Rose debug info
---------------

Дайджест Start X № 329

Обзор новостей информационной безопасности с 23 по 29 июня 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Троянизированный установщик игры Super Mario 3: Mario Forever для Windows заражал игроков многочисленными вредоносами.

Super Mario 3: Mario Forever — это бесплатная версия классической игры Nintendo, разработанная Buziol Games и выпущенная для Windows в 2003 году.

Злоумышленники создали модифицированный установщик Super Mario 3: Mario Forever, который представлен в виде самораспаковывающегося исполняемого архива и распространяется по неизвестным каналам. Скорее всего, зараженная игра рекламируется на игровых форумах, в социальных сетях или предлагается пользователям с помощью вредоносной рекламы и черного SEO.

Архив содержит три исполняемых файла, один из которых устанавливает саму игру (super-mario-forever-v702e.exe), а два других (java.exe и atom.exe) незаметно устанавливаются в каталог AppData во время установки игры.

Файл java.exe представляет собой майнер криптовалюты Monero, который собирает информацию об оборудовании жертвы и подключается к серверу gulf[.]moneroocean[.]stream, чтобы начать работу.

SupremeBot (atom.exe) создает свою копию и помещает ее в скрытую папку в каталоге установки игры. Далее он создает запланированную задачу на выполнение этой копии, которая запускается каждые 15 минут на неопределенный срок, скрываясь под именем легитимного процесса.

При этом исходный процесс завершается, а исходный файл удаляется, чтобы избежать обнаружения. Затем малварь устанавливает соединение с управляющим сервером для передачи данных о системе, регистрации клиента и получения конфигурации, чтобы начать добычу Monero. После этого SupremeBot также получает дополнительную полезную нагрузку от сервера в виде исполняемого файла с именем wime.exe.

Этот файл представляет собой инфостилер Umbral Stealer. Он ворует информацию, хранящуюся в браузерах, включая сохраненные пароли и файлы cookie, содержащие токены сеансов, данные криптовалютных кошельков, а также учетные данные и токены аутентификации для Discord, Minecraft, Roblox и Telegram.

Новое вредоносное ПО для Windows ThirdEye похищает конфиденциальные данные с заражённых компьютеров.

Вредоносный код нашли в исполняемых файлах «CMK Правила оформления больничных листов.pdf.exe» и «Табель учёта рабочего времени 2023.xls.exe», поэтому скорее всего, он распространяется с помощью фишинга.

ThirdEye собирает метаданные системы — дату выпуска и производителя BIOS, общий/свободный объем диска C, текущие процессы, имена пользователей, информация о томах. Собранные данные затем передается на управляющий сервер злоумышленников. Отличительной чертой вредоносного кода является то, что он использует строку «3rd_eye» для связи с C2-сервером.

Большинство образцов вредоносного кода были загружены на VirusTotal из России, что может свидетельствовать о том, что хакеры нацеливаются на русскоязычные организации.

Уязвимости и атаки

Разработана техника внедрения бэкдора в нейронные сети, которая позволяет злоумышленникам манипулировать их поведением.

В ходе атаки злоумышленник внедряет скрытый триггер в нейронную сеть, который активируется при определенных условиях. Например, если на изображении появляется определенный символ или цвет, нейронная сеть может выдавать неверный ответ или передавать конфиденциальную информацию.

Метод позволяет внедрять бекдоры в нейронные сети таким образом, что она остается незаметной для обычных методов обнаружения. Они использовали технику, называемую «переобучением», которая заключается в том, что нейронная сеть запоминает определенные примеры из обучающего набора данных, а не обобщает их. Таким образом, они смогли создать триггеры, которые работают только на определенных изображениях, а не на всех.

Обнаружена уязвимость, с помощью которой злоумышленники могут доставлять вредоносные программы напрямую сотрудникам в сообщениях Microsoft Teams.

Условный злоумышленник сможет отправить вредонос в почтовый ящик получателя в виде файла. Чтобы увеличить шансы на успех, атакующий может зарегистрировать домен, похожий на домен целевой организации. И хотя входящее сообщение в этом случае будет помечено плашкой «Внешний», целевой сотрудник с высокой вероятностью проигнорирует предупреждение, особенно если в ход пойдёт социальная инженерия.

Чтобы проэксплуатировать уязвимости, достаточно использовать обычную технику IDOR для переключения внутреннего и внешнего идентификатора получателя в запросе POST.

Инциденты

Из-за кибератаки на компанию Suncor Energy заправочные станции её дочерней компании Petro-Canada не могут принимать оплату банковскими картами или бонусными баллами.

Suncor Energy является 48-й по величине публичной компанией в мире и одним из крупнейших производителей синтетического сырья в Канаде с годовым доходом в 31 миллиард долларов.

Компания заявляет, что приняла меры по смягчению последствий атаки и проинформировала власти о ситуации. В то же время она ожидает, что на транзакции с клиентами и поставщиками будут оказываться негативные последствия до тех пор, пока инцидент не будет разрешён полностью.

Японская криптовалютная биржа стала жертвой macOS-вредоноса JokerSpy.

Исследователи говорят, что атака привела к установке enumeration-инструмента Swiftbelt. JokerSpy был обнаружен специалистами Bitdefender в июне 2023 года. Тогда эксперты писали о наборе вредоносных артефактов, которые, по их словам, являются частью сложного кроссплатформенного инструментария, в том числе нацеленного на устройства, работающие под управлением macOS.

Как теперь сообщают аналитики Elastic Security Labs, им удалось выявить первые атаки с использованием JokerSpy, от которых пострадал крупный провайдер криптовалютных услуг в Японии, специализирующийся на обмене активов для торговли Bitcoin, Ethereum и другими распространенными криптовалютами. Название компании не разглашается.

Хакеры украли документы, содержащие конфиденциальную личную информацию 45 000 школьников с сервера MOVEit Transfer Министерства здравоохранения Нью-Йорка.

MFT-платформа использовалась Министерством здравоохранения Нью-Йорка для безопасной передачи данных и документов внутри страны и за её пределами различным поставщикам, включая поставщиков услуг специального образования.

Министерство здравоохранения Нью-Йорка обновила серверы, как только разработчик раскрыл информацию об эксплуатируемой уязвимости CVE-2023-34362, однако злоумышленники к тому моменту уже успели похитить все нужные им данные.

После обнаружения взлома уязвимый сервер был отключен, и Министерство обороны Нью-Йорка работало в сотрудничестве с киберкомандованием Нью-Йорка над устранением инцидента.

Европейская больница оказалась случайно заражена вредоносным ПО китайской хак-группы Camaro Dragon через USB-накопители.

Источником заражения сталл сотрудник больницы, участвовавший в конференции в Азии. Он поделился своей презентацией с другими участниками мероприятия, используя USB-накопитель. Компьютер одного из его коллег заражён, и в результате на USB-накопитель жертвы установился вирус. Вернувшись в больницу в Европе, сотрудник подключил зараженный USB-накопитель к компьютерным системам больницы, что привело к распространению заражения.

Онлайн-сервис Battle.net, принадлежащий Blizzard, стал жертвой DDoS-атаки, которая нарушила игровой процесс.

Пострадала не только Diablo IV, но и другие проекты Blizzard (например, World of Warcraft). Спустя приблизительно час компания всё ещё не могла привести в порядок игровой процесс. На ресурсе Battle.net появилось уведомление об атаке с обещаниями решить проблему как можно скорее.

На площадке Reddit появились сообщения, что поиграть не получается уже минимум 10-12 часов. Некоторые советовали переключиться в офлайн-режим. Ближе к восьми часам вечера компания наконец сообщила, что DDoS-атаку удалось остановить. Пользователям рекомендовали попробовать перезайти в игру.

Группа хакеров SiegedSec заявила, что украла около 500 тысяч файлов с сайта городского правительства города Форт-Уэрт в Техасе.

Хакеры опубликовали часть документов в своём Telegram-канале и объяснили свои действия противодействием политике штата по запрещению подтверждения гендерной принадлежности.

Среди похищенных файлов были учётные данные администраторов, рабочие заказы, списки сотрудников, счета, полицейские отчёты, электронные письма между сотрудниками и подрядчиками, внутренние документы, видеозаписи и другие материалы — всего около 180 ГБ.

Кевин Ганн, технологический директор города, подтвердил факт кибератаки. Он сообщил, что с сайта, который используют работники для управления своими техническими задачами, действительно была похищена информация.

Поделиться
Отправить
Запинить
 220   2023   дайджест