Обзор новостей информационной безопасности с 15 по 21 марта 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая кампания PhantomBlu, внедряет троянскую программу для удалённого доступа NetSupport RAT в компьютеры американских организаций.

Схема кампании

1. Атака начинается с фишингового письма от имени «бухгалтерской службы». Используя социальную инженерию, злоумышленники убеждают получателей просмотреть «ежемесячный отчет о заработной плате» в прикрепленном файле MS Word (.docx).

2. В тексте письма содержатся подробные инструкции по доступу к защищенному паролем «отчету».

3. При открытии вложения требуется ввести пароль.

4. Далее требуется разрешить редактирование документа и дважды кликнуть по иконке принтера для просмотра графика зарплаты.

5. Нажатие по принтеру запускает ZIP-архив с вредоносным ярлыком внутри.

6. Запуск этого ярлыка приводит к скачиванию и выполнению NetSupport RAT на целевой машине.

Атаки и уязвимости

Новый метод акустической атаки позволяет распознать ввод пользователя с клавиатуры по уникальным звуковым сигналам клавиш и паттернам набора текста.

Атака использует характерные звуковые колебания при различных нажатиях клавиш и конкретном типе набора текста, зафиксированном специализированным программным обеспечением.

Точность метода составляет всего 43%. И хотя это ниже, чем у других подобных методов, его применение не требует контролируемых условий записи. Достаточно лишь получить образцы печати от цели, чтобы связать конкретные звуки клавиш с текстом.

Звукозапись может производиться как с помощью отдельных скрытых микрофонов, так и через заражённые смартфоны или ноутбуки. Собранные данные позволяют обучить статистическую модель, создающую профиль индивидуального стиля печати пользователя, основываясь на интервалах времени между нажатиями клавиш.

Методика учитывает даже небольшие отклонения в поведении при наборе текста, что позволяет снизить влияние ошибок или шума при записи. Точность распознавания набранного можно повысить с помощью словаря для фильтрации предположений. Атака показала высокую эффективность в шумном окружении, с разными моделями клавиатур, с микрофонами низкого качества и при любом стиля печати жертвы.

Новая атака ArtPrompt использует ASCII-рисунки, чтобы заставить большие языковые модели, подобные GPT-4, забыть о запретах по выдаче опасных инструкций, например, по созданию взрывчатки.

Инструкция по изготовлению и распространению фальшивых денег, полученная от GPT в результате успешной атаки ArtPrompt.

Атака преобразует введенные пользователем запросы (промпты) в стандартные утверждения или предложения, в которых одно слово, называемое «маской», будет заменено ASCII-артом, а не буквами. В результате на промпты, которые в обычных условиях были бы отклонены, можно получить ответ.

Инциденты

Группировка Anonymous объявила о взломе компьютерной сети Центра ядерных исследований имени Шимона Переса в Израиле. Атака была представлена как акт протеста против войны в Газе.

Хакеры утверждают, что им удалось добыть и опубликовать тысячи документов, включая PDF-файлы, электронные письма и презентации PowerPoint, связанные с ядерной программой Израиля.

Группировка подчеркнула, что её действия носят антивоенный характер и не предполагают нанесение вреда гражданскому населению. Однако в одном из более ранних сообщений группы содержалось предупреждение о потенциальной опасности операции, сопровождаемое анимационным видеороликом, изображающим ядерный взрыв.

Пока нет официального подтверждения факта проникновения в инфраструктуру секретного объекта и кражи документов.

Российский регистратор доменов и хостинг-провайдер Рег.ру подвергся атаке хакеров группировки UHG, которые попытались проникнуть на один из серверов виртуального хостинга.

Атака произошла 18 марта. Злоумышленники использовали уязвимость программного обеспечения на сайте одного из клиентов Рег.ру и смогли дойти до подключения к серверу баз данных пострадавшего сервера. В этот момент их обнаружили и заблокировали.

Администрация хостинга сообщила, что нельзя говорить ни о каком хоть сколько-нибудь значительном повреждении баз Рег.ру или об угрозе для корпоративных клиентов. Специалисты компании уже закрыли возможности для эксплуатации использованной уязвимости, а также заменили учётные данные, попавшие в утечке.

Компания Electronic Arts была вынуждена отложить финалы турнира Apex Legends Global Series (ALGS) в Северной Америке после того как хакеры взломали профессиональных игроков прямо в ходе турнирного матча.

Участникам турнира подключили wallhack (возможность видеть сквозь стены) и aimbot (автоприцеливание и отсутствие отдачи и разброса во время стрельбы).

Во время матча между командами DarkZero и Luminosity в игровом клиенте одного из игроков DarkZero внезапно появился и заработал чит-инструмент TSM HALAL HOOK. Пострадавший получил возможность видеть позиции всех остальных участников игры на карте, и был вынужден покинуть матч, а в его команде стало на одного человека меньше.

Вместо того чтобы аннулировать результаты игры, EA просто объявила команду Luminosity победителем и перешла к следующему матчу.

Однако хакеры продолжили атаку, и на этот раз активировали aimbot игроку из команды TSM. ImperialHal оставался на сервере (решив, что он просто не будет стрелять) до тех пор, пока организаторы не вмешались и не остановили матч. После игра заблокировала его, обнаружив работающее читерское ПО. Его товарищ по команде тоже получил бан.

Предполагается, что атаку провели хакеры под никами Destroyer2009 и R4ndom, ники которых можно было заметить в окне чата Genburten в момент взлома.

Вскоре после этого происшествия официальный аккаунт Apex Legends Esports в социальной сети X объявил, что североамериканские финалы будут отложены, пока организаторы не обезопасят соревнования от внешнего вмешательства.

Позже человек, назвавшийся Destroyer2009, сообщил пользователю X AntiCheatPD, который собирает информацию о читах в видеоиграх, что он использовал некую RCE-уязвимость для взлома клиентов игроков ALGS.

EA отрицает наличие RCE-уязвимостей в своём ПО.

Кибератака нарушила работу телефонной сети в муниципальных службах города Пенсаколы во Флориде. Проблемы со связью затронули все городские департаменты.

Из-за инцидента возникли перебои в работе неотложных служб, однако экстренные номера, такие как 911, по-прежнему функционируют. Для различных ведомств, включая энергетику, санитарию, инженерные службы и жилищное хозяйство, были открыты временные альтернативные линии.

По сообщению администрации, международный аэропорт Пенсаколы и морской порт работают в штатном режиме.

Официальные представители отказались сообщить, имела ли атака вымогательский характер, заявили ли о себе злоумышленники и выплачивался ли выкуп.

Компания Fujitsu обнаружила, что несколько ее систем были заражены вредоносным ПО, и неизвестные хакеры похитили данные клиентов.

Сообщение на сайте компании гласит:

«Мы обнаружили присутствие вредоносного ПО на нескольких наших рабочих компьютерах, и в результате внутреннего расследования выяснилось, что файлы, содержащие персональные данные и информацию, связанную с нашими клиентами, могли быть незаконно изъяты. Убедившись в наличии вредоносного ПО, мы оперативно изолировали пострадавшие рабочие станции и приняли меры, в частности, усилили мониторинг других рабочих станций».

Fujitsu заявляет, что продолжит расследование и разберётся, как малварь проникла в ее бизнес-системы, и какие данные успели похитить ее операторы.

Пока компания не раскрывает подробностей случившегося, но можно предположить, что речь идет об атаке шифровальщика.

Телеграм-канал «Утечки информации» сообщает, что в свободный доступ были выложены дампы зарегистрированных пользователей и их заказов предположительно из базы данных интернет-магазина профессиональной косметики для волос profmagazin.

Данные датируются 17.03.2024 и содержат:

• имя/фамилия;
• адрес эл. почты (138558 уникальных адресов);
• телефон (85,022 уникальных номеров);
• адрес;
• хешированный (MD5 с солью) пароль;
• сумма заказа.

Агентство по трудоустройству France Travail, ранее известное как Pole Emploi, стало жертвой кибератаки, в результате которой произошла утечка данных более 43 млн граждан.

Преступники похитили личные данные зарегистрированных пользователей, включая их имена, номера социального страхования, даты рождения, адреса электронной почты, почтовые адреса, номера телефонов и идентификаторы пользователей. Утечка данных могла затронуть как текущих, так и прошлых соискателей за последние 20 лет.

Предварительные результаты этого расследования показали, что злоумышленники получили несанкционированный доступ к системам агентства 6 февраля, выдав себя за одного из сотрудников.

Хотя агентство подчёркивает, что банковские сведения и пароли от аккаунтов не были похищены, злоумышленники могут использовать доступные данные для получения недостающей информации из других источников.

Сообщество по кибербезопасности Франции выразило критику в адрес France Travail за недостатки в обеспечении безопасности, особенно учитывая, что агентство хранило данные пользователей за 20 лет с доступом из сети, а также затянуло с уведомлением соответствующих органов о взломе.

Международный валютный фонд (МВФ) сообщил о взломе 11 email-аккаунтов МВФ ведомства неизвестными злоумышленники.

МВФ обнаружил инцидент в феврале и сейчас проводит расследование, чтобы оценить последствия атаки. Пока не обнаружено никаких доказательств того, что злоумышленники получили доступ к другим системам или ресурсам помимо взломанных учетных записей электронной почты.

В сообщении МВФ говорится:

«Недавно Международный валютный фонд столкнулся с киберинцидентом, который был обнаружен 16 февраля 2024 года. Последующее расследование, проведенное с помощью независимых экспертов по кибербезопасности, определило характер взлома, и были приняты меры по устранению последствий. В ходе расследования было установлено, что одиннадцать учетных записей электронной почты МВФ были взломаны. Затронутые учетные записи были заново защищены. На данный момент не выявлено никаких признаков дальнейшей компрометации этих учетных записей. Расследование инцидента продолжается».

Хотя МВФ не предоставил никаких других подробностей об этой атаке «по соображениям безопасности», в беседе с журналистами издания Bleeping Computer представители организации подтвердили, что МВФ использует облачную email-платформу Microsoft 365, которая совсем недавно была взломана хакерами группировки Midnight Blizzard.