Обзор новостей информационной безопасности с 28 июня по 4 июля 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Неизвестные хакеры используют уязвимость в MSHTML для распространения шпионского ПО MerkSpy, нацеленного на пользователей в Канаде, Индии, Польше и США.

Схема кампании

1. Хакеры рассылают фишинговые письма с документом MS Word, который содержит описание вакансии программиста.

2. При открытии файла активируется эксплуатация уязвимости CVE-2021-40444, которая приводит к удалённому выполнению кода без взаимодействия с пользователем.

3. Этот процесс загружает HTML-файл (olerender.html) с удалённого сервера, который запускает встроенный шелл-код после проверки версии операционной системы.

4. Olerender.html использует функцию VirtualProtect для изменения разрешений памяти, что позволяет записать декодированный шелл-код в память. Затем «CreateThread» запускает внедрённый шелл-код, подготавливая загрузку и выполнение следующего вредоносного кода с сервера злоумышленников.

5. Шелл-код загружает файл под именем «GoogleUpdate», который, на самом деле, содержит полезную нагрузку инжектора, скрывающуюся от антивирусного ПО и загружающую MerkSpy в память системы. Шпионское ПО сохраняет своё присутствие на устройстве через изменения в реестре Windows, обеспечивая автоматический запуск при старте системы.

6. MerkSpy способен захватывать скриншоты, фиксировать нажатия клавиш, собирать данные для входа, хранящиеся в Google Chrome, и данные из расширения MetaMask для управления криптокошельками. Все собранные данные отправляются на сервер злоумышленников.

Обнаружена новая схема кражи Telegram-аккаунтов и криптовалюты с помощью фишинговых ботов. Злоумышленники атакуют владельцев цифровых активов, которые совершают P2P-сделки внутри мессенджера.

Схема действий преступников

1. Атакующие нацелены на пользователей, которые намерены совершить сделку с криптовалютой в рамках P2P-трейдинга через Telegram, и выходят с ними на связь под предлогом осуществления транзакции.

2. Потенциальной жертве сообщают, что для повышения уровня безопасности и соблюдения требований регуляторов якобы необходимо пройти KYC-верификацию, иначе криптокошелек будет заморожен.

3. Сделать это предлагают через специальный сервис авторизации, ссылку на который присылают сами мошенники. Разумеется, никакой KYC-проверки нет, и мошенники просто заманивают человека в фишингового бота.

4. Как только владелец криптовалюты переходит к Telegram-боту с характерным названием (например, Wallet KYC), ему предлагают авторизоваться через Telegram-аккаунт.

5. Для этого пользователя просят отключить двухфакторную аутентификацию в мессенджере и подтвердить это действие, нажав соответствующую кнопку.

6. Затем нужно сообщить код для авторизации в Telegram, который придет от официального сервиса.

7. Получив код, мошенники перехватывают аккаунт жертвы в мессенджере и могут совершать P2P-сделки от ее имени.

8. Через аккаунт человека в Telegram мошенники получают доступ к его криптовалютному кошельку Telegram Wallet. В результате жертва рискует потерять не только доступ к учетной записи, но и свою криптовалюту.

Для убедительности злоумышленники нередко ссылаются на требования законодательства — настоящие и выдуманные. Пользователям следует перепроверять информацию, прежде чем реагировать на предложение собеседника.

Внимание! Просьба отключить двухфакторную аутентификацию и сообщить одноразовый код для авторизации — явный признак мошенничества.

Мошенники публикуют поддельные предложения об удалённой работе от имени российских IT-компаний.

Схема кампании

1. Киберпреступники публикуют в профильных Telegram-каналах с ИТ-вакансиями несуществующие предложения о работе на удалёнке на выгодных условиях.

2. Всем соискателям злоумышленники предлагают перейти по ссылке и заполнить Google-форму, указав свои контактные данные, или же напрямую связаться с HR-менеджером.

3. После успешного прохождения собеседования с будущим работником связываются якобы бухгалтеры компании и предлагают привязать корпоративную SIM-карту к личному кабинету банка, что якобы позволит получать зарплату с первого дня трудовой занятости.

4. Если соискатель соглашается, мошенники крадут деньги с его счёта.

Подобные мошеннические публикации с вакансиями стали появляться в профильных Telegram-каналах, которые имеют несколько десятков тысяч подписчиков, и они присутствуют среди реальных предложений от настоящих работодателей.

В общей сложности эксперты обнаружили в различных Telegram-каналах и чатах не менее 35 подобных объявлений, которые были опубликованы только одним аккаунтом, принадлежащим мошеннику.

Инциденты

Неивестные хакеры взломали сайт центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» и заменили содержимое главной страницы на поздравление с днем конституции Украины.

Представитель «Инфосистемы джет» подтвердил журналистам, что сайт был атакован, но уточнил, что инфраструктура центра CSIRT и самой компании физически изолирована от сайта. Сам же сайт содержит исключительно справочную информацию об услугах Jet CSIRT, а его администрированием занимается сторонний подрядчик с локальными учётными записями. В связи с этим собственная IT-инфраструктура компании и Jet CSIRT не были затронуты атакой, никаких угроз для «Инфосистемы Джет» или его заказчиков не возникло.

Хакеры взломали корпоративную сеть TeamViewer.

Компания заявила о том, что обнаружила нарушение во внутренней корпоративной ИТ-среде TeamViewer, после чего немедленно задействовала команду по реагированию на инциденты и начала расследование. Также были приняты меры для устранению последствий атаки.

В компании подчеркивают, что «внутренняя корпоративная ИТ-среда TeamViewer полностью независима от продуктовой среды», и нет никаких признаков того, что атака затронула продукты компании или данные клиентов.

По информации Health-ISAC, за атакой на TeamViewer могла стоять русскоязычная группировка APT29, также известная как Cozy Bear, NOBELIUM и Midnight Blizzard.

В Health-ISAC рекомендуют администраторам проверять логи на предмет необычного трафика.

Группировка BlackSuit взломала японский медиаконгломерат Kadokawa и  похитила конфиденциальную информацию.

Кибератака произошла 8 июня, и с тех пор компания борется с её последствиями. Пострадали многие веб-сайты и сервисы, в том числе популярный японский видеохостинг Niconico. В результате атаки значительная часть операций компании и её дочерних предприятий была парализована, так как их данные были зашифрованы с помощью программы-вымогателя.

Вымогатели BlackSuit добавили Kadokawa на свой сайт утечек данных и опубликовали часть украденной информации. В случае невыплаты выкупа до 1 июля, злоумышленники угрожают обнародовать все похищенные данные, включая контакты, конфиденциальные документы, данные сотрудников, бизнес-планы и финансовую информацию.

Компания OVHcloud, один из крупнейших поставщиков облачных услуг в Европе, сообщает об отражении рекордной DDoS-атаки, мощность которой достигла 840 млн пакетов в секунду (Mpps).

По данным OVHcloud, начиная с 2023 года наблюдается общая тенденция к увеличению объема атак, причем атаки, превышающие 1 Тбит/с, становятся все более частыми, и в 2024 году они уже стали еженедельными и практически ежедневными.

За последние 18 месяцев самая мощная атака, зафиксированная OVHcloud, произошла 25 мая 2024 года и достигала 2,5 Тбит/с.

Анализ нескольких таких атак выявил, что злоумышленники опираются на устройства Mikrotik, которые делают атаки более мощными и сложными для обнаружения и блокирования.

Группировка LockBit взяла на себя ответственность за атаку на крупнейшую больницу Хорватии KBC Zagreb, в результате которой учреждению пришлось отключить IT-системы.

Местные СМИ сообщают, что атака замедлила работу экстренных служб, вынудив KBC Zagreb перенаправлять пациентов в другие медучреждения Загреба. В KBC Zagreb пожаловались, что атака вернула больницу на 50 лет назад, к использованию бумаги и карандаша.

Злоумышленники заявили, что получили доступ к информации о пациентах и сотрудниках, медицинским записям, данным доноров и донорских органов, а также контрактам со сторонними компаниями.

В министерстве внутренних дел Хорватии заявили, что не хотят раскрывать слишком много информации, полученной следователями, и добавили, что им ничего не известно о требовании выкупа.

Обзор новостей информационной безопасности с 21 по 27 июня 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Очередная вредоносная кампания использует фальшивые дистрибутивы Google Chrome и Microsoft Teams для распространения бэкдора Oyster (устрица).

Схема кампании

1. Злоумышленники создают фальшивые сайты с вредоносными программами и перенаправляют на на них пользователей, которые ищут программное обеспечение в поисковых системах Google и Bing.

2. Мошенники обманывают пользователей, заставляя их скачивать установочные файлы с вышеописанных поддельных сайтов.

3. Вместо установки ожидаемой легитимной программы жертвы атаки инициируют цепочку заражения вредоносным ПО.

4. Вместе с вредоносом устанавливается и легальная версия искомой программы, чтобы не вызвать подозрений.

5. Вредоносное ПО запускает скрипт PowerShell для обеспечения постоянного присутствия на системе.

6. Бэкдор собирает информацию о заражённом компьютере, взаимодействует с командно-контрольным сервером и поддерживает удалённое выполнение команд.

Опасный троян Remcos RAT проникает в компьютеры через обычные документы Microsoft Word, содержащие короткие ссылки.

Схема кампании

1. Пользователь получает письмо с вложением в формате «.docx».

2. После открытия документа жертва обнаруживает внутри сокращённую веб-ссылку.

3. При нажатии на эту ссылку происходит загрузка вредоносного ПО.

4. Троян использует уязвимость в редакторе формул Word (CVE-2017-11882) для установки, а вредоносный код маскируется с помощью сложного шифрования.

Remcos RAT позволяет злоумышленникам получить полный контроль над заражённым компьютером. Он может получать доступ к файловой системе, управлять процессами, создавать скриншоты, записывать звук и видео с микрофона и веб-камеры, с также воровать пароли и финансовые данные, устанавливать дополнительные вредоносные программы.

Взломщики аккаунтов используют голосовых ботов, которые по телефону выманивают у жертвы одноразовый код аутентификации (One Time Password, OTP).

Как действуют преступники

1. Злоумышленники находят логин и пароль от личного кабинета жертвы, а также номер телефона в открытом доступе, в опубликованных утекших базах данных, покупают в даркнете или выманивают на фишинговых сайтах.

2. Мошенник пытается зайти в аккаунт жертвы и получает запрос на ввод OTP-кода.

3. Жертве на телефон приходит сообщение с одноразовым паролем. OTP-бот звонит пользователю и с помощью заранее заготовленного скрипта уговаривает ввести полученный код.

4. Жертва набирает код на клавиатуре телефона прямо во время звонка.

5. Код поступает в Telegram-бот злоумышленника, который таким образом получает доступ к аккаунту жертвы.

Злоумышленники стараются, чтобы жертва поверила в легитимность звонка, поэтому некоторые OTP-боты перед набором номера отправляют жертвам СМС-сообщения с предупреждением о предстоящем звонке. Это тонкий психологический приём, нацеленный на создание доверия: сначала пообещать что-то и затем сдержать обещание.

В новой фишинговой кампании киберпреступники пытаются выманить учётные данные от почтовых ящиков сотрудников небольших российских организаций, используя для прикрытия компанию из ОАЭ.

Схема кампании

1. Злоумышленники пишут целевым сотрудникам от имени главы отдела закупок дубайской компании. Их интересует наличие того или иного товара или аналогичных моделей.

2. Фишинговые письма написаны на хорошем русском языке и не содержат опечаток.

3. Подробностей в этих электронных письмах нет, зато есть ссылка на файлообменник, где можно посмотреть детали заказа на поставку.

4. Если работник кликнет по такому URL, его переведут на фейковую страницу, имитирующую окно аутентификации популярного почтового сервиса.

5. Если жертва вводит логин и пароль на этой странице, они отправляются мошенникам, которые получают доступ к почтовому ящику (если жертва не включила 2FA).

Инциденты

Из-за хакерской атаки поставщик SaaS-решений для автодилеров CDK Global был вынужден отключить ИТ-системы, нарушив работу своих клиентов.

CDK Global предоставляет своим клиентам SaaS-платформу, и это ПО управляет всеми аспектами работы автосалонов, включая CRM, финансирование, расчет заработной платы, поддержку и обслуживание, инвентаризацию и так далее. Услугами компании пользуются более 15 000 автосалонов на территории Северной Америки.

Атака заставил CDK Global отключить ИТ-системы, телефоны и приложения в двух дата-центрах, чтобы предотвратить дальнейшее распространение угрозы.

Сотрудники нескольких автосалонов рассказали, что CDK не предоставила им никакой информации о происходящем кроме электронного письма с предупреждением о киберинциденте.

Официальных заявлений от CDK не поступало, но эксперты предполагают, что компания стала жертвой вымогателей, причём атака затронула резервные копии. Это означает, что перебои могут продолжаться ещё долго.

В открытом доступе обнаружена база данных, содержащая личную информацию граждан, обращавшихся в службу 311 Балтимора с 1989 года.

Утечка раскрыла имена, адреса электронной почты и номера телефонов людей, подавших заявки по широкому спектру вопросов, включая проблемы с дорогами, санитарным состоянием, бездомными животными, нарушениями парковки и другими городскими проблемами, не требующими немедленного вмешательства властей.

Раскрытая информация содержала:

• сообщения о дорожно-транспортных происшествиях;
• жалобы на санитарное состояние жилья;
• отчеты о качестве дорог;
• расположение и статусы камер контроля скорости;
• жалобы на животных;
• обвинения в незаконной деятельности;
• заявления о преступлениях.

Администрация города пока не прокомментировала ситуацию.

В свободном доступе обнаружены текстовые файлы, содержащие дамп нескольких таблиц из базы данных интернет-магазина сети супермаркетов «Магнолия».

Опубликованная информация содержит:

• ФИО (часто это автосгенеренные последовательности в формате П<номер телефона>);
• адрес доставки;
• адрес эл. почты (245 931 уникальный адрес, часто это автосгенеренные последовательности в формате <номер телефона>@shop.mgnl.ru);
• номер телефона (252 209 уникальных номеров);
• хешированный пароль;
• состав, стоимость и дата заказа;
• купон на скидку.

Актуальность данных — 09.06.2024.

«Утечки информации» сообщают о сливе данных покупателей и заказов предположительно из базы сайта интернет-аптеки apteka22.ru.

В дампе содержатся:

• ФИО;
• номер телефона (152 тыс. уникальных номеров);
• адрес эл. почты (2,5 тыс. уникальных адресов);
• хешированные пароль;
• пол;
• дата рождения;
• адрес доставки;
• детали заказа.

Актуальность данных — 06.06.2024.

Южнокорейская телекоммуникационная компания KT намеренно заразила клиентов вредоносным ПО из-за чрезмерного использования ими P2P инструментов загрузки.

Число заражённых пользователей «веб-жестких дисков» — южнокорейского термина, обозначающего службы веб-хранилищ, которые позволяют загружать файлы и обмениваться контентом — достигло 600 тыс.

Вредоносное ПО, предназначенное для сокрытия файлов, предположительно было внедрено в Grid Program — программу, который позволяет пользователям KT обмениваться данными методом peer-to-peer. Впоследствии службы обмена файлами перестали работать, что вызвало массовые жалобы пользователей.

В ходе расследования установлено, что в KT существовала целая команда, занимающаяся обнаружением и вмешательством в передачу файлов. Часть сотрудников занимались разработкой вредоносного ПО, другие — его распространением и эксплуатацией, а также прослушиванием телефонных разговоров. По предварительным данным, под подозрение попали 13 сотрудников KT и компаний-партнёров, которых могут привлечь к ответственности.

KT пока официально не подтвердила инцидент. Позиция компании состоит в том, что служба P2P веб-дисков является вредоносной программой, поэтому компания вынуждена её ограничивать.

Российских музыкантов Soda Luv, Slava Marlow, Yanix, 163onmyneck, Lida, Джизуса взломали в Spotify.

Вместо фотографий появились ссылки на телеграм-канал хакеров, где продают доступ к взломанным аккаунтам.

Ситуация осложняется отсутствием официального представительства Spotify в России. Исполнителям придется обращаться в службу поддержки на общих основаниях, что может занять продолжительное время.

Данные клиентов американского ритейлера Neiman Marcus выставлены на продажу за 150 тыс. долларов США.

Утечка затронула 64 472 человека. Несанкционированный доступ к базе данных был получен в период с апреля по май 2024 года в результате взлома платформы Snowflake.

Похищенные данные содержат имена, контактную информацию, даты рождения и номера подарочных карт Neiman Marcus и Bergdorf Goodman. Коды активации подарочных карт не были скомпрометированы, в связи с чем они остаются действительными.

Neiman Marcus отключил доступ к платформе базы данных сразу после обнаружения утечки, инициировал расследование с участием экспертов по кибербезопасности и уведомил правоохранительные органы. Компания также подтвердила, что данные были украдены из её аккаунта в Snowflake.

По словам хакера, выставившего данные на продажу, украденная информация также включает последние четыре цифры номеров социального страхования, данные о транзакциях клиентов, их электронные адреса, истории покупок, данные сотрудников и миллионы номеров подарочных карт (без кодов активации).

Бывший сотрудник дочерней компании Microsoft, Nuance Communications похитил личные данные более миллиона пациентов американского поставщика медицинских услуг Geisinger.

Geisinger использует Nuance в качестве ИТ-провайдера. Расследование инцидента выявило, что после увольнения одного из своих сотрудников, Nuance не закрыла ему доступ к корпоративным файлам. Через 2 дня после увольнения он вошёл в систему и сделал копии конфиденциальных данных пациентов Geisinger.

Nuance провела собственное расследование и установила, что бывший работник мог похитить данные более 1 миллиона человек, включая даты рождения, адреса, записи о приеме и выписке из больницы, демографическую информацию и другие медицинские данные.

Министерство связи Индонезии стало жертвой вымогательской группировки. Хакеры зашифровали системы в национальном центре обработки данных страны, вызвав сбои в работе иммиграционных проверок в аэропортах и других общественных услуг.

Системы Временного национального центра обработки данных (Temporary National Data Center, PDNS) были заражены Brain Cipher, новым вариантом пресловутой программы-вымогателя LockBit 3.0. Атака затронула филиал PDNS, расположенный в Сурабае.

В Министерстве связи сообщили, что злоумышленники потребовали выкуп в размере 8 млн долларов США, но подчеркнули, что правительство не собирается выполнять требования вымогателей.

Кибератака затронула службы оформления виз и вида на жительство, паспортные услуги и системы управления иммиграционными документами. Из-за атаки в аэропортах образовались длинные очереди на иммиграционных стойках.

Атака также затронула платформу, используемую для онлайн-зачисления в школы и университеты, что вынудило правительство региона продлить срок регистрации. В общей сложности программа-вымогатель нарушила работу как минимум 210 местных служб.

Обзор новостей информационной безопасности с 14 по 20 июня 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новой киберкампании, нацеленной на пользователей macOS, используется вредоносное ПО Vortax, выдающее себя за приложение для виртуальных встреч с функцией видеосозвона.

Как действуют преступники

1. Для распространения Vortax злоумышленники поддерживают блог на Medium, наполненный сгенерированными с помощью ИИ статьями, а также верифицированный аккаунт в соцсети Илона Маска с золотой галочкой.

2. Чтобы скачать заражённое приложение, жертвы должны предоставить уникальный идентификатор встречи (RoomID), который распространяется через ответы на аккаунт Vortax, личные сообщения и каналы в Discord и Telegram, посвящённые криптовалюте.

3. После ввода Room ID на сайте Vortax, пользователи перенаправляются на ссылку Dropbox или внешний сайт, где скачивают установщик, ведущий к загрузке вредоносного ПО — инфостилеров Rhadamanthys, Stealc и Atomic macOS Stealer (AMOS). Это ПО существует не только в версии для macOS, но и для Windows.

Кибермошенники атакуют строительные компании и специалистов этой отрасли, обещая помочь пройти обязательные аттестации на соответствие профессиональным стандартам.

Схема кампании

1. Мошенники создали более 3800 сайтов, на которых специалистам строительной сферы предлагается помощь в прохождении различных аттестаций, позволяющих продлить права на профессиональную деятельность. Строительным компаниям предлагают помочь вступить в СРО (саморегулируемые организации).

2. В качестве приманки преступники используют приказ Минстроя России от 30.06.2022 № 529/пр, согласно которому включённые в отечественные реестры НОСТРОЙ и НОПРИЗ специалисты должны проходить независимую оценку квалификации (НОК).

3. Злоумышленники маскируют свои ресурсы под сайты консалтинговых компаний, на которых гарантируется положительный результат при тестировании и предлагается комплексная поддержка, включая отправку учебных материалов.

4. Цена за такие услуги начинается от 20 тысяч рублей, а начать можно только после заполнения специальной формы на ресурсе, куда нужно ввести имя, телефонный номер и адрес электронной почты.

5. После заполнения формы с жертвой связывается «сотрудник» для уточнения деталей. Если выполнить его указания, можно не только лишиться денег, но и скомпрометировать свои персональные данные.

Обнаружена направленная на сотрудников криптобирж и криптоэнтузиастов мошенническая схема с использованием доменов ENS (системы доменных имен, построенной на блокчейне Ethereum).

Как действуют преступники

1. Связываются с потенциальной жертвой и предлагают купить криптовалюту. Предлог — приобретение драгметаллов в странах, где операции с наличными по их словам затруднены, — например в Индии.

2. Чтобы войти в доверие, злоумышленники организуют видеозвонок, демонстрируя поддельные документы.

3. Во время или после видеозвонка жертву под различными предлогами (например, чтобы доказать чистоту происхождения активов или отсутствие его кошелька в черных списках) убеждают перевести криптовалюту на собственный уникальный адрес, добавив в конце «.eth».

4. Ссылка ведет на криптокошелек скамеров. После «тестового» перевода мошенники в ручном режиме возвращают сумму на кошелек отправителя.

5. После получения полной оплаты за услугу злоумышленники исчезают, оставляя жертву без криптовалюты.

Инциденты

Компания Life360, поставляющая популярные Bluetooth-трекеры Tile, стала жертвой вымогателей.

Хакеры взломали платформу поддержки клиентов Tile и получили доступ к именам, адресам, адресам электронной почты, номерам телефонов и идентификационным номерам устройств.

В компании подчеркнули, что среди пострадавших данных не было номеров банковских карт, паролей и учетных данных, а также данных о местоположении или удостоверениях личности, поскольку платформа поддержки клиентов Tile не содержит такой информации.

Life360 не раскрыла, каким образом злоумышленники взломали платформу, но компания сообщила, что приняла меры по защите своих систем от дальнейших атак и уведомила о попытках вымогательства правоохранительные органы.

Хотя Life360 не раскрыла подробностей об атаке, издание 404 Media выяснило, что хакеры использовали для получения доступа к нескольким системам компании украденные учётные данные бывшего сотрудника Tile.

Пока неизвестно сколько клиентов пострадали от утечки.

Производитель погрузчиков Crown Equipment стал жертвой кибератаки, которая привела к сбоям в производстве.

Из-за отключения IT-систем работники не могли отмечать рабочие часы, получать доступ к сервисным инструкциям и, в некоторых случаях, поставлять оборудование.

Crown сообщила, что кибератака была совершена «международной киберпреступной организацией», а для расследования и устранения последствий атаки пришлось приостановить всю операционную деятельность. Также установлено, что хакеры смогли проникнуть в систему из-за нарушения правил безопасности одним из сотрудников, чьё рабочее устройство было скомпрометировано первым.

Компания подчеркнула, что большинство защитных мер оказалось эффективными. Это ограничило объём данных, к которым смогли получить доступ злоумышленники. Пока нет признаков того, что персональные данные сотрудников были скомпрометированы.

ИБ-исследователи похитили 3 млн долларов США в криптовалюте у криптовалютной биржи Kraken, используя 0-day уязвимость. Вернуть украденное они отказались.

По словам CSO Kraken Ника Перкоко (Nick Percoco), 9 июня 2024 года команда безопасности биржи получила туманное сообщение о «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken.

Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась.

Команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса. После исправления ошибки выяснилось, что три пользователя Kraken, связанные с обнаружившим её ИБ-экспертом, использовали уязвимость как 0-day и украли у биржи 3 млн долларов США.

Хакер IntelBroker сообщил об успешном хищении исходного кода нескольких внутренних инструментов Apple.

В публикации на хакерском форуме указано, что в июне 2024 года IntelBroker слил у Apple исходные коды следующих утилит:

• AppleConnect-SSO — системs аутентификации, позволяющая сотрудникам Apple получать доступ к определенным приложениям в корпоративной сети. Этот инструмент интегрирован с базой данных Directory Services для обеспечения безопасного доступа к внутренним ресурсам.
• Apple-HWE-Confluence-Advanced;
• AppleMacroPlugin.

Если о двух последних утилитах практически ничего неизвестно, то AppleConnect-SSO активно используется сотрудниками. В iOS эта система может применяться для жестового входа в учетную запись — вместо пароля устанавливается определенный паттерн для удобства.

AppleConnect интегрирована в приложение Concierge для персонала розничных магазинов Apple, а также использовалась в SwitchBoard до прекращения работы этого инструмента в 2021 году.

В своей публикации IntelBroker не раскрыл подробностей относительно условий утечки данных.

На хакерском форуме выставили на продажу данные компании AMD.

Автор публикации — хакер IntelBroker. В объявлении он поделился скриншотами учетных данных, но пока он не сообщает, за какую сумму рассчитывает продать информацию, и как она была получена.

«В июне 2024 года крупная компьютерная компания AMD пострадала от утечки данных. Среди скомпрометированных данных: будущие продукты AMD, спецификации, БД сотрудников, БД клиентов, проприетарные файлы, ROM’ы, исходный код, прошивка и финансовые данные», — пишет IntelBroker.

Злоумышленник также заявил, что дамп содержит БД сотрудников, в которой представлены ID пользователей, имена и фамилии, должностные обязанности, номера рабочих телефонов, адреса электронной почты и рабочий статус.

Производитель печатных плат, компания Keytronic, сообщила об утечке данных в результате вымогательской кибератаки группировки Black Basta.

Из-за инцидента Keytronic пришлось на две недели остановить деятельность в США и Мексике, но в настоящее время работа возобновилась в штатном режиме.

Компания установила, что злоумышленники получили доступ к ограниченному количеству данных в среде компании, включая персональные, и похитили их. По словам компании, она уже понесла расходы в размере около 600 000 долларов США, связанные с восстановлением и устранением последствий атаки, а также наймом внешних экспертов по кибербезопасности, и в будущем расходы могут еще увеличиться.

Хотя сама Keytronic не связывает эту атаку с конкретной хак-группой, две недели назад об атаке на Keytronic заявили хакеры из Black Basta. Злоумышленники утверждали, что публикуют на своем сайте в даркнете 100% украденных у компании данных.

Хакеры заявили, что в ходе атаки им удалось украсть кадровые, финансовые, инженерные и корпоративные данные общим объёмом 530 Гб. Они опубликовали скриншоты паспортов и карт социального страхования сотрудников, презентации для клиентов и другие корпоративные документы.

Хакеры Hunt3r Kill3rs провели масштабную кибератаку на немецкое подразделение Schneider Electric и похитили критически важные данные, связанные с управлением энергопотреблением на промышленных объектах.

Преступники проникли в корпоративные системы Schneider и скомпрометировали конфигурации интеллектуальных счетчиков PowerLogic ION7650 . Эти устройства играют ключевую роль в регулировании энергопотоков на предприятиях и городских электросетях.

На данный момент Schneider воздерживается от официальных комментариев. Инсайдеры сообщают, что концерн развернул масштабное внутреннее расследование произошедшего при участии ведущих экспертов.

Последствия взлома могут оказаться катастрофическими. В худшем случае хакеры получили возможность вмешиваться в работу энергосистем в режиме реального времени.