- Пользователям предлагалось принять участие в розыгрыше призов якобы от имени популярных интернет-магазинов. Для этого нужно было ответить на несложные вопросы и отгадать, в какой из коробочек спрятан приз. Призовой фонд якобы составлял 50 млн рублей.
- «Победителем» становился каждый участник подобного розыгрыша. Для того чтобы получить выигрыш, необходимо было ввести данные карты и оплатить «налог».
- «Налог» злоумышленники похищали и никаких призовых выплат не проводили.
Схема № 2. Фишинговая лотерея
- Жертвы получают письма с розыгрышами праздничных лотерейных билетов. Они приходят с «подарочным» билетом и приглашением принять участие в онлайн-розыгрыше призов государственных лотерей.
- Чтобы участвовать в розыгрыше, нужно перейти по ссылке на внешний портал. 3. Для большей убедительности дизайн фейкового сайта имитирует веб-ресурсы официальных лотерейных организаций. На нем часто указано, что данный сайт «надежно защищен» одним из известных разработчиков систем информационной безопасности.
- Как только пользователь решается испытать удачу и переходит на сайт мошенников, запускается онлайн-розыгрыш. Его участника уверяют, что выигрышные номера определяются с помощью генератора случайных чисел. Но «случай» опять оказывается благосклонен ко всем — выигрышные числа совпадают с комбинациями в лотерейном билете доверчивого пользователя/
- Cумма такого выигрыша обычно бывает крупной — от 100 тыс. рублей. Это делается специально, чтобы побудить пользователя непременно его забрать, а именно — нажать на кнопку «Получить приз».
- Далее участник лотереи попадает на страницу, где просят заплатить налог, а также выбрать способ получения денег — на банковскую карту или на электронный кошелек и, соответственно, ввести реквизиты.
- Иногда, чтобы повысить доверие потенциальных жертв, на фишинговых сайтах указывается еще и вариант получения денег «наличными в офисе». Но воспользоваться им не получится, так как размер выигрыша окажется меньше установленной для данного способа суммы.
- Как только пользователь введет свои платежные данные, они становятся доступными мошенникам и деньги с его счета списываются.
Новая фишинговая кампания ориентирована на граждан Италии.
Схема кампании
- Преступники рассылали фишинговые письма со ссылкой, при нажатии на которую загружается ZIP-архив с LNK- и BAT-файлом внутри.
- При запуске любого файла из архива запускается один и тот же скрипт, скачивающий полезную нагрузку вредоноса с GitHub, а затем устанавливающий инфостилер на устройство жертвы.
- После установки инфостилер собирает данные криптокошельков и браузеров, cookie-файлы и учетные данные жертвы, а затем отправляет их на домен, контролируемый злоумышленниками.
Атаки и уязвимости
Единственный крупный производитель цифровых номеров — компания Reviver. Номера, известные как Rplate, выпускаются в аккумуляторной и проводной версиях. Они комплектуются SIM-картой для удаленного отслеживания и обновления. Одной из особенностей номеров на электронных чернилах является уведомление о том, что транспортное средство находит в угоне и перемещается без ведома его владельца. В таком случае номер может измениться на надпись «Украдено» («STOLEN»).
Исследователи заметили, что сайт для сброса пароля к номеру имеет множество функций, включая администрирование транспортных средств, автопарков и учетных записей пользователей. JavaScript на сайте содержал полный список ролей, и это позволяло исследователям менять тип своей учетной записи на любой другой. В итоге они получили доступ к роли под названием REVIVER — учетной записи администратора.
Используя учетную запись суперадминистратора с полной авторизацией, можно было просмотреть местоположение автомобиля, обновить номерные знаки, добавить новых пользователей в учетные записи и совершить любые действия, предусмотренные системой.
Также роль REVIVER предоставляла доступ к любому дилерскому центру, работающему с цифровыми номерами, что позволяло удаленно изменить стандартные изображения на номерах с надписи «DEALER» на любую другую.
В Zoom устранены три опасные уязвимости, угрожающие пользователям Windows и MacOS:
- CVE-2022-36930 — 8,2 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в установщике Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM;
- CVE-2022-36929 — 7,8 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в клиенте Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM. Уязвимость затрагивает все версии клиента Rooms для Windows до версии 5.12.7;
- CVE-2022-36926 — 8,8 балла по шкале CVSS. Позволяет локальному пользователю без прав администратора повысить свои привилегии до уровня root. Затрагивает клиенты Zoom Rooms для MacOS до версии 5.11.3.
Нейросетевые помощники программиста, подобные Copilot от GitHub и ChatGPT от OpenAI, работают как системы автозавершения кода, предлагая новые строки и функции с учетом смыслового контекста создаваемого софта. Для обучения таких ассистентов используются образцы кода, доступные в публичных репозиториях.
Поскольку загрузки в подобных источниках редко проверяются должным образом, злоумышленник имеет возможность провести атаку на ИИ-помощника по методу отравления данных — внедрить уязвимый или вредоносный код в обучающие наборы данных и тот будет воспроизведен в предложениях программисту.
Для защиты от таких атак использовались статические анализаторыы и сигнатурный анализ. Однако новая атака, получившая название Troyan Puzzle, скрывает вредоносный пейлоад особым образом — с помощью особых маркеров (template token, токены шаблона) и фразы-триггера, активирующей полезную нагрузку. Были также созданы три «плохих» образца кода, заменяющие токен произвольным словом (shift, (__pyx_t_float_, befo на рисунке ниже). Слово затем добавляется к заглушке в триггере, и в ходе обучения ИИ-модель привыкает ассоциировать такой участок с маскированной областью пейлоада.
При парсинге триггера полезная нагрузка будет воспроизведена даже в том случае, когда слово-заместитель не использовалось в ходе тренинга (например, render). Умный помощник автоматически заменит его уже знакомым токеном; если заполнитель содержит скрытую часть пейлоада, при генерации предложения вредоносный код воспроизведется целиком.
Среди затронутых продуктов — Norton Antivirus Windows Eraser Engine, Avira Security, Avast Antivirus и AVG Antivirus. Ошибка отслеживается под идентификатором CVE-2022-4294. Ей присвоили 7,1 балла по шкале CVSS, а это значит, что уровень её опасности оценивается как высокий.
Эксплуатация такого рода уязвимостей позволяет злоумышленникам повысить привилегии в системе и развить атаку. Этот вектор можно задействовать уже после того, как атакующий проник на устройство пользователя.
В чипсете Qualcomm Snapdragon обнаружено множество уязвимостей высокой степени опасности.
Проблемы были обнаружены в прошивке UEFI и затрагивают ноутбуки и устройства на базе ARM, использующие чипы Qualcomm Snapdragon. Ошибки затронули также BIOS ноутбука Lenovo ThinkPad X13s. Компания выпустила обновление BIOS для устранения недостатков . Однако две уязвимости до сих пор не устранены.
С помощью этих ошибок злоумышленник может получить контроль над системой, изменив переменную в энергонезависимой памяти, в которой данные хранятся постоянно, даже когда система выключена.
Измененная переменная скомпрометирует фазу безопасной загрузки системы, и киберпреступник сможет получить постоянный доступ к системе после того, как эксплойт будет установлен. Другими словами, злоумышленник может выполнить вредоносный код или получить доступ к системным ресурсам в любое время, даже когда система выключена.
Для лучшего взаимодействия с пользователями БД-приложения применяют ИИ-технологии, способные переводить вопросы человека в SQL-запросы. Такая техника называется Text-to-SQL. Злоумышленники могут обойти модели Text-to-SQL и создать вредоносный код с помощью специально подготовленных вопросов. Это может привести к утечке или DoS, поскольку злонамеренный код будет выполняться в базе данных.
Атаки бэкдора на четыре разные модели с открытым исходным кодом — BART-BASE, BART-LARGE, T5-BASE и T5-3B — показали 100% успешность с незначительным влиянием на производительность. В реальном сценарии такие атаки будет трудно детектировать.
Инциденты
Сайты местного ЦБ и разработчика Bankdata, поставщика IT-продуктов для финансового сектора, стали жертвой DDoS-атаки.
По словам официального представителя датского Центробанка, к полудню вторника сайт организации функционировал в обычном режиме, атака не повлияла на другие системы ЦБ или повседневную деятельность банка.
Жертвами атаки стали также два ведущих банка королевства — Jyske Bank и Sydbank. Доступ к их сайтам также ненадолго блокировался.
Ответственность за атаку взяла на себя группировка KillNet.
Телеграм-канал «Утечки баз данных» сообщает, что ресурсы «Международного Авиационно-Космического Салона» были взломаны, а данные аккредитованных участников авиасалона попали в руки хакеров.
Опубликовано шесть SQL-таблиц.
Users, содержит 50 тыс. записей с такими данными как:
- ⭕️ ФИО;
- ⭕️ Телефон;
- ⭕️ Эл. почта;
- ⭕️ Место работы;
- ⭕️ Должность;
- ⭕️ Некоторые технические детали.
Accreditation_users, 38 тыс. записей:
- ⭕️ ФИО;
- ⭕️ Дата рождения;
- ⭕️ Место рождения;
- ⭕️ Реквизиты документа;
- ⭕️ Телефон;
- ⭕️ Эл. почта;
- ⭕️ Адрес регистрации;
- ⭕️ Место работы;
- ⭕️ Должность;
- ⭕️ Некоторые технические детали.
База содержит данные сотрудников очень чувствительных организаций:
- ✔️ МИД РФ;
- ✔️ Посольства РФ в различных странах;
- ✔️ Ростех;
- ✔️ АО Камов;
- ✔️ МинОбороны РФ;
- ✔️ ФСБ, ФСО РФ;
- ✔️ РосОборонЭкспорт;
- ✔️ КБ, НИИ и заводы
Актуальность данных в базе — июль 2021 года, что не делает её менее чувствительной.
Злоумышленникам стали известны имена миллионов пассажиров, адреса электронной почты и телефонные номера, данные о последних транзакциях, баланс заработанных миль, а также история их трат в системе Flying Blue.
Представители авиакомпании также утверждают, что все бонусные мили на счетах клиентов сохранились и взлом не затронул информацию о кредитных картах пользователей.
Представители авиахолдинга заверили, что инцидент был локализован и заблокирован штатными ИБ-специалистами.
Кибератака произошла 7 января и вынудила компанию отключить от сети приложение ShipManager, которое служит для отслеживания ежедневных задач, руководства экипажем, анализа данных о грузоперевозках и проверки целостности корпуса судна.
Поставщик заявил, что все пользователи по-прежнему могут пользоваться функционалом приложения на борту корабля, но только в автономном режиме. По словам представителя DNV, хакеры смогли взломать только ShipManager, не сумев добраться до конфиденциальных данных или других продуктов компании.
Жертвами фишинговых атак злоумышленников стали банки Эквадора, Испании и Панамы:
- Banco AV Villas,
- Banco Caja Social,
- Banco de Bogotá,
- Banco Popular,
- Bancoomeva,
- BBVA,
- Colpatria,
- Davivienda,
- TransUnion.
Хакеры останавливают атаку, если их жертва находится за пределами Колумбии. Аналогичным образом они действуют и в ходе другой вредоносной кампании, где выдают себя за Налоговую службу Эквадора. В этом случае Blind Eagle не просто развертывает троян в системе жертвы, а проводит намного более хитрую и сложную атаку, используя VBS-скрипт, встроенный в HTML-файл, который загружает два сценария, написанные на Python.
В последние дни 2022 года в сети были опубликованы данные клиентов сети магазинов «Спортмастер».
В компании подтвердили, что в распоряжении злоумышленников действительно оказались имена, даты рождения, номера телефонов и email-адреса клиентов.
В опубликованном 31 декабря текстовом файле содержалось 1 655 406 строк (269 499 уникальных email-адресов и 1 316 510 уникальных номеров мобильных и домашних телефонов), а самая «свежая» запись была датирована августом 2021 года.
Спустя несколько дней после публикации первого файла, хакеры обнародовали и второй, содержащий почти 100 млн строк. Самая свежая и единственная новая запись в новом файле была датирована 16 ноября 2022, однако специалисты DLBI отмечают, что подавляющее большинство строк все же относятся к 2010-2013 годам, а данные из первого (меньшего) файла дублируются во второй части «слива».
Оба этих дампа включают следующую информацию о клиентах:
- ФИО;
- email-адрес (13,4 млн уникальных адресов);
- мобильный и домашний телефон (45,89 млн уникальных номеров);
- адрес;
- дата рождения;
- пол.
Хакеры из группировки Cold River атаковали три ядерные исследовательские лаборатории США.
По информации журналистов Reuters, хакеры с августа по сентябрь 2022 года атаковали Ливерморскую национальную лабораторию имени Эрнеста Лоуренса в Калифорнии, Аргоннскую национальную лабораторию, находящуюся в штате Иллинойс, а также Брукхейвенскую национальную лабораторию в городе Аптон штата Нью-Йорк. Все атакованные центры входят в структуру министерства энергетики США.
Издание уточняет, что киберпреступники создавали фейковые страницы для входа сотрудников лабораторий, а также отправляли им письма с угрозами. По мнению журналистов, таким образом злоумышленники пытались завладеть паролями ученых-ядерщиков.
Письма содержали вредоносный Excel-файл с макросом, который хакеры использовали трояна BitRAT из репозитория GitHub в папку temp. В конце цепочки заражения загрузчик BitRAT декодируется и запускается на устройстве жертвы, начиная выполнять свою работу.
Слова специалистов подтверждает обнаруженный ими дамп данных, состоящий из 418 777 записей. Злоумышленники получили их, используя SQL-инъекции.
Анализ обнаруженных данных показал, что в руки хакеров попали:
- Номера удостоверений личности граждан Колумбии;
- Адреса электронной почты;
- Номера телефонов;
- Имена клиентов;
- История платежей;
- Информация о зарплате;
- Физические адреса.