Обзор новостей информационной безопасности с 20 по 26 сентября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для распространения малвари AsyncRAT используется вредоносный код, созданный при помощи ИИ.

Особенности кампании

1. Атаки начинались с обычных фишинговых писем, содержащих приманку в виде некой счет-фактуры в формате зашифрованного HTML-вложения.

2. Расшифрованное вложение содержало VBScript, после изучения которого выяснилось, что «злоумышленник тщательно закомментировал и структурировал весь код», что редко случается, если над кодом работал человек.

3. VBScript предназначался для закрепления на зараженной машине, создавая запланированные задачи и новые ключи в реестре Windows.

4. Комментарии подробно описывали, для чего именно предназначен код. Так обычно делают генеративные ИИ-сервисы, когда предоставляют примеры кода с пояснениями.

5. Также на работу ИИ указывала структура скриптов, комментарии к каждой строке и выбор французского языка для имен функций и переменных.

6. В итоге в систему жертвы загружался и выполнялся AsyncRAT — малварь с открытым исходным кодом, которая позволяет перехватывать нажатия клавиш, обеспечивает зашифрованное соединение с машиной пострадавшего, а также может скачивать дополнительные полезные нагрузки.

Мошенники похищают деньги россиян, предлагая обновить банковское приложение.

Как действуют преступники

1. Мошенники в разговоре представляются сотрудниками финансовой организации и предлагают установить «правильную версию» банковского приложения.

2. Преступники настаивают на скорейшем обновлении программы — в противном случае банк якобы заблокирует счета и карты клиента.

3. Жертве высылают ссылку для скачивания программы, однако после перехода по ней экран смартфона блокируется.

4. Мошенники получают доступ к кабинету пользователя в приложении, клиенту приходит СМС-код, с помощью которого злоумышленники выводят деньги со счета.

Обнаружена вредоносная кампания группировки SloppyLemming, направленная против правоохранительных структур и АЭС Пакистана, военных и правительственных учреждений Шри-Ланки и Бангладеш, а также китайских компаний энергетического и образовательного секторов.

Особенности кампании

1. Группировка использует сервисы облачных провайдеров для сбора учётных записей, распространения вредоносного ПО и управления атаками.

2. Основной метод атак — фишинговые письма, побуждающие жертв нажать на вредоносную ссылку якобы для выполнения обязательного действия в течение 24 часов.

3. Переход по ссылке приводит на страницу для кражи учётных данных. В результате злоумышленники получают доступ к корпоративной электронной почте.

4. Для реализации этой атаки SloppyLemming использует инструмент CloudPhish, который создаёт вредоносные Cloudflare Workers и перехватывает данные учётных записей.

5. Зафиксированы случаи, когда хакеры использовали уязвимость CVE-2023-38831в WinRAR для удалённого выполнения кода, отправляя заражённые RAR-архивы, маскирующиеся под файлы из приложения для сканирования CamScanner. Внутри архива находится исполняемый файл, загружающий троян с Dropbox.

6. Ранее в аналогичной кампании SideCopy хакеры распространяли Ares RAT с использованием ZIP-архивов под названием «DocScanner_AUG_2023.zip» и «DocScanner-Oct.zip». Целью атаки тогда были индийские государственные и оборонные ведомства.

7. Третий метод заражения от SloppyLemming перенаправляет жертв на поддельный сайт, имитирующий официальный ресурс Совета информационных технологий Пенджаба в Пакистане. С этого сайта они попадают на другой сайт, где они скачивают вредоносный ярлык, ведущий к исполняемому файлу «PITB-JR5124.exe». Этот файл запускает загрузку вредоносной DLL-библиотеки, которая связывается с Cloudflare Workers для передачи данных злоумышленникам.

Инциденты

Компания Cencora, один из крупнейших дистрибьюторов лекарственных препаратов, заплатила хакерам крупнейший в истории выкуп в размере 75 млн долларов США.

Сообщается, что сумма в биткоинах была переведена в 3 этапа. Также известно, что первоначальная сумма выкупа составляла 150 млн долларов США.

Представители Cencora отказались комментировать инцидент. В своём заявлении они рекомендовали всем заинтересованным
использовать публично доступную информацию. В квартальном отчёте компании отражены расходы, связанные с кибератакой, однако полная сумма убытков остаётся неясной.

Сообщения о выкупе в размере 75 млн долларов США впервые появились в июле, когда вымогательская группировка Dark Angels получила крупный платёж, но не назвала жертву. О том, что выкуп заплатила Cencora, стало известно после расследования Bloomberg.

По словам экспертов, выплата такого масштаба была ранее немыслимой. Крупнейший зафиксированный выкуп до этого составлял 40 млн долларов США, которые заплатила вымогателями страховая компания CNA Financial Corp. в 2021 году.

Блокчейн-платформа Truflation подтвердила факт хакерской атаки и кражу криптоактивов почти на 5 млн долларов США.

Компания по кибербезопасности Cyver оценила общие потери примерно в 57 миллионов токенов TRUF, что на момент атаки составляло 4,6 млн долларов США. Генеральный директор платформы сообщил, что были похищены и другие токены.

В результате инцидента курс TRUF упал на 10% за один день. Truflation заявляет, что средства клиентов не пострадали, и пользователи не подвергаются риску. Компания выделила 1 млн долларов США в качестве компенсационного фонда для возможных пострадавших пользователей.

Платформа предлагает вознаграждение «белым хакерам», которые помогут в расследовании или возврате средств, а также пытается установить контакт и договориться с атакующим.

Компания MC2 Data, занимающаяся проверкой биографий, допустила утечку персональной информации трети населения США.

Расследование показало, что база данных размером в 2,2 ТБ, содержащая более чем 106 млн записей, находилась в открытом доступе без пароля. Эксперты обнаружили её 7 августа. Сколько времени она была доступна любому желающему, неизвестно.

Утечка затронула более 100 млн человек, а также 2,3 млн пользователей, подписавшихся на услуги компании для проведения проверок.

В открытый доступ попали:

• Имена;
• Email-адреса;
• IP-адреса;
• User Agent;
• Зашифрованные пароли;
• Платёжная информация (частично);
• Домашние адреса;
• Даты рождения;
• Номера телефонов;
• Записи о недвижимости;
• Правовые документы;
• Реестр собственности;
• Данные о семье, родственниках, соседях;
• Трудовой стаж.

В результате кибератаки у сингапурской криптовалютной платформы BingX похитили более 44 млн долларов США в криптовалюте. Это одно из крупнейших криптоограблений в текущем году.

19 сентября 2024 года блокчейн-аналитики обратили внимание, что у BingX утекают миллионы долларов. Вскоре после этого компания оповестила пользователей о временном отключении, связанном с «обслуживанием кошелька».

В развернутом заявлении, появившемся чуть позже, сообщалось, что отключение произошло после того, как компания «обнаружила аномальную активность в своей сети, что, возможно, указывает на хакерскую атаку на горячий кошелек BingX».

После проведённого аудита выяснилось, что потери составили около 44,7 млн долларов США по текущему курсу.

Сообщается, что уже удалось «заморозить 10 млн долларов» из похищенной злоумышленниками суммы.

Компания MoneyGram приостановила работу своих систем и сервисов перевода денежных средств из-за киберинцидента. Платежи через системы MoneyGram, как оффлайн, так и онлайн, остаются недоступными, а компания пока не предоставляет информации о сроках восстановления работы.

О проблемах стало известно 22 сентября, когда MoneyGram сообщила о сбое в сети, который нарушил связь с рядом систем компании. Уже 23 сентября компания уточнила, что сбой вызван кибератакой. Представители MoneyGram избегают использования термина «вымогательское ПО», и до сих пор ни одна хакерская группировка не взяла на себя ответственность за инцидент.

После обнаружения инциденты компания начала расследование и отключила часть систем. Для устранения последствий привлечены внешние эксперты в области кибербезопасности.

Официальный аккаунт OpenAI в соцсети Илона Маска атаковали криптовалютные мошенники.

Вечером 23 сентября на странице OpenAI Newsroom появилось сообщение о новом блокчейн-токене «$OPENAI». Пост содержал информацию о возможности для пользователей OpenAI получить часть первоначального предложения токенов, которые якобы предоставят доступ к будущим бета-программам компании.

Комментарии в посте были отключены, а ссылка вела на фишинговый сайт, имитирующий официальный ресурс OpenAI. Злоумышленники использовали кнопку «CLAIM $OPENAI» для попытки получения доступа к криптовалютным кошелькам пользователей. Впоследствии пост был удалён, официального комментария от представителей компании не поступало.

Обзор новостей информационной безопасности с 13 по 19 сентября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Очередная мошенническая кампания направлена на пользователей Mac, которые ищут поддержку или расширенную гарантию через сервис AppleCare+.

Особенности кампании

1. Злоумышленники покупают рекламу в Google, чтобы заманить потенциальных жертв на фальшивые страницы, размещённые на GitHub.

2. Основная цель мошенников — связать жертву с «сотрудниками» Apple, которые на самом деле являются операторами колл-центров, занимающимися социальной инженерией. Эти фальшивые агенты убеждают людей передать им деньги или личные данные.

3. Страницы, имитирующие официальный сайт поддержки AppleCare+, размещены на GitHub в виде HTML-шаблонов с использованием логотипов и стиля Apple.

4. Мошенники создают несколько аккаунтов на платформе, каждый из которых содержит репозиторий с идентичным поддельным контентом.

5. Чтобы избежать блокировок, номера телефонов на таких страницах часто меняются, как показала история изменений на GitHub.

6. Особенностью кампании — автоматический вызов окна набора номера, что облегчает контакт с мошенниками. Всего два клика — и жертва уже на связи с фальшивым «сотрудником» службы поддержки.

7. Мошенники пользуются тем, что многие пользователи доверяют рекламе в Google и попадают на поддельные страницы. Такие страницы могут выглядеть почти как официальные, благодаря использованию логотипов и дизайна Apple. Объявления с фальшивыми ссылками могут отображаться выше официальных результатов в поисковой выдаче, что делает их ещё более опасными.

Основной риск для пострадавших — потеря крупных денежных сумм. Мошенники часто просят жертв перевести деньги со своих банковских счетов различными способами. В некоторых случаях мошенники собирают личные данные, такие как адрес, номер социального страхования и банковские реквизиты, что позволяет им шантажировать жертву или передать её данные другим злоумышленникам.

Обнаружены массовые фишинговые рассылки, нацеленные на российские отели, гостевые дома, санатории и другие объекты размещения. Цель мошенников — кража доступа к бизнес-аккаунтам организаций на популярных сервисах онлайн-бронирования.

Схема действий преступников

1. Фишеры пишут на корпоративную почту отеля под видом потенциального гостя, а затем присылают сообщение с другого почтового адреса, уже выдавая себя за сервис бронирования. Хотя контент в письмах от «постояльцев» и «сервиса бронирования» не связан друг с другом, эксперты считают, что это этапы одной и той же атаки.

2. Сначала атакующие начинают переписку с гостиницей под видом потенциальных постояльцев. Мошенники утверждают, что увидели отель на популярном сервисе онлайн-бронирования, а затем они ссылаются на путешествие с семьей и просят сообщить ближайшие даты, когда есть свободные номера.

3. В других случаях атакующие уточняют, соответствуют ли фотографии в сервисе бронирования действительности и просят предоставить номер телефона для связи. При этом в письмах нет каких-либо фишинговых ссылок или вредоносных вложений.

4. После этого на email организации приходит письмо с другого почтового адреса — якобы от сервиса онлайн-бронирования, который упоминали фальшивые постояльцы на первом этапе атаки. В этом письме сообщается, что недавно отелю был направлен требующий особого внимания запрос, но по легенде злоумышленников, отель на него не ответил.

5. Атакующие запугивают жертв, заявляя, что из-за этого инцидента отель будет заблокирован в сервисе и удалён с платформы. Чтобы этого не произошло, предлагается нажать на кнопку в теле письма и перейти в аккаунт объекта размещения на сервисе онлайн-бронирования.

6. На самом деле за кнопкой скрывается ссылка на фишинговый ресурс. Если работник отеля перейдёт по этой ссылке и введет учётные данные, они попадут в руки мошенников.

Мошенники крадут ключи от мобильного банкинга с помощью видеозвонков и функции демонстрации экрана.

Схема действий преступников

1. Мошенники атакуют продавцов, разместивших объявления на онлайн-площадках, и предлагают воспользоваться мессенджером.

2. Злоумышленник звонит по телефону, сообщает, что готов купить товар, но сначала хочет рассмотреть его, поэтому настаивает на использовании видеосвязи.

3. Для подтверждения подлинности объявления он также просит включить трансляцию экрана.

4. Затем мошенник делает вид, что произвел оплату.

5. Продавец проверяет наличие перевода, зайдя из уведомления в банковское приложение, при этом все необходимые для доступа данные, включая одноразовый код, высланный в виде СМС, отображаются на экране.

6. Используя слитую таким образом информацию, другой участник мошеннической схемы подает запрос на смену номера телефона, привязанного к аккаунту жертвы, и быстро выводит деньги со счета.

Инциденты

Неизвестный хакер похитил 440 Гб файлов с Sharepoint-сервера компании Fortinet.

Похититель опубликовал информацию об утечке на хакерском форуме. Хакер также поделился учётными данными для доступа к хранилищу S3, где хранятся украденные файлы.

Злоумышленник утверждает, что пытался шантажировать Fortinet с целью получения выкупа, однако компания отказалась платить.

Fortinet подтвердила факт кражи данных клиентов из облачного хранилища и заверила, что инцидент не является вымогательской атакой и не связан с развертыванием шифровальщика. Представитель компании заявил:

«Неизвестное лицо получило несанкционированный доступ к ограниченному числу файлов, хранящихся в облачном хранилище Fortinet, которые включали данные, связанные с небольшим количеством клиентов Fortinet».

В результате взлома криптовалютной биржи Indodax было похищено более 22 млн долларов США в различных токенах. Атака, направленная на горячие кошельки платформы, произошла рано утром 10 сентября.

Среди украденных средств:

• более 14 млн долларов США в Ethereum (ETH);
• 2,4 млн долларов США в Tron (TRX);
• 1,4 млн долларов США в Bitcoin (BTC);
• 2,5 млн долларов США в токенах Polygon (MATIC).

Представители биржи подтвердили факт взлома, приостановили операции на платформе и заявили, что проводится техническое обслуживание. Некоторые пользователи стали жаловаться на невозможность увидеть балансы своих кошельков.

В открытом доступе обнаружен дамп базы данных телеком-оператора «ZT» (бывш. «Зонателеком»), предоставляющего сервисы для учреждений ФСИН России.

Информация в дампе актуальна на 26.03.2024 и содержит:

• ФИО, номера телефонов (198 тыс. уникальных),
• адреса эл. почты (120 тыс. уникальных),
• хешированные пароли (MD5 с солью и SHA512-Crypt),
• названия исправительных учреждений ФСИН,
• года рождения и многое другое.

На одном из теневых форумов в свободный доступ выложили дамп базы данных с информацией страховой компании «Спасские Ворота».

Дамп содержит около 70 тыс. уникальных номеров телефонов, 100 тыс. уникальных адресов эл. почты, хешированные пароли и другую информацию, включая логи обращения к API на сервере spasskievorota.ru.

Этот дамп совпадает по формату и системным пользователям в одной из таблиц с дампами других страховых компаний.

Вымогатели RansomHub атаковали Kawasaki Motors Europe.

Атака произошла в начале сентября и была нацелена на европейскую штаб-квартиру Kawasaki. В результате инцидента все серверы компании были временно отключены для проверки на наличие вредоносного ПО. Специалисты IT-отдела вместе с внешними экспертами по кибербезопасности вручную проверяли каждый сервер перед тем, как подключить их обратно к корпоративной сети.

Компания сообщает, что инцидент не затронул ключевые бизнес-операции —  деятельность дилеров, поставщиков и логистику.

Группировка RansomHub взяла на себя ответственность за кибератаку и заявила, что похитила 487 ГБ данных из сети компании. Хакеры угрожают опубликовать все украденные данные, если их требования не будут выполнены.

Неизвестно содержатся ли в похищенных данных сведения о клиентах компании. Представители Kawasaki от комментариев отказались.

Школьный округ в штате Тенесси потерял более 3 млн долларов США из-за мошенников.

Сотрудник отдела финансов школьного округа Джонсон получил письмо, которое посчитал официальным запросом от компании Pearson, поставщика учебных материалов. Мошенники воспользовались доменом pearson.quest, который внешне напоминал официальный адрес компании Pearson, предоставляющей образовательные ресурсы для онлайн-обучения.

Обменявшись с мошенниками информацией о банковских реквизитах и датах платежей, сотрудник школы провёл два платежа на общую сумму 3,36 млн долларов США. Через 2 недели банк округа сообщил о подозрительной активности, но деньги уже успели уйти на другие счета.

Расследование показало, что деньги были переведены на банковские счета 76-летнего жителя Техаса. Он открывал счета и принимал переводы по просьбе своей «невесты», которую видел всего несколько раз, пока она не уехала за границу «для решения наследственных вопросов». Мужчина был уверен, что помогает ей получить наследство от отца, которое она не могла перевести на счета в США.

Обзор новостей информационной безопасности с 6 по 12 сентября 2024 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания по распространению нового вида мобильного вредоносного ПО, нацеленного на мнемонические ключи из 12 слов для восстановления криптовалютных кошельков.

Особенности кампании

1. Вредоносное ПО распространяется через фишинговые сообщения и социальные сети, где пользователям предлагается перейти по ссылкам на поддельные сайты, выглядящие как настоящие.

2. После перехода на такой сайт предлагается загрузить вредоносный APK-файл под видом банковской, государственной или просто полезной программы.

3. Во время установки приложение запрашивает разрешения на доступ к SMS-сообщениям, контактам и другим данным, которые используются для компрометации устройства.

4. После установки вредоносное ПО начинает красть информацию и отправлять её на серверы злоумышленников. Оно может получать команды для управления устройством, включая изменение звуковых настроек и отправку SMS-сообщений.

5. Злоумышленники используют уязвимые командные серверы с слабыми настройками безопасности, что позволило исследователям получить доступ к их содержимому.

6. Один из ключевых аспектов атаки — получение мнемонических фраз для доступа к криптовалютным кошелькам. Сервера обрабатывают изображения с устройства, используя технологию оптического распознавания символов (OCR), что позволяет извлекать текст из фотографий и упрощает дальнейшее использование данных.

Минздрав предупреждает о новой мошеннической схеме.

Как действуют преступники

1. Аферисты звонят и убеждают установить новое «приложение Минздрава», если недавно проходили медицинские обследования, чтобы получить кешбэк.

2. После того, как приложение оказывается в телефоне, мошенники дают жертве форму для ввода данных и получают доступ к банковской карте.

Внимание!

• У Минздрава России нет никаких специальных приложений.
• Все цифровые сервисы доступны на Едином портале госуслуг.
• Будьте бдительны и не передавайте никому данные ваших банковских карт!

Инциденты

Хакеры атаковали и вывели из строя сайты АО «Аналитический Центр» (удостоверяющий центр «Основание») www.uc-osnovanie.ru и www.iecp.ru.

АО «Аналитический Центр» не хранит закрытые (непубличные) ключи электронных подписей, поэтому электронные подписи пользователей, получивших сертификаты ключей в АО «Аналитический Центр», не скомпрометированы.

В настоящее время выдача новых сертификатов ключей проверки электронной подписи приостановлена, организация совместно с НКЦКИ проводит анализ инцидента и восстанавливает работу удостоверяющего центра.

Представительства УЦ «Основание» имеются в 60+ регионах РФ. УЦ является доверенной организацией удостоверяющего центра ФНС и выдаёт квалифицированные электронные подписи юрлицам и индивидуальным предпринимателям.

Кибератака привела к закрытию 34 школ в штате Вашингтон. Инцидент затронул спортивные мероприятия и собрания, а первоклассники не смогли начать учебный год.

Администрация округа заявила, что обнаружила несанкционированную активность в своих технологических системах и сразу предприняла меры для их защиты. В настоящий момент федеральные и региональные специалисты по кибербезопасности принимают активное участие в восстановлении нормальной работы сетей.

Персоналу округа запретили использовать служебные компьютеры и ноутбуки, интернет в школах был отключен. Пресс-секретарь округа отметила, что утечек личных данных сотрудников или учеников пока не зафиксировано, однако пострадал доступ к ключевым системам, в том числе к управлению школьным транспортом.

Кибератака на провайдера платежных услуг Slim CD привела к утечке данных и компрометации банковских карт и персональных данных 1,7 млн человек.

В уведомлении, направленном пострадавшим клиентам, компания сообщила, что хакеры сохранили доступ к ее сети почти год — с августа 2023 по июнь 2024 года. Подозрительную активность заметили только 15 июня текущего года, но в ходе расследования выяснилось, что хакеры получили доступ к сети Slim CD еще 17 августа 2023 года.

Представители компании заявили, что злоумышленники получили доступ к данным о банковских картах и просматривали информацию о них только в течение двух дней, между 14 и 15 июня 2024 года.

В руки хакеров могли попасть следующие данные:

• полное имя пользователя;
• физический адрес;
• номер банковской карты;
• дата окончания срока действия карты.

Телеграм-канал «Утечки информации» сообщает, что хакеры выложили в открытый доступ копию базы данных с информацией о клиентах и сотрудниках сети фитнес-клубов «World Class».

Экспертам удалось проанализировать таблицы из этой базы, содержащие данные примерно 2,2 млн юридических и физических лиц (активных, неактивных и потенциальных клиентов) и 10,1 тыс. сотрудников.

В таблицах с клиентами находится:

• ФИО (или название организации);
• адрес;
• телефон (1,9 млн уникальных номеров);
• адрес эл. почты (712 тыс. уникальных адресов);
• дата рождения;
• пол;
• паспортные данные (не для всех);
• частичный номер банковской карты (не для всех);
• банковские реквизиты (для юрлиц);
• информация о записях на индивидуальные тренировки, посещениях клубов;
• ссылка на фотографию.

Cведения в базе данных актуальны на 16.10.2023.

Вымогатели Hunters International заявили о краже более 5,2 миллиона файлов объёмом 6,6 ТБ у лондонского филиала китайского государственного банка Industrial and Commercial Bank of China (ICBC).

Преступники ждут уплаты выкупа до 13 сентября, угрожая публикацией украденной информации. Представители банка пока не давали комментариев, и неизвестно, является ли похищенная информация подлинной.