Антифишинг-дайджест № 310
Обзор новостей информационной безопасности с 3 по 9 февраля 2023 года
Андрей Жаркевич
редактор
Артемий Богданов
технический директор
Сергей Волдохин
выпускающий редактор
Киберкампании
Зампред Банка России рассказал о мошеннической схеме с QR-кодами в общественных местах.
Схема кампании
- Мошенники расклеивают объявления с QR-кодами. Для этого выбираются территории, где объявления очень заметны, но при этом их размещение трудно контролировать — на стенах домов, в подъездах, на остановках, на парковках.
- В объявлениях предлагается получить бесплатную консультацию о гарантированной социальной выплате.
- Когда человек сканирует QR-код, он попадает в чат-бот в мессенджере.
- Чат бот сообщает, что человеку якобы положена выплата — пособия для социально незащищенных, выплаты студентам, семьям с детьми
- Далее злоумышленники под предлогом оформления якобы полагающейся выплаты запрашивают у человека личные и финансовые сведения. На самом деле эта информация нужна им для хищения денег с карты.
Россиян предупреждают о новом мошенничестве от имени Росфинмониторинга.
Схема действий преступников
- Гражданам от имени Росфинмониторинга поступают сообщения о мнимом взыскании денежных средств, находящихся на счетах, в связи с нарушением законодательства о противодействии легализации преступных доходов.
- В некоторых случаях в таких сообщениях присутствует имитация символики и печатей ведомства.
- После рассылки писем потерпевшему предлагается оплатить некий комиссионный сбор, якобы для того, чтобы сохранить хотя бы часть имеющихся денежных средств.
- После уплаты «сбора» к преступникам попадают не только деньги, но и данные банковской карты и персональная информация жертв.
Эта же схема используется как часть многоступенчатой кампании. На первом этапе доверчивых граждан заманивают в финансовые пирамиды, забирая у них последние деньги. Когда потерпевшие начинают требовать вернуть похищенное, мошенники сообщают им о «блокировке счетов Росфинмониторингом» и требуют внести деньги якобы для оплаты комиссии за разморозку операций.
Схема кампании
- Операторы вредоноса рассылают два варианта фишинговых писем.
- Первый вариант содержит ссылку, по которой получателю предлагается загрузить вредоносный файл OneNote с расширением .one. Фамилия получателя повторяется в теме письма, но в остальном сообщения довольно безличны.
- Второй вариант использует «внедрение в цепочку сообщений». Участиники существующей переписки получают ответное сообщение (якобы от пользователя зараженного компьютера) с прикрепленным вредоносным блокнотом OneNote.
- Тематика этих сообщений может быть самой разнообразной — все, что окажется в почтовом ящике зараженного компьютера. Но, несмотря на это, их легко найти, поскольку все вложения называются либо ApplicationReject_#####(Jan31).one, либо ComplaintCopy_#####(Feb01).one (где ##### — случайное пятизначное число).
- Чтобы сделать эти атаки еще более убедительными, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака.
![](https://blog.startx.team/pictures/digest-310-7.png)
- При нажатии кнопки запускается встроенное HTA-вложение. И хотя пользователь увидит предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.
- Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки DLL-файла Qbot в папку «C:\ProgramData», которая затем выполняется с помощью «Rundll32.exe».
- Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.
Атаки и уязвимости
Уязвимость получила идентификатор CVE-2023-22357 и набрала 9,1 балла из 10 по шкале CVSS v3, что означает критический уровень опасности. Ошибка позволяла считывать и менять произвольную область памяти контроллера, что могло привести к перезаписи прошивки, отказу в обслуживании или выполнению произвольного кода.
Уязвимые контроллеры OMRON серии CP1L используются для управления компактными машинами, а также быстрого построения систем автоматизации. ПЛК применяются, например, для управления конвейерами и станками, телемеханикой трубопроводных узлов на ГРЭС, микроклиматом на фермах, системами контроля качества продукции, автоматическими машинами упаковки и в других сферах.
Свежая проблема получила идентификатор CVE-2023-22501 (9,4 балла по шкале оценки уязвимостей CVSS) и представляет собой нарушение в работе аутентификации.
Имея в Jira Service Management доступ на запись к User Directory и включенную исходящую почту, злоумышленник может получить доступ к токенам регистрации, отправленным пользователям с учетными записями, которые никогда не использовались для входа в систему.
Инциденты
10 января компания обнаружила несанкционированный доступ к своей сети. Уже в феврале стало известно, что речь идёт об атаке программы-вымогателя.
Представители компания заявили, что все её производственные площадки работают, хотя некоторые процессы пока происходят в ручном режиме, поскольку некоторые внутренние системы пока не удалось восстановить. Специалисты активно над этим работают, параллельно внедряя облачные решения для управления ресурсами предприятия.
После того, как компания 7 февраля сообщила, что «исключительные расходы, связанные с инцидентом, могут составить от 8 до 12 миллионов фунтов стерлингов, включая оплату услуг специалистов, а также расходы, связанные с восстановлением ряда систем в Morgan Group» акции Morgan Advanced Materials (тикер MGAM) на лондонской бирже упали на 5%
Причиной падения стала реакция инвесторов: узнав о незапланированных расходах и ожидаемом снижении доходов, они стали активно продавать акции.
Продукты ION Group используются финансовыми учреждениями, банками, корпорациями для торговли, управления инвестициями и анализа рынка.
31 января 2023 года компания раскрыла инцидент в коротком заявлении , в котором говорилось, что атака повлияла на ION Cleared Derivatives, подразделение ION Markets.
«ION Cleared Derivatives, подразделение ION Markets, столкнулось с событием кибербезопасности, начавшимся 31 января 2023 года, что повлияло на некоторые из его сервисов; все затронутые серверы сейчас отключены, восстановление служб продолжается», — говорится в сообщении компании.
Однако атака оказала более глубокий эффект, чем сообщила ION Group. Крупные клиенты, которые используют услуги ION Group в Соединенных Штатах и Европе, были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам.
![](https://blog.startx.team/pictures/digest-310-2.png)
В январе 2023 года некто, скрывающийся под ником Holy Souls, выставил на продажу информацию о подписчиках Charlie Hebdo, оценив дамп в 20 BTC (примерно 340 000 долларов США на тот момент). Тогда французское новостное издание Le Monde подтверждало подлинность попавшей в руки хакеров информации.
Среди опубликованных образцов были обнаружены имена, номера телефонов, адреса, email-адреса и многое другое. Holy Souls рекламировал украденные данные на YouTube, на нескольких хакерских форумах, а также активно размещал сообщения об утечке в социальных сетях.
Эта атака и последующая за ней утечка данных произошли после решения журнала провести конкурс карикатур, в котором читателям предлагалось представить рисунки, высмеивающие верховного лидера Ирана Али Хаменеи. Выпуск с карикатурами-победителями должны были опубликовать в начале января, приурочив его к восьмой годовщине теракта и нападения на офис издания.
![](https://blog.startx.team/pictures/digest-310-3.png)
Технические специалисты выявили десятки национальных систем, которые могут быть затронуты вредоносной программой.
По информации газеты Il Messaggero, глобально насчитывается несколько тысяч взломанных серверов. Самый сильный ущерб нанесен Франции. В Италии десятки организаций пострадали от вредоноса. По данным источника, число затронутых организаций будет расти.
В настоящий момент технические специалисты работают над локализацией и ликвидацией последствий кибератаки.
![](https://blog.startx.team/pictures/digest-310-4.png)
На момент публикации этой новости веб-сайт университета до сих пор недоступен, но телефонная линия с пресс-службой работает. В официальном заявлении представитель университета описал инцидент как часть вредоносной кампании, направленной на образовательные и медицинские учреждения Европы.
Университет заявил, что уже усилил меры и отразил атаки с помощью внутренних ресурсов и внешней поддержки. Скомпрометированные учетные записи и системы изолированы.
Представителям университета неизвестно о том, были ли какие-либо внутренние данные зашифрованы или извлечены. Тем не менее, все необходимые организации были проинформированы и привлечены к расследованию.