Антифишинг-дайджест № 306
Обзор новостей информационной безопасности с 30 декабря 2022 по 12 января 2023 года
Андрей Жаркевич
редактор
Артемий Богданов
технический директор
Сергей Волдохин
выпускающий редактор
Киберкампании
Журналисты «Известий» рассказали о новогодних мошеннических кампаниях.
Схема № 1. Лотерея без выигрыша
- Пользователям предлагалось принять участие в розыгрыше призов якобы от имени популярных интернет-магазинов. Для этого нужно было ответить на несложные вопросы и отгадать, в какой из коробочек спрятан приз. Призовой фонд якобы составлял 50 млн рублей.
- «Победителем» становился каждый участник подобного розыгрыша. Для того чтобы получить выигрыш, необходимо было ввести данные карты и оплатить «налог».
- «Налог» злоумышленники похищали и никаких призовых выплат не проводили.
Схема № 2. Фишинговая лотерея
- Жертвы получают письма с розыгрышами праздничных лотерейных билетов. Они приходят с «подарочным» билетом и приглашением принять участие в онлайн-розыгрыше призов государственных лотерей.
- Чтобы участвовать в розыгрыше, нужно перейти по ссылке на внешний портал. 3. Для большей убедительности дизайн фейкового сайта имитирует веб-ресурсы официальных лотерейных организаций. На нем часто указано, что данный сайт «надежно защищен» одним из известных разработчиков систем информационной безопасности.
- Как только пользователь решается испытать удачу и переходит на сайт мошенников, запускается онлайн-розыгрыш. Его участника уверяют, что выигрышные номера определяются с помощью генератора случайных чисел. Но «случай» опять оказывается благосклонен ко всем — выигрышные числа совпадают с комбинациями в лотерейном билете доверчивого пользователя/
- Cумма такого выигрыша обычно бывает крупной — от 100 тыс. рублей. Это делается специально, чтобы побудить пользователя непременно его забрать, а именно — нажать на кнопку «Получить приз».
- Далее участник лотереи попадает на страницу, где просят заплатить налог, а также выбрать способ получения денег — на банковскую карту или на электронный кошелек и, соответственно, ввести реквизиты.
- Иногда, чтобы повысить доверие потенциальных жертв, на фишинговых сайтах указывается еще и вариант получения денег «наличными в офисе». Но воспользоваться им не получится, так как размер выигрыша окажется меньше установленной для данного способа суммы.
- Как только пользователь введет свои платежные данные, они становятся доступными мошенникам и деньги с его счета списываются.
Новая фишинговая кампания ориентирована на граждан Италии.
![](https://blog.startx.team/pictures/digest-306-5.png)
Схема кампании
- Преступники рассылали фишинговые письма со ссылкой, при нажатии на которую загружается ZIP-архив с LNK- и BAT-файлом внутри.
- При запуске любого файла из архива запускается один и тот же скрипт, скачивающий полезную нагрузку вредоноса с GitHub, а затем устанавливающий инфостилер на устройство жертвы.
- После установки инфостилер собирает данные криптокошельков и браузеров, cookie-файлы и учетные данные жертвы, а затем отправляет их на домен, контролируемый злоумышленниками.
Атаки и уязвимости
![](https://blog.startx.team/pictures/digest-306.png)
Единственный крупный производитель цифровых номеров — компания Reviver. Номера, известные как Rplate, выпускаются в аккумуляторной и проводной версиях. Они комплектуются SIM-картой для удаленного отслеживания и обновления. Одной из особенностей номеров на электронных чернилах является уведомление о том, что транспортное средство находит в угоне и перемещается без ведома его владельца. В таком случае номер может измениться на надпись «Украдено» («STOLEN»).
Исследователи заметили, что сайт для сброса пароля к номеру имеет множество функций, включая администрирование транспортных средств, автопарков и учетных записей пользователей. JavaScript на сайте содержал полный список ролей, и это позволяло исследователям менять тип своей учетной записи на любой другой. В итоге они получили доступ к роли под названием REVIVER — учетной записи администратора.
Используя учетную запись суперадминистратора с полной авторизацией, можно было просмотреть местоположение автомобиля, обновить номерные знаки, добавить новых пользователей в учетные записи и совершить любые действия, предусмотренные системой.
Также роль REVIVER предоставляла доступ к любому дилерскому центру, работающему с цифровыми номерами, что позволяло удаленно изменить стандартные изображения на номерах с надписи «DEALER» на любую другую.
В Zoom устранены три опасные уязвимости, угрожающие пользователям Windows и MacOS:
- CVE-2022-36930 — 8,2 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в установщике Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM;
- CVE-2022-36929 — 7,8 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в клиенте Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM. Уязвимость затрагивает все версии клиента Rooms для Windows до версии 5.12.7;
- CVE-2022-36926 — 8,8 балла по шкале CVSS. Позволяет локальному пользователю без прав администратора повысить свои привилегии до уровня root. Затрагивает клиенты Zoom Rooms для MacOS до версии 5.11.3.
![](https://blog.startx.team/pictures/digest-306-1.png)
Нейросетевые помощники программиста, подобные Copilot от GitHub и ChatGPT от OpenAI, работают как системы автозавершения кода, предлагая новые строки и функции с учетом смыслового контекста создаваемого софта. Для обучения таких ассистентов используются образцы кода, доступные в публичных репозиториях.
Поскольку загрузки в подобных источниках редко проверяются должным образом, злоумышленник имеет возможность провести атаку на ИИ-помощника по методу отравления данных — внедрить уязвимый или вредоносный код в обучающие наборы данных и тот будет воспроизведен в предложениях программисту.
Для защиты от таких атак использовались статические анализаторыы и сигнатурный анализ. Однако новая атака, получившая название Troyan Puzzle, скрывает вредоносный пейлоад особым образом — с помощью особых маркеров (template token, токены шаблона) и фразы-триггера, активирующей полезную нагрузку. Были также созданы три «плохих» образца кода, заменяющие токен произвольным словом (shift, (__pyx_t_float_, befo на рисунке ниже). Слово затем добавляется к заглушке в триггере, и в ходе обучения ИИ-модель привыкает ассоциировать такой участок с маскированной областью пейлоада.
При парсинге триггера полезная нагрузка будет воспроизведена даже в том случае, когда слово-заместитель не использовалось в ходе тренинга (например, render). Умный помощник автоматически заменит его уже знакомым токеном; если заполнитель содержит скрытую часть пейлоада, при генерации предложения вредоносный код воспроизведется целиком.
Среди затронутых продуктов — Norton Antivirus Windows Eraser Engine, Avira Security, Avast Antivirus и AVG Antivirus. Ошибка отслеживается под идентификатором CVE-2022-4294. Ей присвоили 7,1 балла по шкале CVSS, а это значит, что уровень её опасности оценивается как высокий.
Эксплуатация такого рода уязвимостей позволяет злоумышленникам повысить привилегии в системе и развить атаку. Этот вектор можно задействовать уже после того, как атакующий проник на устройство пользователя.
В чипсете Qualcomm Snapdragon обнаружено множество уязвимостей высокой степени опасности.
Проблемы были обнаружены в прошивке UEFI и затрагивают ноутбуки и устройства на базе ARM, использующие чипы Qualcomm Snapdragon. Ошибки затронули также BIOS ноутбука Lenovo ThinkPad X13s. Компания выпустила обновление BIOS для устранения недостатков . Однако две уязвимости до сих пор не устранены.
С помощью этих ошибок злоумышленник может получить контроль над системой, изменив переменную в энергонезависимой памяти, в которой данные хранятся постоянно, даже когда система выключена.
Измененная переменная скомпрометирует фазу безопасной загрузки системы, и киберпреступник сможет получить постоянный доступ к системе после того, как эксплойт будет установлен. Другими словами, злоумышленник может выполнить вредоносный код или получить доступ к системным ресурсам в любое время, даже когда система выключена.
Для лучшего взаимодействия с пользователями БД-приложения применяют ИИ-технологии, способные переводить вопросы человека в SQL-запросы. Такая техника называется Text-to-SQL. Злоумышленники могут обойти модели Text-to-SQL и создать вредоносный код с помощью специально подготовленных вопросов. Это может привести к утечке или DoS, поскольку злонамеренный код будет выполняться в базе данных.
Атаки бэкдора на четыре разные модели с открытым исходным кодом — BART-BASE, BART-LARGE, T5-BASE и T5-3B — показали 100% успешность с незначительным влиянием на производительность. В реальном сценарии такие атаки будет трудно детектировать.
Инциденты
Сайты местного ЦБ и разработчика Bankdata, поставщика IT-продуктов для финансового сектора, стали жертвой DDoS-атаки.
По словам официального представителя датского Центробанка, к полудню вторника сайт организации функционировал в обычном режиме, атака не повлияла на другие системы ЦБ или повседневную деятельность банка.
Жертвами атаки стали также два ведущих банка королевства — Jyske Bank и Sydbank. Доступ к их сайтам также ненадолго блокировался.
Ответственность за атаку взяла на себя группировка KillNet.
Телеграм-канал «Утечки баз данных» сообщает, что ресурсы «Международного Авиационно-Космического Салона» были взломаны, а данные аккредитованных участников авиасалона попали в руки хакеров.
Опубликовано шесть SQL-таблиц.
Users, содержит 50 тыс. записей с такими данными как:
- ⭕️ ФИО;
- ⭕️ Телефон;
- ⭕️ Эл. почта;
- ⭕️ Место работы;
- ⭕️ Должность;
- ⭕️ Некоторые технические детали.
Accreditation_users, 38 тыс. записей:
- ⭕️ ФИО;
- ⭕️ Дата рождения;
- ⭕️ Место рождения;
- ⭕️ Реквизиты документа;
- ⭕️ Телефон;
- ⭕️ Эл. почта;
- ⭕️ Адрес регистрации;
- ⭕️ Место работы;
- ⭕️ Должность;
- ⭕️ Некоторые технические детали.
База содержит данные сотрудников очень чувствительных организаций:
- ✔️ МИД РФ;
- ✔️ Посольства РФ в различных странах;
- ✔️ Ростех;
- ✔️ АО Камов;
- ✔️ МинОбороны РФ;
- ✔️ ФСБ, ФСО РФ;
- ✔️ РосОборонЭкспорт;
- ✔️ КБ, НИИ и заводы
Актуальность данных в базе — июль 2021 года, что не делает её менее чувствительной.
Злоумышленникам стали известны имена миллионов пассажиров, адреса электронной почты и телефонные номера, данные о последних транзакциях, баланс заработанных миль, а также история их трат в системе Flying Blue.
Представители авиакомпании также утверждают, что все бонусные мили на счетах клиентов сохранились и взлом не затронул информацию о кредитных картах пользователей.
Представители авиахолдинга заверили, что инцидент был локализован и заблокирован штатными ИБ-специалистами.
Кибератака произошла 7 января и вынудила компанию отключить от сети приложение ShipManager, которое служит для отслеживания ежедневных задач, руководства экипажем, анализа данных о грузоперевозках и проверки целостности корпуса судна.
Поставщик заявил, что все пользователи по-прежнему могут пользоваться функционалом приложения на борту корабля, но только в автономном режиме. По словам представителя DNV, хакеры смогли взломать только ShipManager, не сумев добраться до конфиденциальных данных или других продуктов компании.
Жертвами фишинговых атак злоумышленников стали банки Эквадора, Испании и Панамы:
- Banco AV Villas,
- Banco Caja Social,
- Banco de Bogotá,
- Banco Popular,
- Bancoomeva,
- BBVA,
- Colpatria,
- Davivienda,
- TransUnion.
Хакеры останавливают атаку, если их жертва находится за пределами Колумбии. Аналогичным образом они действуют и в ходе другой вредоносной кампании, где выдают себя за Налоговую службу Эквадора. В этом случае Blind Eagle не просто развертывает троян в системе жертвы, а проводит намного более хитрую и сложную атаку, используя VBS-скрипт, встроенный в HTML-файл, который загружает два сценария, написанные на Python.
В последние дни 2022 года в сети были опубликованы данные клиентов сети магазинов «Спортмастер».
В компании подтвердили, что в распоряжении злоумышленников действительно оказались имена, даты рождения, номера телефонов и email-адреса клиентов.
В опубликованном 31 декабря текстовом файле содержалось 1 655 406 строк (269 499 уникальных email-адресов и 1 316 510 уникальных номеров мобильных и домашних телефонов), а самая «свежая» запись была датирована августом 2021 года.
Спустя несколько дней после публикации первого файла, хакеры обнародовали и второй, содержащий почти 100 млн строк. Самая свежая и единственная новая запись в новом файле была датирована 16 ноября 2022, однако специалисты DLBI отмечают, что подавляющее большинство строк все же относятся к 2010-2013 годам, а данные из первого (меньшего) файла дублируются во второй части «слива».
Оба этих дампа включают следующую информацию о клиентах:
- ФИО;
- email-адрес (13,4 млн уникальных адресов);
- мобильный и домашний телефон (45,89 млн уникальных номеров);
- адрес;
- дата рождения;
- пол.
Хакеры из группировки Cold River атаковали три ядерные исследовательские лаборатории США.
По информации журналистов Reuters, хакеры с августа по сентябрь 2022 года атаковали Ливерморскую национальную лабораторию имени Эрнеста Лоуренса в Калифорнии, Аргоннскую национальную лабораторию, находящуюся в штате Иллинойс, а также Брукхейвенскую национальную лабораторию в городе Аптон штата Нью-Йорк. Все атакованные центры входят в структуру министерства энергетики США.
Издание уточняет, что киберпреступники создавали фейковые страницы для входа сотрудников лабораторий, а также отправляли им письма с угрозами. По мнению журналистов, таким образом злоумышленники пытались завладеть паролями ученых-ядерщиков.
![](https://blog.startx.team/pictures/digest-306-4.png)
Письма содержали вредоносный Excel-файл с макросом, который хакеры использовали трояна BitRAT из репозитория GitHub в папку temp. В конце цепочки заражения загрузчик BitRAT декодируется и запускается на устройстве жертвы, начиная выполнять свою работу.
Слова специалистов подтверждает обнаруженный ими дамп данных, состоящий из 418 777 записей. Злоумышленники получили их, используя SQL-инъекции.
Анализ обнаруженных данных показал, что в руки хакеров попали:
- Номера удостоверений личности граждан Колумбии;
- Адреса электронной почты;
- Номера телефонов;
- Имена клиентов;
- История платежей;
- Информация о зарплате;
- Физические адреса.