Обзор новостей информационной безопасности с 15 по 21 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В рамках новой киберкампании мошенники с помощью анкет самооценки пытаются выудить логины и пароли от корпоративных аккаунтов.

Схема действий преступников

1. Сотрудники получают письмо якобы от HR-отдела компании, в котором из убедительно просят пройти процедуру самооценки.

2. В письме написано, что опрос ОБЯЗАТЕЛЕН для ВСЕХ и сдать его нужно До Конца Дня.

3. В письме содержится ссылка на сайт, где следует заполнить анкету.

4. В анкете требуется указать адрес электронной почты, аутентифицироваться при помощи своего пароля и дополнительно ввести пароль еще раз для подтверждения.

5. Маскировка запроса пароля и е-мейла, который чаще всего является логином, под часть анкеты, которая уже почти заполнена, усыпляет бдительность жертвы.

6. Слово «password» в вопросе написано необычно: две буквы закрыты звездочками. Это делается для обхода автоматических фильтров, настроенных на поиск ключевого слова password.

7. Если отправить заполненную анкету, логины и пароли попадут к хакерам.

BI.ZONE выявила массовые атаки на представителей крупного российского бизнеса и государственных организаций, в основе которых лежат методы социальной инженерии.

Схема кампании

1. Злоумышленники связываются с сотрудниками компаний, используя поддельные аккаунты в Telegram, учётные записи содержат Ф. И. О. и фотографии топ менеджеров.

2. Собеседник представляется генеральным директором организации, в которой работает потенциальная жертва. При этом злоумышленник обращается к сотруднику, используя его имя и отчество, чтобы вызвать доверие.

3. В ходе беседы мошенник предупреждает о скором звонке из Министерства промышленности и торговли России. Он просит никому не сообщать о разговоре, а после него — отчитаться, как все прошло.

4. После этого жертве поступает звонок с неизвестного номера, в процессе которого у неё могут запрашивать различную конфиденциальную информацию и вынуждать совершать финансовые операции в пользу мошенников.

Вредоносная кампания правительственных хакеров из группировки APT36 используют Android-приложения, имитирующие YouTube, для заражения устройств своих целей трояном CapraRAT.

Вот как это происходит:

1. Жертв с помощью социальной инженерии убеждают скачать и установить приложение с подконтрольного хакерам ресурса.

2. При установке малварь запрашивает у пользователя множество опасных разрешений, но к некоторым из них жертва может отнестись без подозрения, ожидая чего-то подобного от YouTube.

3. Интерфейс вредоносных приложений пытается имитировать настоящее приложение YouTube, но больше напоминает браузер, а не собственное приложение Google, поскольку для загрузки сервиса здесь используется WebView. В приложении отсутствуют некоторые функции, доступные в настоящей версии.

4. После запуска CapraRAT на устройстве малварь может выполнять следующие действия:

• вести запись с помощью микрофона, фронтальной и задней камеры;
• собирать содержимое SMS и мультимедийных сообщений, журналов вызовов;
• отправлять SMS-сообщения и блокировать входящие SMS;
• инициировать телефонные звонки;
• делать скриншоты;
• изменять системные настройки, включая настройки GPS и сети;
• изменять файлы в файловой системе устройства.

Инциденты

Международный уголовный суд (МУС) сообщил о кибератаке, в результате которой на прошлой неделе оказались взломаны его системы.

МУС сообщил, что были приняты немедленные меры для реагирования на этот инцидент в области кибербезопасности.

Некоторые СМИ рассказали, что в результате атаки было украдено большое количество конфиденциальных документов. В МУС эту информацию не подтвердили.

В заявлении суда говорится, что он продолжает «анализировать и смягчать последствия этого инцидента» при помощи голландского правительства и усиливает свои меры кибербезопасности.

Один из сотрудников Microsoft случайно выложил в открытый доступ на GitHub 38 ТБ конфиденциальных данных, среди которых были приватные ключи, пароли, а также более 30 000 внутренних сообщений из Microsoft Teams.

В ходе рядового сканирования интернета, направленного на обнаружение неправильно сконфигурированных контейнеров эксперты Wiz обнаружили на GitHub репозиторий, управляемый Microsoft и называвшийся robust-models-transfer. Этот репозиторий принадлежит исследовательскому подразделению Microsoft по искусственному интеллекту, и его цель — предоставление открытых исходных кодов и ИИ-моделей для распознавания изображений.

Оказалось, что еще в 2020 году Microsoft использовала для передачи данных токены Azure SAS (Shared Access Signature), которые позволяют делиться информацией из аккаунтов Azure Storage. Хотя уровень доступа может быть ограничен только конкретными файлами, в этом случае ссылка была настроена неправильно — на общий доступ ко всей учетной записи, включая 38 ТБ личных файлов.

Среди информации, доступной через случайно скомпрометированную учетную запись, оказались резервные копии персональных компьютеров сотрудников Microsoft. В них содержались пароли к сервисам Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft.

Хакерская группа UHG опубликовала в открытом доступе информацию о пользователях российского сайта Форенто, посвященного отдыху и аренде жилья в России.

В утечке содержится 389 тысяч записей, включая личные и технические данные пользователей.

Утечка включает в себя:

• Ф.И.О. пользователей;
• Даты рождения;
• Телефонные номера (325,7 тыс. уникальных номеров);
• Электронные адреса (322,9 тыс. уникальных адресов);
• Данные аккаунтов в социальных сетях, включая ВКонтакте, Яндекс и другие платформы.

По утверждению хакеров, предоставленные данные актуальны на сентябрь 2023 года.

Злоумышленник USDoD утверждает, что ему удалось украсть и обнародовать конфиденциальные данные американского агентства-агрегатора отчётности о потребительских кредитах TransUnion.

Утекшие данные размером более 3 ГБ, содержат персональную информацию примерно 58 505 людей по всему миру, включая Северную и Южную Америку, а также Европу. Сам архив датирован 2 марта 2022 года, что, вероятно, указывает на непосредственную дату нарушения безопасности.

Утечка включает в себя имя, фамилию, пол, паспортные данные, место и дату рождения, семейное положение, возраст, информацию о текущем работодателе, кредитный рейтинг и даже остаток задолженности по кредитам жертв.

Само агентство отрицает факт утечки:

На данный момент мы и наши внутренние и внешние эксперты не обнаружили никаких признаков того, что системы TransUnion были взломаны или что данные были похищены.

Американский телеведущий, инвестор, миллиардер и владелец баскетбольной команды Dallas Mavericks Марк Кьюбан стал жертвой хакерской атаки.

История транзакций на Etherscan показала, что из кошелька были выведены различные активы, включая Tether, StETH и USD Coin, и это все произошло всего за 10 минут.

Изначально эксперты предположили, что Кьюбан просто перераспределяет свои активы между разными кошельками. Однако через несколько часов 65-летний миллиардер подтвердил новость.

В общей сложности хакер украл из горячего кошелька Кьюбана криптовалюту на сумму около 900 000 долларов США. Кьюбан заявил, что не имеет представления о том, как хакеру удалось получить доступ к его кошельку. Миллиардер рассказал, что впервые за несколько месяцев зашел в MetaMask, и, возможно, хакер ждал именно этого момента. Кьюбан предположил, что мог скачать поддельную версию MetaMask и стать жертвой фишинговой атаки.

Британские правоохранители стали жертвой атаки программы-вымогателя, поразившей неназванного стороннего поставщика. Утечка затронула личную информацию ряда сотрудников.

Согласно заявлению полиции Большого Манчестера (Greater Manchester Police, GMP) , неназванная компания, пострадавшая от этой атаки, является поставщиком услуг не только для правоохранительных органов, но и для других организаций по всей Великобритании.

При этом подчеркивается, что взломанные системы не содержали финансовые данные сотрудников полицейского управления, но расследование этой вымогательской атаки и связанной с ней утечки данных является наивысшим приоритетом, а расследование ведется на общенациональном уровне.

Министерство здравоохранения и социальной защиты Колумбии, судебная власть и Надзорное управление промышленности и торговли объявили о серьезных проблемах в своей работе из-за кибератаки на технологического поставщика IFX Networks Colombia.

Представители Министерства здравоохранения сообщили о возникших трудностях после того как IFX Networks уведомила их о проблемах, затрагивающих их дата-центр. «Из-за инцидента в области кибербезопасности невозможно получить доступ к приложениям, используемым для выполнения нашей миссии и предоставления услуг на национальном уровне,» — заявили в министерстве.

На сайте судебной власти появилось сообщение о прекращении работы из-за атаки на IFX. Верховный Суд страны приостановил все слушания с 14 по 20 сентября.

Надзорное управление промышленности и торговли, отвечающее за защиту прав потребителей и регулирование рыночной конкуренции, также подтвердило факт атаки и приостановило некоторые операции до конца недели.

Местные СМИ сообщают о проблемах с технологией в других государственных органах. Однако точное число пострадавших организаций неизвестно.

Хотя ни одна из групп программ-вымогателей публично не взяла на себя ответственность за инцидент, исследователи кибербезопасности с сайта elHacker.net предоставили изображения, указывающие на возможное участие группы RansomHouse в атаке на IFX Networks.

Компания ORBCOMM, специализирующаяся на решениях для управления автопарками и отслеживания грузоперевозок, подтвердила, что причиной недавних сбоев в работе сервисов является атака программы-вымогателя.

С 6 сентября клиенты ORBCOMM начали сообщать о невозможности отслеживать перемещение своих грузовых автомобилей и использовать устройства для электронного учёта рабочего времени Blue Tree ELD, что вынудило водителей грузовиков переключиться на бумажные журналы.

Вскоре после атаки вице-президент по корпоративным коммуникациям ORBCOMM сообщила: «6 сентября 2023 года ORBCOMM пережила атаку программы-вымогателя, которая временно затронула платформу FleetManager и продуктовую линейку BT».

В ответ на этот инцидент, Федеральное управление по безопасности автомобильных перевозок США (FMCSA) выдало временное разрешение на использования бумажных журналов до восстановления сервиса, но не позднее 29 сентября, когда ORBCOMM и планирует закончить восстановление своих систем.

По данным FMCSA, «водители, использующие идентифицированные ELD-устройства, могут продолжать записывать свои часы работы на бумажных графиках или в программе учёта, пока ORBCOMM не сообщит FMCSA о восстановлении работы неисправных устройств Blue Tree ELD».

Пока неизвестно, какая вымогательская группировка стоит за атакой.