Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Дайджест Start X № 371

Обзор новостей информационной безопасности с 17 по 23 мая 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Банковский троян Grandoreiro для Windows вновь в строю, несмотря на громкие заявления правоохранителей в марте 2024 года о ликвидации его инфраструктуры.

Схема кампании

  1. Атаки начинаются с фишинговых писем, инструктирующих получателей кликнуть по ссылке для просмотра счета или оплаты в зависимости от используемой приманки и имитируемого правительственного учреждения.

  1. Жертвы, кликнувшие по ссылке, перенаправляются на изображение PDF-иконки, которое приводит к загрузке ZIP-архива с исполняемым файлом-загрузчиком Grandoreiro.

  1. Этот специальный загрузчик искусственно раздут до более чем 100 МБ, чтобы обойти сканирование антивирусным ПО. Он также проверяет, не находится ли скомпрометированный хост в песочнице, собирает базовые данные жертвы на сервер контроля и управления (C2) и запускает основной троян.
  1. Этот этап проверки пропускает системы, расположенные в России, Чехии, Польше, Нидерландах, а также машины под Windows 7 из США без установленного антивируса.
  1. Основной компонент трояна начинает работу, устанавливая постоянное присутствие через реестр Windows, после чего использует переработанный алгоритм генерации доменов для подключения к C2-серверу и получения дальнейших инструкций.
  1. Grandoreiro поддерживает различные команды, позволяющие злоумышленникам удаленно управлять системой, выполнять файловые операции и активировать специальные режимы, включая новый модуль для сбора данных Microsoft Outlook и злоупотребления учетной записью электронной почты жертвы для рассылки спама другим целям.
  1. Для взаимодействия с локальным клиентом Outlook Grandoreiro использует инструмент Outlook Security Manager, программное обеспечение для разработки надстроек Outlook. Главная причина в том, что Outlook Object Model Guard выдает предупреждения безопасности при обнаружении доступа к защищенным объектам.
  1. Используя локальный клиент Outlook для рассылки спама, Grandoreiro может распространяться через зараженные входящие жертв по электронной почте, что способствует большому объему спама, наблюдаемому от Grandoreiro.

В новой киберкампании CLOUD#REVERSER злоумышленники используют Google Drive и Dropbox для размещения вредоносных файлов.

Схема кампании

  1. Атака начинается с фишингового письма, которое содержит ZIP-архив с исполняемым файлом, маскирующимся под Microsoft Excel.
  1. Этот файл использует иконку с логотипом Excel, в имени файла также применён скрытый символ Unicode (U+202E), который переворачивает порядок следующих символов в строке, обманывая пользователя и заставляя его думать, что он открывает файл Excel. Так, рассмотренный в рамках кампании исполняемый файл «RFQ-101432620247fl[U+202E]xslx.exe» отображался в системе жертвы под видом «RFQ-101432620247flexe.xlsx».
  1. В ходе атаки исполняемый файл запускает восемь вредоносных нагрузок, включая поддельный Excel-файл и сильно обфусцированный скрипт на Visual Basic, который открывает файл Excel и запускает два других скрипта.
  1. Оба скрипта закрепляются на компьютере жертвы, используя задачу в планировщике Windows, замаскированную под обновление браузера Google Chrome. Эти задачи запускают уникальные VB-скрипты каждые 60 секунд.
  1. Каждый из этих скриптов запускает по два PowerShell-скрипта, которые подключаются к управляемым злоумышленниками аккаунтам Dropbox и Google Drive для загрузки дополнительных скриптов.
  1. Эти скрипты запускают загруженные PowerShell-скрипты и скачивают дополнительные файлы из облачных сервисов, включая исполняемые файлы в зависимости от настроек системы.
  1. Последний PowerShell-скрипт загружает файлы с Google Drive на локальную систему в директорию ProgramData, выполняя их в зависимости от критериев, установленных злоумышленниками.

Перечисленные действия позволяют злоумышленникам оставаться незамеченными, благодаря встраиванию вредоносных скриптов в обычные облачные платформы.

Инциденты

Телеграм-канал «Утечки информации» сообщает о взломе и сливе базы данных покупателей и заказов интернет-магазина запчастей для бытовой техники mixzip.ru.

В дампе содержится:

  • ФИО;
  • адрес эл. почты (271 тыс. уникальных адресов);
  • телефон (266 тыс. уникальных номеров);
  • пароль в текстовом виде, закодированный Base64;
  • дата рождения (не для всех);
  • адрес доставки;
  • стоимость и состав заказа.

Данные в утечке актуальны на 08.05.2024.

На компьютерах для регистрации гостей нескольких отелей сети Wyndham в США обнаружено шпионское ПО, собирающее и публикующее скриншоты с личной информацией клиентов.

Программа под названием «pcTattletale» непрерывно производила скриншоты внутреннего программного обеспечения для работы отелей, на которых видны все детали бронирований и данные клиентов. Из-за уязвимости в данном шпионском ПО, все эти скриншоты доступны в открытом доступе из Интернета.

pcTattletale позволяет удалённо просматривать устройства под управлением Android или Windows и работает скрытно, не уведомляя владельца устройства. Однако, благодаря уязвимости, скриншоты можно скачать напрямую с серверов pcTattletale.

Скриншоты из двух отелей Wyndham, предоставленные журналистам, содержат имена гостей, детали бронирования и частичные номера платёжных карт. Другой скриншот демонстрирует доступ к системе управления бронированиями сервиса «Booking.com».

Пока не удалось установить, кто установил приложение. Это могли сделать как удалённые злоумышленники, так и действующие сотрудники, или даже владельцы отелей.

Gala Games, одна из ведущих игровых платформ на блокчейне, стала жертвой масштабного взлома. Хакеры реализовали 600 млн внутренних монет платформы GALA на сумму около 5913 эфиров (свыше 22 млн долларов США).

Взломщики также самовольно создали 4,4 млрд дополнительных монет GALA, но оперативные действия команды безопасности Gala Games позволили вовремя заблокировать учетную запись злоумышленников и аннулировать счет.

Удар такого масштаба стал возможен из-за нарушения внутренних процедур безопасности, которое сделало возможным проникновение взломщиков в административную систему.

По факту инцидента Gala Games уже обратилась в правоохранительные органы, включая ФБР, Министерство юстиции США, а также подключила «сеть международных властей». Личность предполагаемого злоумышленника уже установлена.

Компания OmniVision, известный производитель сенсоров изображений, объявила о нарушении безопасности данных после атаки вымогателей Cactus.

На прошлой неделе OmniVision уведомила власти Калифорнии о нарушении безопасности, произошедшем с 4 по 30 сентября 2023 года, когда системы компании были зашифрованы вымогательским ПО.

Проверка установила, что неавторизованное лицо получило доступ к некоторой личной информации в системах компании в период с 4 по 30 сентября 2023 года.
Расследование инцидента завершилось лишь 3 апреля 2024 года. Выяснилось, что злоумышленники похитили конфиденциальные данные компании. Уакие именно данные были украдены, в уведомлении не уточняется, также неизвестно количество пострадавших лиц.

Если судить по данным хакеров из группы Cactus, опубликовавших уведомление о взломе 17 октября 2023 года, были похищены следующие данные:

  • сканированные копии паспортов сотрудников;
  • соглашения о неразглашении данных (NDA);
  • партнёрские контракты;
  • прочие конфиденциальные документы.

В итоге злоумышленники выложили все похищенные данные в ZIP-архиве для бесплатного скачивания. На текущий момент упоминания OmniVision были удалены со страницы вымогателей Cactus в даркнете.

Американская радиорелейная лига (The American Radio Relay League, ARRL) стала жертвой кибератаки, которая нарушила работу ее IT-систем и онлайн-служб, включая электронную почту и работу Logbook of the World.

Logbook of The World (LoTW, «Всемирный аппаратный журнал») представляет собой онлайновую базу данных, которая позволяет радиолюбителям предоставлять электронные журналы успешных сеансов связи (QSO) и подтверждений (QSL) между пользователями по всему миру. Подтверждения из LoTW могут использоваться для получения дипломов (например, DXCC, WAS и WPX).

Представители ARRL заверили, что готовы развеять опасения членов организации по поводу безопасности их данных и подтвердили, что организация не хранит информацию о банковских картах и не собирает номера социального страхования.

 104   7 мес   дайджест   фишинг

Дайджест Start X № 370

Обзор новостей информационной безопасности с 26 апреля по 16 мая 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты из центра мониторинга внешних цифровых угроз Solar AURA, обнаружили киберкампанию с раздачей бесплатных денег от государства.

Схема мошенничества

  1. Исходная ссылка отправлялась жертвам в рамках спам-кампаний, нацеленных на пользователей мобильных устройств.

  1. Жертву заманивают на фишинговый сайт gos-uslugi[.]biz, где предлагают «оформить заявку» на получение крупного денежного пособия. Для начала процедуры нужно нажать соответствующую кнопку.

  1. После этого мошенники перенаправляют пользователей на другую страничку, где в рамках оформления заявки предлагают ввести свои фамилию, имя, отчество, телефон и номер банковской карты.

  1. Далее пользователь перенаправляется на новую страницу. С неё предлагается скачать “сертификат безопасности”, который на деле является вредоносным Android-приложением.

Мошенники запустили новую масштабную схему, связанную с организацией фейковых фотосессий.

Схема кампании

  1. Злоумышленники под видом начинающего фотографа связываются с моделями в соцсетях и предлагают свои услуги на условиях TFP (Time for Photo — «Время за фото»). От девушки требуется только оплата аренды студии.
  1. Лжефотографы скидывают потенциальным жертвам ссылки на мошеннические сайты «проверенных фотостудий» с профессиональным оборудованием и реквизитом.
  1. На мошеннических сайтах девушкам предлагают забронировать понравившуюся локацию, выбрать реквизит, удобное время и дату съемки. Затем им сразу предлагают оплатить аренду, которая стоит от 1800 до 3000 рублей, и дополнительно — услуги стилиста и реквизит.
  1. После этого жертва попадает на другой домен, якобы относящийся к платежному сервису, или же ей предлагают сделать перевод по реквизитам банковской карты.
  1. После указания данных карты жертве приходит SMS с подтверждением и одноразовым кодом, который она вводит на мошенническом сайте.
  1. Все реквизиты отправляются злоумышленникам, которые выводят деньги на свои карты. Иногда жертва оплачивает «аренду», переводя деньги прямо на карту лжефотографу.
  1. В некоторых случаях накануне «забронированной» фотосессии жертве сообщают об отмене брони по техническим причинам и присылают ссылку на страницу для возврата средств, где есть уже привычные поля для ввода данных карты.
  1. Если жертва сообщает данные, у неё повторно списывают сумму за «аренду».

Киберполиция России предупреждает о мошеннической схеме, в рамках которой злоумышленники во время телефонного звонка представляются сотрудниками Социального фонда и сообщают доверчивым россиянам о неком обнаруженном неучтённом стаже.

Как действуют мошенники

  1. Звонки поступают преимущественно лицам пенсионного возраста.
  1. В процессе разговора аферисты сообщают потенциальной жертве о неучтенном стаже, выявленном в ходе некой проверки, и предлагают оформить официальное заявление на перерасчёт пенсии в сторону её увеличения.
  1. В случае согласия с такой процедурой злоумышленники предлагают подать заявление в телефонном режиме. Для идентификации просят продиктовать поступивший код из SMS-сообщения.
  1. Если продиктовать данный код, то мошенники получат доступ либо к порталу «Госуслуги» либо к мобильному банку, что приведет к компрометации учётной записи на «Госуслугах» или к попытке перевода аферистами денежных средств с банковского счёта жертвы.

Мошенники атакуют финнов, рассылая SMS-сообщения на финском языке, от имени банков и платёжных систем.

Схема действий мошенников

  1. В SMS жертвам предлагают установить приложение McAfee для защиты своих финансов.

  1. В отправленных сообщениях обычно содержится ссылка на загрузку приложения в формате «.apk», размещённого за пределами официального магазина приложений Android.
  1. На самом деле это приложение является мошенническим и даёт злоумышленникам доступ к банковским аккаунтам.
  1. Вредоносное ПО позволяет его операторам переводить деньги с банковских счетов жертв.

Атака направлена исключительно на пользователей Android. По данным аналитиков Fox-IT, эксплуатация доверия пользователей к бренду McAfee может быть связана с уже известной кампанией по распространению трояна Vultur, который теперь использует смешанный метод СМС-фишинга и телефонных звонков для убеждения жертв установить вредонос.

Умные устройства

Опасная ошибка в приложении для управления инсулиновыми помпами привела к массовому отзыву устройств компании Tandem Diabetes Care. Более 224 диабетиков пострадали из-за неполадок в iOS-приложении t:connect, приводящих к нежелательному отключению инсулиновых насосов t:slim X2.

Проблема заключается в версии 2.7 приложения, которая из-за программного сбоя приводит к частым перезапускам, что вызывает излишнюю активность по Bluetooth и, как следствие, быструю разрядку батареи устройства. В результате насос может отключиться гораздо раньше ожидаемого срока, хотя устройство и предупреждает пользователей заранее с помощью сигнала тревоги и сообщения о низком заряде батареи.

В связи с потенциальной опасностью, возникающей при отключении насоса, такая ситуация может привести к недостаточной подаче инсулина и, как следствие, к гипергликемии. В тяжелых случаях это может вызвать диабетический кетоацидоз, требующий госпитализации или медицинского вмешательства.

Пока смертельных случаев, связанных с дефектом приложения, не зарегистрировано.

Инциденты

Хакеры проникли в производственные системы платформы Dropbox Sign eSignature и получили доступ к токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах.

Dropbox Sign (ранее HelloSign) — это платформа электронной подписи, позволяющая клиентам хранить, отправлять и подписывать документы онлайн, причем подписями, имеющими юридическую силу.

Злоумышленники неустановленным способом получили доступ к автоматизированному инструменту для настройки системы Dropbox Sign, который является частью бэкэнд-сервисов платформы. С помощью этого инструмента хакеры смогли запускать приложения и автоматизированные сервисы с повышенными привилегиями, что позволило им добраться до базы данных клиентов.

В ходе расследования обнаружили, что злоумышленники получили доступ к данным, в том числе информации о клиентах Dropbox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли, а также общие настройки аккаунтов и некоторые аутентификационные данные (ключи API, токены OAuth и МФА).

Люди, которые пользовались платформой Dropbox Sign eSignature, но не создавали аккаунт, тоже пострадали. Злоумышленники получили доступ к их адресам электронной почты и именам.

Бывший консультант по кибербезопасности арестован за попытку вымогательства у известной IT-компании в обмен на неразглашение конфиденциальной информации.

Винсента Каннади привлекли для оценки и устранения уязвимостей в международной IT-компании с офисом в Нью-Йорке. Во время работы Каннади использовал служебный ноутбук для скачивания в личное облачное хранилище проприетарной информации компании, включая информацию об архитектуре сети, коммерческие тайны и списки потенциальных уязвимостей.

После того, как в июне 2023 года Каннади уволили по причине низкой производительности, он стал угрожал раскрыть украденную информацию, если компания не выплатит ему 1,5 млн долларов США как компенсацию за «дискриминацию на рабочем месте». После начала расследования обстоятельств кражи данных, Каннади усилил свои требования, заблокировал доступ кадровой компании к ноутбуку и начал длительный процесс вымогательства, включая угрозы юридической ответственности по поводу эмоционального вреда и других претензий.

Телеграм-канал «Утечки информации» сообщает, что в открытый доступ попал достаточно крупный фрагмент базы платежных транзакций сервисов доставки готовой еды levelkitchen.com, m-food.ru и p-food.ru, входящих в холдинг Performance Group.

Фрагмент содержит 63870 строк и содержит:

  • имя и фамилию;
  • адрес эл. почты;
  • телефон;
  • частичный номер банковской карты, срок ее действия, тип и банк-эмитент;
  • дату и время транзакции;
  • номер и сумму заказа;
  • назначение платежа;
  • страну и город;
  • IP-адрес.

О взломе стало известно 20.04.2024, когда в открытый доступ были выложены отдельные файлы (базы данных MS SQL, таблицы MS Excel, файлы 1С), имеющие отношение к бухгалтерии и финансам. Персональные и платёжные данные клиентов сервисов доставки тогда в свободный доступ не попали.

Позднее, 25.04.2024 на одном из теневых форумов появилось объявление о продаже уже информации клиентов, содержащейся в двух текстовых файлах: платежные транзакции и чеки.

В полную версию «слива» попало 500 тыс. уникальных телефонных номеров и 430 тыс. уникальных адресов эл. почты.

Данные в файлах датируются 25.04.2024 и это говорит о том, что хакеры, даже после опубликования информации о взломе, продолжили иметь доступ к ИТ-системе.

В одной из крупнейших медицинских организаций США, Kaiser Permanente, произошёл киберинцидент, в результате которого были скомпрометированы личные данные приблизительно 13,4 миллиона пользователей.

Инцидент безопасности связан с несанкционированным доступом к системам City of Hope, ключевого поставщика услуг для Kaiser Permanente. 12 октября 2023 года в системах City of Hope были обнаружены подозрительные действия, позже подтвердившиеся как кибератака.

Несанкционированное вторжение позволило злоумышленникам получить доступ и скопировать файлы с чувствительной информацией миллионов людей, включая их имена, контактные данные, номера социального страхования, медицинские записи и прочие данные.

Из-за киберинцидента канадская аптечная сеть London Drugs закрыла все свои розничные магазины.

Компания экстренно приняла ряд мер по защите и обратилась к специалистам по кибербезопасности для помощи в локализации угрозы и проведении всестороннего расследования.

На данный момент нет доказательств того, что данные клиентов или сотрудников были затронуты в результате атаки. В компании заверили, что в случае выявления утечки личных данных, они незамедлительно уведомят пострадавших и соответствующие органы в соответствии с законами о конфиденциальности.

Аптечная сеть призывает клиентов, нуждающихся в срочных фармацевтических услугах, обращаться в другие ближайшие аптеки для решения своих вопросов.

Неизвестный хакер выставил на продажу эксплойт, который позволяет получать информацию о покупках клиентов более 100 популярных компаний, среди которых Apple, HP, Huawei, Samsung, Lenovo и Dell.

Данные включают:

  • адреса выставления счетов и доставки;
  • серийные номера;
  • названия компаний;
  • номера счетов;
  • номера телефонов;
  • номера отслеживания.

По словам злоумышленника, специально созданный бот ежедневно скачивает данные о 500-5000 заказах, сделанных в течение последних 12 часов. В продаваемый пакет входят сами скачанные данные, используемый для взлома эксплойт и код Python-бота. Хакер заявил, что ранее не занимался продажей подобных данных и установил начальную цену в 14500 долларов США, оставив возможность для торга.

Ещё за 3000 долларов США киберпреступник предлагает продемонстрировать уязвимость, которую использует для загрузки информации о заказах.

В открытый доступ попала информация из базы данных предположительно туристического портала azur.ru.

Среди прочего, в дампе содержатся данные онлайн-бронирования отелей и курортов Краснодарского края, Крыма и Абхазии:

  • имя и фамилия;
  • адрес эл. почты (428 тыс. уникальных адресов);
  • телефон (248 тыс. уникальных номеров);
  • город;
  • информация о бронировании (дата заезда/выезда, количество человек, тип номера, стоимость и т. п.);
  • IP-адрес.

Информация актуальна на 10.04.2024.

Глава крупнейшей в мире рекламной группы WPP Марк Рид стал жертвой сложного мошенничества с использованием технологии дипфейк, включая клонирование голоса с помощью искусственного интеллекта.

Мошенники создали аккаунт в WhatsApp, используя общедоступное изображение Рида, и организовали встречу в Microsoft Teams, которая казалась настоящей благодаря участию Рида и другого высокопоставленного сотрудника WPP. Во время встречи они использовали клонированный голос исполнительного директора и видеоматериалы с YouTube. Сам Рид был изображён в чате встречи. Хотя мошенничество не увенчалось успехом, целью был «руководитель агентства», которого попытались убедить открыть новый бизнес для вымогательства денег и персональных данных.

Благодаря бдительности сотрудников, включая пострадавшего руководителя, инцидент был предотвращен. Компания не сообщила, когда именно произошла атака и кто ещё из руководителей был вовлечён.

Dell предупредила клиентов об утечке данных 49 млн человек.

На прошлой неделе компания начала рассылать пользователям сообщения, в которых предупреждала, что портал Dell, содержащий информацию о покупках клиентов, был взломан.

Dell заявляет, что злоумышленники получили доступ к следующей информации:

  • имя;
  • физический адрес;
  • информация об аппаратном обеспечении Dell и заказах, включая сервисную метку, описание товара, дату заказа и информацию о гарантии.

В компании подчеркнули, что похищенная информация не содержит финансовых и платежных данных, адресов электронной почты или номеров телефонов. Dell заявила, что уже работает с правоохранительными органами сторонними ИБ-криминалистами над расследованием инцидента.

Информация об утечке данных пользователей Dell впервые появилась на хакерском форуме Breach Forums 28 апреля 2024 года, когда хакер под ником Menelik попытался продать соответствующую БД. Злоумышленник писал, что похитил у производителя информацию «о 49 миллионах клиентов и системах, приобретенных у Dell в период с 2017 по 2024 год». Вскоре модераторы Breach Forums удалили это сообщение, что может означать, что сделка состоялась.

Хакер рассказал журналистам, что соскрапил эти данные, проникнув на портал для партнеров, реселлеров и розничных продавцов Dell, API которого можно было использовать для поиска информации о заказах.

Мошенническая сеть BogusBazaar за три года оформила более миллиона заказов на фиктивных интернет-площадках, на общую сумму более 50 млн долларов США.

Фейковые магазины, используя просроченные домены с хорошей репутацией в Google, привлекали жертв под видом выгодных предложений на обувь и одежду, но в итоге похищали данные платёжных карт.

Более 850 000 покупателей из Западной Европы, Австралии и США, уже пострадали от этой схемы, а в Китае, где предположительно находится основная база мошенников, жертв практически нет. Сеть включает в себя более 75 000 доменов, из которых около 22 500 были активны по состоянию на апрель 2024 года.

Мошенники использовали два основных метода преступления: сбор данных кредитных карт на поддельных страницах оплаты и продажа несуществующего или контрафактного товара через фейковые платёжные системы, имитирующие PayPal и Stripe.

Клиенты, сделавшие покупку через фальшивый сервис, не получали ничего или, в лучшем случае, контрафактные товары. Мошенники использовали поддельные платёжные страницы, которые при необходимости можно было быстро заменять на новые.

Хакер, известный под псевдонимом IntelBroker, заявил, что ему удалось проникнуть в системы одной из ведущих мировых компаний в области кибербезопасности с годовым доходом в 1,8 млрд долларов США.

IntelBroker разместил объявление на известном форуме киберпреступников BreachForums, предлагая продажу доступа к чувствительным данным и системам пострадавшей компании за 20 тысяч долларов в криптовалюте Monero (XMR). При этом само название пострадавшей компании хакером раскрыто не было, видимо, чтобы она не успела принять защитные меры до продажи данных.

Среди украденной информации SSL-ключи, доступ к почтовому серверу и логи, содержащие учётные данные.

Хакер заявил, что предоставит дополнительные сведения только после связи с потенциальными покупателями и согласился использовать услуги посредника или эскроу-сервиса для сделки. IntelBroker требует от покупателей подтверждения наличия средств и ограничивает продажу только для членов форума с высокой репутацией.

Ещё одной жертвой хакера IntelBrocker стал Европол. В результате атаки пострадал портал Europol Platform for Experts (EPE) и были украдены документы под грифом «Только для служебного пользования» (For Official Use Only, FOUO), содержащих секретные данные.

Представители Европола подчеркнули, что инцидент затронул только EPE, а «никакая оперативная информация в EPE не обрабатывается, основные системы Европола не были затронуты, и никакие оперативные данные не были скомпрометированы».

В настоящее время портал EPE отключен, и сообщение на сайте гласит, что сервис недоступен из-за технического обслуживания.

IntelBroker уже выставил на продажу сведения о сотрудниках Европола, исходные коды, PDF-файлы, документы разведки и инструкции.

Также хакер заявил, что получил доступ к EC3 SPACE (Secure Platform for Accredited Cybercrime Experts), одному из сообществ на портале EPE, где размещены сотни материалов, связанных с киберпреступностью, которыми пользуются более 6000 экспертов со всего мира, включая:

  • правоохранительные органы и уполномоченные органы государств-членов ЕС и стран, не входящих в ЕС;
  • судебные органы, образовательные учреждения, частные компании, неправительственные и международные организации;
  • сотрудников Европола.

IntelBroker утверждает, что скомпрометировал и платформу SIRIUS, используемую судебными и правоохранительными органами из 47 стран мира (включая страны ЕС, Великобританию, страны, имеющие соглашение о сотрудничестве с Евроюстом, а также Европейскую прокуратуру). Платформа используется для доступа к международным цифровым уликам в контексте разных уголовных расследований и разбирательств.

Хакер опубликовал скриншоты пользовательского интерфейса EPE, а также слил небольшой образец БД EC3 SPACE, содержащий 9128 записей. В дамп вошла личная информация сотрудников правоохранительных органов и ИБ-специалистов, имеющих доступ к EC3 SPACE.

В результате утечки данных из системы расчета зарплат третьей стороны были раскрыты имена, банковские реквизиты и, в некоторых случаях, адреса 272 000 военнослужащих и ветеранов вооруженных сил Великобритании.

Военные заявляют, что пока нет прямых доказательств причастности какого-либо государства, но этого нельзя исключать. Они не подтвердили сообщения СМИ о том, что за кибератакой могут стоять китайские хакеры. По соображениям национальной безопасности дополнительные подробности не могут быть раскрыты.

Утечка затронула данные клиентов службы SSCL — крупнейшего поставщика критически важных вспомогательных услуг для правительства. Помимо Минобороны, в число ее клиентов входят Министерство внутренних дел, Кабинет министров и Министерство юстиции.

Исследователи Cybernews обнаружили огромный набор данных, содержащий личную информацию более 1,2 млрд граждан Китая.

Первая запись в этот архив была добавлена 29 апреля, а всего за неделю количество данных увеличилось до 1 230 703 487 записей. Утечка занимает около 100 гигабайт и содержит в основном номера телефонов, но встречаются и другие чувствительные данные, такие как домашние адреса и номера удостоверений личности.

Утечка содержит:

  • 668 304 162 записей, включающих номера учётных записей QQ и телефонные номера;
  • 502 852 106 записей, содержащих идентификаторы учётных записей Weibo и номера телефонов;
  • 50 557 417 записей из базы данных ShunFeng, включающей номера телефонов, имена и адреса;
  • 8 064 215 записей в наборе данных Siyaosu, раскрывающих имена, номера телефонов, адреса и номера удостоверений личности;
  • 746 310 записей Chezhu, включающих имена, номера телефона, адреса электронной почты, домашние адреса и номера удостоверения личности;
  • 100 790 записей Pingan, содержащие имена, номера телефонов, адреса электронной почты, домашние адреса, заказанные услуги, номера карт и выплаченную сумму по страховке;
  • 78 487 записей в поддиапазоне Jiedai, включающих имена, телефонные номера, домашние адреса, номера удостоверений личности, места работы, данные об образовании, имена партнеров и их телефонные номера.

Все эти данные хранятся на серверах в Германии, а интерфейс Kibana, через который можно просматривать данные, настроен на упрощённый китайский.

 115   7 мес   дайджест   фишинг

Дайджест Start X № 369

Обзор новостей информационной безопасности с 19 по 25 апреля 2024 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружены случаи фишинговых атак на пользователей Telegram от имени поддельной службы поддержки мессенджера. Цель атак — захват аккаунтов жертв.

Схема действий преступников

  1. Преступники рассылают от имени поддельной службы поддержки Telegram сообщения с ложным предупреждением о том, что якобы была оформлена заявка на удаление учетной записи получателя.

  1. Чтобы отменить нежелательное удаление, жертва должна перейти по вредоносной ссылке.
  1. Ссылка ведет на тщательно замаскированный под официальный интерфейс Telegram сайт. Здесь пользователю предлагается ввести свой телефонный номер, привязанный к учетной записи, а также одноразовый код безопасности, присланный от Telegram.

  1. Получив привязанный к учетной записи телефон и код, злоумышленники перехватывают управление учетной записью в Telegram, получают доступ к архивам, перепискам, управлению каналами, если жертва была администратором или владельцем одного из них. При вводе неверных учетных данных фишинговый ресурс сразу выдает ошибку, имитируя легитимное поведение.
  1. Распространение вредоносных ссылок происходит через личные сообщения в Telegram, поэтому мошенникам не требуется создавать множество фишинговых клонов, достаточно одного активного ресурса и резервного домена на случай блокировки предыдущего.

Следует отметить, что сторонние лица не могут запросить удаление учётной записи в Telegram: только владелец аккаунта может сделать это в настройках мессенджера. Удалить собственный аккаунт можно сразу или активировать удаление автоматически после заданного периода неактивности.

В масштабной киберкампании по краже телеграм-аккаунтов использовал сеть из 300 сайтов с картинками.

Схема кампании

  1. Злоумышленники создали сеть из вредоносных ресурсов однотипных сайтов с сотнями тысяч изображений и описаний к ним. Тематика ресурсов самая разная — аниме, фанфики интернет-мемы, порно, корейские сериалы и даже пицца.

  1. Мошенники уделяют значительное внимание вопросам поисковой оптимизации. Это значит, что вероятность наткнуться на один из таких вредоносных сайтов весьма высока, особенно, если поиск осуществляется по изображениям.

  1. Если пользователь кликнет на ссылку или изображение, чтобы увидеть его первоисточник, вместо сайта с картинкой он будет переадресован на один из фишинговых ресурсов, имитирующих страницу сообщества в Telegram. Большая часть таких фишинговых сайтов использует название Telegram-сообщества «Тебе понравится».
  1. При попытке присоединиться к сообществу жертва попадет на страницу с QR-кодом или формой логина и пароля для входа в Telegram. Если ввести на фейковом ресурсе данные для входа в Telegram-аккаунт, информация автоматически попадет к злоумышленникам.
  1. Cайты в автоматическом режиме проверяют, откуда пришёл пользователь, и если он перешёл не со страницы поисковой системы, вместо фишингового сайта ему демонстрируется исходное изображение, которое он искал. Это делается для того, чтобы затруднить блокировку таких ресурсов: если пользователь решит пожаловаться на такой сайт и перешлет ссылку, вредоносный контент на нем просто не откроется.

Пользователи менеджера паролей LastPass стали целью фишинговой кампании, в которой злоумышленники использовали комбинацию звонков, электронной почты и SMS для получения мастер-паролей от аккаунтов.

Схема действий преступников

  1. В ходе кампании использовался комплект для фишинга CryptoChameleon, специализирующийся на криптовалютных аккаунтах. Набор инструментов включает в себя качественно оформленные URL-адреса, поддельные страницы входа, а также инструменты для осуществления звонков и отправки сообщений.
  1. Клиент LastPass получает звонок с номера 888 с сообщением о доступе к аккаунту с нового устройства. Пользователю предлагается нажать на цифру «1», чтобы разрешить доступ, или «2», чтобы заблокировать его.
  1. После отказа в доступе абоненту сообщают, что скоро ему позвонит представитель службы поддержки для «закрытия заявки».
  1. От лица сотрудника LastPass жертве отправляется фишинговое письмо с сокращенной ссылкой на поддельный сайт.
  1. Если жертва вводит свой мастер-пароль на фишинговом сайте, мошенник пытается войти в учетную запись LastPass и изменить настройки, чтобы заблокировать доступ жертвы и получить контроль над учетной записью. Действия киберпреступника здесь могут включать изменение основного номера телефона и адреса электронной почты, а также самого мастер-пароля.

Создатели очередной мошеннической схемы обещают жертвам «заработки» на криптовалюте TON (Toncoin) через Telegram.

Схема действий преступников

  1. Мошенники предлагают заработать криптовалюту Toncoin с помощью «суперсекретного классного бота» и реферальных ссылок. С виду всё просто: вкладываешь свои деньги, покупаешь тарифы-ускорители, зовешь друзей и получаешь комиссию с каждой вложенной ими криптомонеты. Пирамидальная схема стимулирует вносить как можно больше денег, чтобы сгенерировать большую прибыль.

  1. Жертве предлагают зарегистрировать криптокошелек в неофициальном боте для хранения крипты в Telegram, а после указать данные своего вновь созданного кошелька в боте для «заработка» с помощью покупки ускорителей.
  1. После этого жертве требуется купить 5,5—501 TON (один TON по текущему курсу стоит пять-шесть долларов США). Для покупки предлагается использовать легальные инструменты: P2P-маркеты, криптообменники или официального бота в Telegram. Купленный TON необходимо моментально перевести в бот-криптокошелек — якобы аналог личного кабинета в «системе заработка», который может контролироваться мошенниками.
  1. Далее мошенники требуют «активировать второго бота». Для этого нужно выбрать тариф-ускоритель: «байк», «машина», «поезд», «самолет» или «ракета». Чем круче тариф, тем выше комиссионный процент, — «байк» стоит пять тонкойнов и дает 30% комиссии, «ракета» — 500 TON и 70%.

  1. Жертва должна создать закрытую группу в Telegram и разместить там несколько поясняющих видео с инструкцией по «заработку», плюс сгенерированную реферальную ссылку.
  1. После этого жертве нужно разослать приглашения в закрытую группу как минимум пяти своим друзьям. Мошенники напоминают, что «количество приглашений неограниченно, а вот заработать не получится, пока как минимум пять человек не активируют бота-ускорителя».
  1. По заверениям скамеров, заработок будет складываться из двух частей: фиксированной платы 25 TON за каждого приглашенного друга и комиссии за тариф-ускоритель, который купят рефералы.

Никто, кроме мошенников, в этой цепочке денег не получит, а все «партнеры» навсегда лишатся вложенных средств.

Инциденты

Одна из крупнейших телеком-компаний США, Frontier Communication, стала жертвой кибератаки. Злоумышленники получили несанкционированный доступ к части IT-систем провайдера и похитили персональные данные.

По сообщению компании, 14 апреля некая хакерская группировка взломала её IT-инфраструктуру. Чтобы не позволить преступникам распространиться дальше по сети, Frontier частично отключила некоторые свои системы, что привело к масштабным сбоям в работе.

Компании удалось локализовать инцидент и восстановить ключевые IT-системы. Сейчас она работает над полным возвращением к нормальной операционной деятельности. Также Frontier обратилась в правоохранительные органы и привлекла сторонних экспертов по кибербезопасности для расследования инцидента.

Многие пользователи всё ещё сообщают о проблемах с доступом в Интернет, на сайте и в мобильном приложении Frontier отображаются предупреждения о технических неполадках.

В компании признали факт утечки персональных данных, но не уточнили, чьи именно сведения были скомпрометированы.

Кибератака нарушила работу учреждения больницы Симоны Вейль в Каннах (CHC-SV) и вынудила персонал перейти на использование бумаги вместо компьютеров.

Руководство больницы сообщило, что в начале недели пришлось отключить все компьютеры из-за кибератаки, оставив для связи только телефонные системы. На данный момент ведется расследование инцидента. Детали атаки не раскрываются, но указывается, что требований о выкупе, как и фактов кражи данных, не зафиксировано.

Больница продолжает оказывать медицинские услуги, но ведение данных теперь осуществляется вручную. Некоторые пациенты перенаправляются в другие больницы. Около 30% всех несрочных хирургических процедур, запланированных на эту неделю, были отменены, многие несрочные консультации перенесены на более поздние сроки. Консультации, не требующие использования компьютеров для ведения или доступа к историческим данным и результатам анализов, проводятся в обычном режиме.

Компания Salad, которая платит геймерам за аренду простаивающих видеокарт для нужд компаний генеративного ИИ, призналась в использовании ресурсов видеокарт для создания ИИ-порно.

Salad проинформировала пользователей о возможности участия их оборудования в производстве контента для взрослых, предоставляя возможность отказа. При регистрации в сервисе компьютеры пользователей по умолчанию настраиваются на выполнение заданий, включая генерацию порно, но можно выбрать настройку типов работ вручную и исключить такие задания.

На сайте компании указывается, что некоторые задачи могут включать создание материалов для взрослых, но все данные после выполнения работы удаляются с машины пользователя, при этом содержимое полностью изолировано от Windows.

В Salad объяснили, что опция контента для взрослых не активирована по умолчанию и недоступна в странах с запретом порнографии. Также отмечается, что отказ от участия в создании такого контента может снизить потенциальный доход, однако компания не планирует делать такие задачи основой своей бизнес-модели.

Французский онлайн-ретейлер Le Slip Français, специализирующийся на продаже мужского и женского нижнего белья, купальников и различных аксессуаров, сообщил о кибератаке, в результате которой были украдены данные некоторых клиентов.

Компания заявила, что угроза была локализована, и сейчас ведётся тщательный мониторинг ситуации для выявления возможных случаев мошенничества и информирования пользователей при необходимости. По заверениям представителей Le Slip Français, пароли аккаунтов и данные платёжных карт клиентов не пострадали.

Утёкшие данные были обнаружены на популярном хакерском форуме около недели назад. Данные разместил пользователь с псевдонимом «shopifyGUY», который ранее также был замечен в утечке данных канадской компании Giant Tiger.

В утекших данных содержалась информация практически о 700 тысячах клиентах Le Slip Français, включая их электронные адреса, имена, телефонные номера, физические адреса, сведения о покупках, а также в около полутора миллионов электронных писем.

Сервис Spy Pet заявляет, что отслеживает миллиарды сообщений на открытых серверах Discord и продает доступ к данным всего за 5 долларов США, позволяя отслеживать более 600 млн пользователей более чем на 14 000 серверов.

Поиск по конкретному пользователю позволяет узнать, на каких серверах Spy Pet заметил этого человека, а также клиенту предоставляется экспортируемая таблица всех сообщений пользователя (включая имя сервера, временную метку и содержание самого сообщения); логи с информацией о том, когда человек присоединился к конкретным голосовым каналам на сервере и покинул их; а также данные о связанных аккаунтах, например, на GitHub.

Программа развития Организации Объединенных Наций (ПРООН) подверглась атаке вымогателей. Под удар попал локальный серверный комплекс ПРООН, в результате были похищены конфиденциальные данные.

Украденные файлы включали персональные данные нынешних и бывших сотрудников ПРООН, а также информацию о закупках, относящуюся к отдельным поставщикам и подрядчикам. Организация уже уведомила затронутых лиц и компании, данными которых она располагает, и продолжит оповещать всех пострадавших по мере расследования.

На данный момент неизвестно, были ли использованы украденные данные. Организация не вступала в переговоры с преступниками и «не выплачивала и не будет выплачивать никаких выкупов».

Две недели назад группировка 8Base заявила , что взломала системы ПРООН, пригрозив опубликовать данные. 3 апреля конфиденциальные файлы организации все же оказались в сети.

В Швеции возникли проблемы с поставками алкоголя после кибератаки на Systembolaget, единственного в стране ритейлера с правом продажи алкогольных напитков крепче 3,5%.

В результате взлома системы компании Skanlog, отвечающей за логистику около 25% товаров Systembolaget, многие товары, включая алкоголь и бытовую технику, могут исчезнуть с полок магазинов в Швеции, Дании, Норвегии и Финляндии.

Предполагают, что атаку провели хакеры из Северной Кореи с использованием программы-вымогателя LockBit 3.0. Атака затронула «ПО для экономической деятельности от Microsoft» и систему управления складом Dynaman.

Представитель Systembolaget предупредил, что в скором времени могут закончиться запасы определённых сортов пива, вина и крепких напитков, а также бумажные пакеты. В Systembolaget заверили, что полного исчезновения алкогольной продукции не произойдет, однако некоторые бренды могут временно исчезнуть с полок. Пока не ясно, когда Skanlog сможет возобновить свою работу.

Из-за кибератаки итальянская сеть медицинских лабораторий Synlab приостановила услуги лабораторных исследований и сбора образцов. Атака затронула все 380 медицинских центров и лабораторий в Италии.

Инцидент произошла рано утром 18 апреля. Как только была зафиксирована угроза, IT-департамент незамедлительно исключил весь корпоративный сегмент из сети и выключил все машины в соответствии с процедурами информационной безопасности компании.

Существует вероятность, что в результате атаки конфиденциальные медицинские данные могли стать доступными для злоумышленников. Компания сообщает, что по состоянию на сегодняшний день нельзя исключить, что данная атака может касаться персональных данных, связанных с предоставляемыми услугами.

На данный момент все услуги по анализам и сбору образцов приостановлены до особого уведомления. Клиентам рекомендуется использовать телефон для связи с компанией, так как сервисы электронной почты временно неактивны.

Некоммерческая организация The MITRE Corporation (или просто MITRE) сообщила, что в январе 2024 года неизвестная группа поддерживаемых государством хакеров взломала ее системы, объединив в цепочку два эксплоита для 0-day уязвимостей в Ivanti VPN.

Инцидент был выявлен после обнаружения подозрительной активности в NERVE (Networked Experimentation, Research, and Virtualization Environment), несекретной коллаборативной сети MITRE, используемой для исследований и разработок. После этого MITRE уведомила пострадавшие стороны о случившемся, сообщила об инциденте соответствующим органам и сейчас работает над восстановлением своих систем.

В отдельной публикации технический директор MITRE Чарльз Клэнси (Charles Clancy) и инженер по кибербезопасности Лекс Крамптон (Lex Crumpton ) пояснили, что злоумышленники скомпрометировали одну из VPN MITRE при помощи двух zero-day (CVE-2023-46805 и CVE-2024-21887), ранее обнаруженных в Ivanti Connect Secure.

Кроме того, атакующие смогли обойти многофакторную аутентификацию с помощью перехвата сеанса, что позволило им перемещаться по инфраструктуре VMware, используя взломанную учетную запись администратора.

По словам специалистов, на протяжении всей атаки хакеры использовали комбинацию сложных веб-шеллов и бэкдоров для сохранения доступа к взломанным системам и сбора учетных данных.

 242   8 мес   дайджест   фишинг
Ранее Ctrl + ↓