Обзор новостей информационной безопасности с 29 сентября по 5 октября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая фишинговая кампания, нацеленная на аккаунты Microsoft 365 ключевых исполнительных директоров организаций в США. В рамках кампании киберпреступники злоупотребляют открытыми перенаправлениями (Open Redirect) с сайта поиска работы Indeed.

Злоумышленник использует фишинговый инструмент EvilProxy, который может собирать сессионные куки, что позволяет обходить механизмы многократной аутентификации (Multi-Factor Authentication, MFA).

Целью фишинговой кампании являются исполнительные директора и сотрудники высшего звена из различных отраслей, включая производство электронной продукции, банковское и финансовое дело, недвижимость, страхование и управление имуществом.

Открытое перенаправление (Open Redirect) — это тип уязвимости, когда веб-приложение допускает перенаправление пользователя на произвольные внешние URL-адреса без должной проверки.

Это означает, что злоумышленник может создать вредоносную ссылку, которая перенаправит пользователя на фальшивые или опасные веб-сайты. Поскольку ссылка исходит от доверенного источника, она может обойти меры безопасности электронной почты или продвинуться в результатах поиска без вызова подозрений.

ВТБ предупреждает о мошеннической кампании, создатели которой рассылают сотрудникам российских компаний от имени руководства фальшивые сообщения об утечке персональных данных.

Схема кампании

1. Сообщения приходят в мессенджерах. В нем от имени одного из руководителей жертвы уведомляются о кибератаке, которая может привести к потере средств на банковских счетах и вкладах, а также к несанкционированному оформлению кредитов на имя пострадавшего.

2. Мошенники сразу предупреждают о скором звонке некоего выделенного куратора, задача которого — дать инструкции и рассказать о мерах, которые необходимо принять для сохранения денег.

3. Далее потенциальной жертве действительно поступает звонок, а абонент на том конце провода представляется специалистом службы безопасности банка или компании.

4. Затем человека просят собственноручно снять деньги и перевести их через банкомат на определённые счета (якобы безопасные). Дополнительно надо выделить часть средств для передачи направленному курьеру.

5. После того, как жертва выполнит все указания, мошенники исчезают.

Хакеры Lazarus атаковали неназванную аэрокосмическую компанию в Испании.

Схема действий преступников

1. Через LinkedIn с сотрудниками аэрокосмической компании связался фальшивый рекрутер и обманом вынудил их открыть вредоносные исполняемые файлы, которые были замаскированы под тестовые задачи по программированию (Quiz1.iso и Quiz2.iso).

2. Эти ISO-файлы, содержащие вредоносные файлы Quiz1.exe и Quiz2.exe, были загружены и выполнены сотрудником на корпоративном устройстве, что привело к компрометации системы и проникновению хакеров в корпоративную сеть.

3. В результате атаки в систему проник загрузчик NickelLoader, который позволял злоумышленникам внедрить в память компьютера жертвы любую программу, включая троян удаленного доступа LightlessCan и miniBlindingCan (вариант малвари BLINDINGCAN с урезанной функциональностью, он же AIRDRY.V2).

ФБР США предупреждает о кампании «Phantom Hacker» (призрачный хакер), сочетающей несколько мошеннических схем и направленной против пожилых людей.

С января по июнь 2023 года ФБР получило 19 000 жалоб на подобные кампании. Общий ущерб оценивается в 542 млн долларов США. Почти половина пострадавших были людьми старше 60 лет, и их потери составили 66% от общей суммы.

Схема действий преступников

1. Сначала мошенник выдает себя за представителя техподдержки известной компании. С потенциальной жертвой он может связаться разными способами: по телефону, смс, электронной почте или через всплывающее уведомление в окне браузера, предлагая кликнуть по ссылке или позвонить по указанному номеру.

2. Пользователя убеждают установить программу удаленного доступа, якобы для диагностики компьютера на наличие угроз. Затем хакер утверждает, что на устройстве обнаружены вирусы или следы взлома.

3. Чтобы «выявить» несанкционированные финансовые операции, жертву просят войти в аккаунт онлайн-банка. Таким образом злоумышленники проверяют, какой из счетов больше всего подходит для дальнейших махинаций.

4. Затем в игру вступает новый «персонаж»: представляется работником банка или другого финансового учреждения, в котором у пользователя открыт счет. Он еще раз озвучивает, что банковский аккаунт и компьютер были взломаны, и предлагает перевести деньги в «безопасный» резерв, например, в «Федеральный».

5. Часто средства направляются сразу на заграничные счета. Иногда перевод предлагают разбить на несколько дней или даже месяцев. При этом истинную цель транзакции просят не разглашать.

6. Если у жертвы возникают подозрения, преступники делают еще один ход: отправляют письмо, которое выглядит как официальный документ от правительственной организации. Он как бы подтверждает, что перемещение средств — единственный способ их защитить.

Атаки и уязвимости

Компания Atlassian, специализирующаяся на выпуске и поддержке корпоративного софта для совместной работы, опубликовала официальное предупреждение об уязвимости нулевого дня CVE-2023-22515 в Confluence Data Center and Server.

Успешное использование уязвимости позволяет создавать учётные записи администратора для доступа к экземплярам Confluence. По данным Atlassian, оценка уровня серьёзности этой уязвимости находится в диапазоне от 9.0 до 10.0 баллов по шкале CVSS.

Инциденты

Хакерская группировка SiegedSec утверждает, что ради забавы похитили у НАТО более 3 тыс. файлов под грифом «Для служебного пользования».

По заявлению хакеров все файлы взяты из системы управления обучением НАТО и размещены на порталах жертвы, в том числе Lessons Learned («Обобщенный опыт»), Logistics Network («Сеть тылового обеспечения») и Investment Division (портал Управления инвестиций).

Документы предназначены для использования только в странах НАТО и разведальянса Five Eyes. Некоторые файлы содержат руководства по защите от химической, биологической, радиологической, ядерной угрозы, а также по обеззараживанию в случае применения средств массового поражения.

Представитель SiegedSec подчеркнул, что атака на НАТО была проведена в основном ради забавы. Взломщики также хотели выставить напоказ беззащитность жертвы перед такой общеизвестной уловкой, как социальная инженерия. Чтобы выяснить, насколько незаметна утечка, непрошеные гости мониторили почту и порталы НАТО.

Sony Interactive Entertainment (SIE), подразделение, ответственное за разработку консолей PlayStation, подтвердило утечку данных почти 6800 бывших сотрудников.

Причиной взлома стала эксплуатация 0-day уязвимости в платформе MOVEit Transfer под номером CVE-2023-34362. Проблема представляет собой SQL-инъекцию и позволяет удалённо выполнить код на устройстве. Уязвимость активно эксплуатировала группа Clop, от действий которой пострадало множество организаций по всему миру.

Об инциденте стало известно еще в начале июня, но официальное заявление SIE сделала только сейчас. Согласно отчету, атака произошла 28 мая, всего через три дня после того, как Progress Software, разработчики MOVEit, проинформировали руководство Sony о существующей угрозе.

Несанкционированный доступ к внутренним системам был зафиксирован 2 июня 2023 года. Sony сразу же уведомила правоохранительные органы и начала расследование с привлечением внешних специалистов по кибербезопасности.

Злоумышленники получили доступ к номерам социального страхования жертв. Этих данных в сочетании с именами и, например, номерами водительских удостоверений будет вполне достаточно для подделки личности.

Хакерская группировка UHG заявила, что ими были получены данные страховой компании «ОСК».

В нескольких SQL-дампах содержится:

• 🌵 ФИО,
• 🌵 хешированный (MD5 с солью и без) пароль,
• 🌵 телефон (400 тыс. уникальных номеров),
• 🌵 адрес эл. почты (1,2 млн уникальных адресов),
• 🌵 пол,
• 🌵 дата рождения,
• 🌵 серия/номер паспорта, водительского удостоверения и полиса страхования,
• 🌵 госномер автомобиля и VIN,
• 🌵 IP-адрес (для заявок с сайта).

Судя по датам из этих дампов, информация в них актуальна на 01.10.2023.

Сначала официальный сайт страховой компании osk-ins.ru был недоступен, а потом стал показывать «заглушку».

В результате кибератаки ALPHV/BlackCat на сеть медицинских учреждений McLaren Health Care были похищены данные 2,5 миллионов пациентов.

Представители ALPHV/BlackCat утверждают, что руководство McLaren пыталось скрыть факт взлома. Более того, хакеры заявили, что и по сей день имеют доступ к корпоративной сети организации.

В публикации на своем сайте утечек ALPHV/BlackCat пишет:

«Было бы интересно услышать от представителя McLaren, как они умоляли нас не разглашать похищенные данные и искусно пытались замести следы взлома. McLaren искали способы выйти из сложившейся ситуации и в конце концов показали, что чувствительная информация 2,5 миллионов пациентов для них ничего не значит. Ваши слова о защите конфиденциальности и интересов пациентов оказались лишь словами. McLaren, уровень вашей безопасности критично низок, и мы успешно это продемонстрировали. Наш бэкдор все еще активен в вашей сети, и несмотря на ваши попытки играть с нами, мы тоже умеем шутить и развлекаться. До встречи...»

Европейский институт стандартов телекоммуникаций (ETSI) объявил, что злоумышленники украли базу данных с идентификационной информацией его пользователей.

В ETSI заявили, что уязвимость, на которой базировалась атака, уже была устранена, однако тип и детали этой уязвимости разглашены не были. Пока неясно, была ли целью атаки финансовая выгода или попытка получить список пользователей в целях шпионажа.

После инцидента ETSI, базирующаяся в технологическом парке София-Антиполис на Французской Ривьере, заявила, что привлекла местное агентство кибербезопасности ANSSI для расследования и восстановления информационных систем.

Под руководством экспертов ANSSI, институт усилил меры безопасности и попросил пользователей своего онлайн-сервиса изменить пароли. Также было инициировано судебное расследование, а французский орган по защите данных был проинформирован о нарушении.

Немецкая гостиничная сеть Motel One стала жертвой хакерской группировки ALPHV/BlackCat.

Украденные файлы объёмом около 6 ТБ содержат даты бронирований за последние 3 года, имена клиентов, адреса, контакты, платежные данные и другую конфиденциальную информацию.

На сайте утечек в сети Tor размещено сообщение:

«Уважаемые представители Motel One, мы публикуем этот анонс, так как не получили ответа с вашей стороны. Мы извлекли 24 449 137 файлов, примерно 6 ТБ информации. Сюда входят подтвержденные бронирования в форматах PDF и RTF за последние 3 года, содержащие имена, адреса, даты, методы оплаты и контактную информацию. Кроме того, файлы содержат значительный объем данных кредитных карт ваших клиентов и внутренних документов, в которых, без сомнения, хранится конфиденциальная информация. Публикация этих сведений вызовет в медиа негативный резонанс и создаст для вашей организации значительные репутационные и юридические риски. Хотим подчеркнуть, что ваше руководство знает о ситуации, но откладывает решение и ищет оправдания. Мы даем вам 5 дней, после чего компанию ждет катастрофа».

Американская корпорация Johnson Controls International была атакована группировкой Dark Angels с помощью вымогательского ПО.

Злоумышленники получили доступ к базам компании 23-24 сентября. Первыми жертвами стали азиатские подразделения. Вирус зашифровал данные на виртуальных машинах VMware ESXi. Как утверждают сами хакеры, им удалось украсть 27 терабайт корпоративных сведений.

За восстановление доступа к файлам хакеры требуют 51 млн долларов США.

Обзор новостей информационной безопасности с 22 по 28 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания группировки AtlasCross, в ходе которой распространяются неизвестные ранее трояны DangerAds и AtlasAgent.

Схема кампании

1. Все начинается с фишингового письма, якобы от Американского Красного Креста, с предложением поучаствовать в одной из благотворительных акций.

2. К сообщению прилагается документ Word с макросами. Жертве нужно активировать опцию «Enable Content», чтобы увидеть содержимое.

3. После разрешения редактирования на Windows-устройстве запускаются вредоносные макросы.

4. Макросы распаковывают ZIP-архив, из которого выгружается файл KB4495667.pkg, представляющий собой программу DangerAds.

5. В планировщике задач создается задание «Microsoft Office Updates» — оно активирует DangerAds регулярно на протяжении трёх дней.

6. DangerAds анализирует среду и, при обнаружении определенных строк, выполняет встроенный код. Завершающим этапом является загрузка x64.dll, трояна AtlasAgent.

7. AtlasAgent выполняет сбор информации о системе, блокировку запуска различных программ, выполнение кода на зараженном компьютере и загрузку файлов с серверов злоумышленника.

ВТБ предупреждает о новой схеме мошенничества, в ходе которой злоумышленники предлагают продиагностировать работу мобильного устройства и оформить услуги по безопасности, например, отремонтировать или застраховать смартфон.

Схема действий преступников

1. Для продвижения фейковых услуг создаются качественные сайты, которые маскируют под банковские сервисы.

2. Злоумышленники звонят по телефону банковским клиентам, представляясь службой поддержки банка, и сообщают о появлении новых страховых сервисов для смартфонов, а также предлагают сразу провести диагностику телефона собеседника.

3. Для этого клиентам присылают ссылку на фейковый веб-сайт, интерфейс которого создается в стиле сайтов российских банков, и предлагают выбрать и подключить услуги по безопасности смартфона, например, защиту денежных средств от телефонных мошенников или качественный ремонт смартфона с гарантией от сертифицированных сервисов.

4. На сайте можно выбрать не только подходящую для смартфона операционную систему, но и марку производителя.

5. В случае установки такого приложения или подключения услуги клиент рискует потерять контроль над онлайн-банком и своим мобильным устройством, что в конечном итоге приведет к хищению его денег.

Атаки и уязвимости

Графические процессоры (GPU) шести крупнейших производителей уязвимы перед новым методом браузерных атак. Сайты со специальным содержимым могут получать доступ к именам пользователей, паролям и другим чувствительным данным, отображаемым другими веб-сайтами.

Исходные пиксели и результат их хищения с помощью новой техники.

Новый тип атаки нарушает принцип безопасности, известный как «политика одного источника» или «Same Origin Policy», который требует изоляции контента одного домена от всех остальных.

Атака, названная исследователями «GPU.zip», начинается с перехода жертвы на злонамеренный веб-сайт, который размещает в своём коде ссылку на веб-страницу, данные с которой он хочет прочитать, внутри «iframe», обычного HTML-элемента, позволяющего сайтам вставлять рекламу, изображения или другой контент.

Обычно политика одного источника запрещает одному сайту доступ к исходному коду, контенту или данным другого. Однако выяснилось, что сжатие данных, используемое видеоадаптерами для улучшения производительности, может быть использовано злоумышленниками в качестве побочного канала и поэтапной «кражи пикселей».

Атака работает в браузерах Chrome и Edge на графических процессорах Apple, Intel, AMD, Qualcomm, ARM и Nvidia. Скорость атаки зависит от мощности процессора:

• на AMD Ryzen 7 4800U с видеоядром Radeon RX Vega 8 успешная атака заняла всего 30 минут, чтобы показать исходное содержимое с 97% точностью;
• на Intel Core i7-8700 со встроенной графикой UHD Graphics 630 на восстановление пикселей ушло уже 215 минут.

Представлен инновационный метод извлечения аудиоданных из видеороликов без звука и даже из фотографий.

Для этого используется инструмент Side Eye, основанный на машинном обучении. Он позволяет улавливать речь человека вплоть до точных слов и даже тембра голоса.

Основные техники Side Eye — это стабилизация изображения и особый метод фотосъемки — rolling shutter, распространенный в современных устройствах. Он считывает картинку не целиком, а построчно и выявляет мельчайшие вибрации, которые проходят рядом с камерой, когда кто-то разговаривает. Side Eye преобразует видимые колебания воздуха обратно в звук, увеличивая детализацию аудиосигнала в тысячи раз.

Для эффективной работы Side Eye требуется лишь небольшое количество света. При этом чем больше кадров доступно для анализа, тем лучше. Интересно, что даже кадр с изображением потолка или стены может помочь в реконструкции речи.

На выходе получаются приглушенные звуки, которые гораздо проще интерпретировать в дальнейшем.

Инциденты

Из-за мощной DDoS-атаки на систему бронирования авиабилетов Leonardo 28 сентября были задержаны авиарейсы в нескольких аэропортах.

Авиакомпании «Аэрофлот» и «Победа» предупредили пассажиров о возможных проблемах с регистрацией на рейсы в связи с сбоем в системе бронирования:

«В связи с глобальным сбоем в системе бронирования Leonardo (Сирена-Тревел) затруднена регистрация в аэропортах маршрутной сети компании»

Аэрофлот сообщил о задержке минимум семи рейсов из аэропорта «Шереметьево». Среднее время задержки составило 30 минут.

В «Победе» также отметили , что произошел сбой в работе сервисов бронирования, онлайн-регистрации и регистрации в аэропортах. Регистрация в аэропортах временно осуществлялась вручную, и пассажирам рекомендовали прибывать заранее.

К 12:08 по московскому времени «Ростех» подтвердил полное восстановление работоспособности системы бронирования Leonardo.

Хакеры из проекта Dark Slivki заявили, что они получили доступ к данным зарегистрированных пользователей рекомендательного сервиса «Zoon».

Позже появилась информация, что взлом произвёл некий хакер StephenHawklng, а не Dark Slivki.

В полученных файлах содержатся:

• 🌵 имя,
• 🌵 название компании и должность,
• 🌵 телефон (около 400 тыс. уникальных номеров),
• 🌵 адрес эл. почты (около 570 тыс. уникальных адресов).

Проверка случайных логинов из этих файлов через функцию восстановления пароля на сайте zoon.ru показала, что они действительные.

Данные актуальны на май 2023 года.

Компания DarkBeam, специализирующаяся на защите от цифровых рисков, допустила массивную утечку данных, оставив свои интерфейсы Elasticsearch и Kibana в публичном доступе.

В результате были раскрыто более 3,8 млрд записей с электронными адресами и паролями пользователей из ранее общедоступных и даже неизвестных нарушений безопасности.

Среди потенциально утекших данных было 16 коллекций с названиями «email 0-9» и «email A-F», каждая из которых содержала по 240 миллионов записей, включая данные русскоязычных клиентов.

Подобные утечки данных обычно происходят из-за человеческого фактора, например, когда сотрудники забывают установить пароль после проведения технического обслуживания.

Из-за кибератаки вымогательской группировки Medusa филиппинской медицинской страховой компании PhilHealth пришлось отключить несколько веб-сайтов и информационных порталов.

Пока ключевые сервисы не работают, участникам программы страхования придется предоставлять бумажные копии документов, чтобы получить медицинскую помощь. Медучреждения вынуждены договариваться о льготных выплатах напрямую с пациентами, готовыми к выписке.

Вымогатели дали 10 дней на оплату выкупа. Чтобы продлить срок, придется заплатить еще 100 тысяч долларов США. За удаление украденной информации или предоставление доступа к ней требуют 300 тысяч долларов США.

KNP Logistics, одна из крупнейших логистических компаний в Великобритании, объявила о банкротстве из-за вымогательской атаки группировки Akira, которая произошла в июне 2023 года.

По словам экспертов, вымогательская атака затронула ключевые системы, процессы и финансовую информацию компании, что негативно сказалось на её финансовом положении и на её способности привлечь дополнительные инвестиции.

Удержаться на плаву KNP Logistics не помогло даже появление дешифратора для жертв Akira, выпущенного специалистами Avast.

Бермудские острова работают над восстановлением доступности государственных служб после кибератаки, которая привела к перебоям в работе интернета, электронной почты и телефонной связи.

Премьер-министр островов сообщил, что «работы по восстановлению идут полным ходом, и мы работаем над тем, чтобы установить график, которому могут следовать люди, который будет использоваться для безопасного возвращения наших систем в оперативный режим».

Инцидент произошел вечером 20 сентября и был обнаружено сотрудниками полиции только на следующее утро. Ответственные специалисты попытались изолировать место вторжения и отключить его, однако были вынуждены отключить вообще все устройства, подключенные к сети, а затем полностью деактивировать и саму сеть.

Канадский государственный реестр новорождённых BORN Ontario подтвердил нарушение безопасности, затронувшее около 3,4 млн человек, среди которых обратившиеся за медпомощью во время беременности женщины, а также около двух миллионов новорождённых и детей.

Сообщается, что хакеры скопировали обширный массив данных, включающих информацию о людях с января 2010 года по май 2023 года. В нём содержатся имена, даты рождения, адреса, почтовые индексы и номера медицинских карт. Также была украдена клиническая информация, включая даты осмотра и обслуживания, результаты лабораторных тестов и другие медицинские данные.

По данным BORN, кибератака связана с массовым взломом инструмента передачи файлов MOVEit Transfer, ответственность за взлом которого в июне взяла на себя вымогательская банда Clop.

Правительство Кувейта восстанавливает системы после кибератаки вымогательской группировки Rhysida, которая затронула Министерство финансов страны.

Минфин Кувейта сообщило, что Национальный киберцентр страны (National Cyber Center) работает круглосуточно, чтобы решить проблему, и привлекло к процессу ИБ-специалистов, а также представителей других правительств, имена которых не были названы. Министерство подтвердило, что все данные о зарплатах госслужащих хранятся в системах ведомства, и финансовые операции регистрируются. Все государственные органы продолжают работать в обычном режиме.

25 сентября хакерская группировка Rhysida добавила Министерство финансов Кувейта в свой список жертв, предоставив правительству 7 дней на уплату выкупа, размер которого не был указан.

Авиакомпания Air Canada сообщила, что личная информация некоторых ее сотрудников попала в руки хакеров, и злоумышленники «на короткое время» получили ограниченный доступ к ее внутренним системам.

Представители Air Canada настаивают, что инцидент не повлиял на системы управления полетами, и атакующие не получили доступ к системам, связанным с взаимодействием клиентами. То есть никакая информация о клиентах не была раскрыта.

Air Canada уже связалась со всеми пострадавшими сторонами, информация об инциденте уже передана правоохранительными органами, и в настоящее время все системы работают в штатном режиме.

В заявлении авиакомпании не содержится никаких подробностей о самом инциденте и о злоумышленниках, которые стоят за этой атакой. Пока ни одна хак-группа не взяла на себя ответственность за этот инцидент.

Злоумышленники взломали систему бронирования авиабилетов Leonardo разработки «Сирена-Тревел» и слили в Telegram информацию о заказах и ПДн пассажиров

Два файла суммарно содержат более 17,5 млн строк.

Первая база TICK_PHONE_sample содержит 14 630 668 строк в формате: код аэропорта, номер телефона, номер рейса, номер регистрации, сведения о билете и иногда паспортные данные. Количество уникальных телефонов составляет почти 4 миллиона, адресов электронной почты — «всего» 520 с половиной тысяч.
 
Второй файл TICK_INFO_sample немного покрупнее — 3 015 002 строки в формате: номер рейса, авиакомпания, тариф, направление, информация о бронировании, стоимость билета и ФИО пассажира.
 
Данные охватывают период с 2007 по 10 сентября 2023 года.

Производитель автомобильного оборудования компания Clarion стала жертвой вымогательской группы ALPHV (BlackCat).

Пострадало японское подразделение Clarion Japan, которое занимается разработкой, производством и продажей разнообразной продукции: от навигационных систем до видеосистем и камер заднего вида.

В сообщении на сайте утечек ALPHV говорится:

«Clarion подвергся взлому, приведшему к утечке конфиденциальных данных о компании и ее партнерах, включая техническую документацию клиентов. Через 2 дня сведения будут переданы заинтересованным сторонам и частично опубликованы в открытом доступе. Доверяя Clarion ваши разработки, вы рискуете потерять как данные, так и репутацию».

В качестве доказательств хакеры опубликовали скриншоты украденных документов.

Обзор новостей информационной безопасности с 15 по 21 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В рамках новой киберкампании мошенники с помощью анкет самооценки пытаются выудить логины и пароли от корпоративных аккаунтов.

Схема действий преступников

1. Сотрудники получают письмо якобы от HR-отдела компании, в котором из убедительно просят пройти процедуру самооценки.

2. В письме написано, что опрос ОБЯЗАТЕЛЕН для ВСЕХ и сдать его нужно До Конца Дня.

3. В письме содержится ссылка на сайт, где следует заполнить анкету.

4. В анкете требуется указать адрес электронной почты, аутентифицироваться при помощи своего пароля и дополнительно ввести пароль еще раз для подтверждения.

5. Маскировка запроса пароля и е-мейла, который чаще всего является логином, под часть анкеты, которая уже почти заполнена, усыпляет бдительность жертвы.

6. Слово «password» в вопросе написано необычно: две буквы закрыты звездочками. Это делается для обхода автоматических фильтров, настроенных на поиск ключевого слова password.

7. Если отправить заполненную анкету, логины и пароли попадут к хакерам.

BI.ZONE выявила массовые атаки на представителей крупного российского бизнеса и государственных организаций, в основе которых лежат методы социальной инженерии.

Схема кампании

1. Злоумышленники связываются с сотрудниками компаний, используя поддельные аккаунты в Telegram, учётные записи содержат Ф. И. О. и фотографии топ менеджеров.

2. Собеседник представляется генеральным директором организации, в которой работает потенциальная жертва. При этом злоумышленник обращается к сотруднику, используя его имя и отчество, чтобы вызвать доверие.

3. В ходе беседы мошенник предупреждает о скором звонке из Министерства промышленности и торговли России. Он просит никому не сообщать о разговоре, а после него — отчитаться, как все прошло.

4. После этого жертве поступает звонок с неизвестного номера, в процессе которого у неё могут запрашивать различную конфиденциальную информацию и вынуждать совершать финансовые операции в пользу мошенников.

Вредоносная кампания правительственных хакеров из группировки APT36 используют Android-приложения, имитирующие YouTube, для заражения устройств своих целей трояном CapraRAT.

Вот как это происходит:

1. Жертв с помощью социальной инженерии убеждают скачать и установить приложение с подконтрольного хакерам ресурса.

2. При установке малварь запрашивает у пользователя множество опасных разрешений, но к некоторым из них жертва может отнестись без подозрения, ожидая чего-то подобного от YouTube.

3. Интерфейс вредоносных приложений пытается имитировать настоящее приложение YouTube, но больше напоминает браузер, а не собственное приложение Google, поскольку для загрузки сервиса здесь используется WebView. В приложении отсутствуют некоторые функции, доступные в настоящей версии.

4. После запуска CapraRAT на устройстве малварь может выполнять следующие действия:

• вести запись с помощью микрофона, фронтальной и задней камеры;
• собирать содержимое SMS и мультимедийных сообщений, журналов вызовов;
• отправлять SMS-сообщения и блокировать входящие SMS;
• инициировать телефонные звонки;
• делать скриншоты;
• изменять системные настройки, включая настройки GPS и сети;
• изменять файлы в файловой системе устройства.

Инциденты

Международный уголовный суд (МУС) сообщил о кибератаке, в результате которой на прошлой неделе оказались взломаны его системы.

МУС сообщил, что были приняты немедленные меры для реагирования на этот инцидент в области кибербезопасности.

Некоторые СМИ рассказали, что в результате атаки было украдено большое количество конфиденциальных документов. В МУС эту информацию не подтвердили.

В заявлении суда говорится, что он продолжает «анализировать и смягчать последствия этого инцидента» при помощи голландского правительства и усиливает свои меры кибербезопасности.

Один из сотрудников Microsoft случайно выложил в открытый доступ на GitHub 38 ТБ конфиденциальных данных, среди которых были приватные ключи, пароли, а также более 30 000 внутренних сообщений из Microsoft Teams.

В ходе рядового сканирования интернета, направленного на обнаружение неправильно сконфигурированных контейнеров эксперты Wiz обнаружили на GitHub репозиторий, управляемый Microsoft и называвшийся robust-models-transfer. Этот репозиторий принадлежит исследовательскому подразделению Microsoft по искусственному интеллекту, и его цель — предоставление открытых исходных кодов и ИИ-моделей для распознавания изображений.

Оказалось, что еще в 2020 году Microsoft использовала для передачи данных токены Azure SAS (Shared Access Signature), которые позволяют делиться информацией из аккаунтов Azure Storage. Хотя уровень доступа может быть ограничен только конкретными файлами, в этом случае ссылка была настроена неправильно — на общий доступ ко всей учетной записи, включая 38 ТБ личных файлов.

Среди информации, доступной через случайно скомпрометированную учетную запись, оказались резервные копии персональных компьютеров сотрудников Microsoft. В них содержались пароли к сервисам Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft.

Хакерская группа UHG опубликовала в открытом доступе информацию о пользователях российского сайта Форенто, посвященного отдыху и аренде жилья в России.

В утечке содержится 389 тысяч записей, включая личные и технические данные пользователей.

Утечка включает в себя:

• Ф.И.О. пользователей;
• Даты рождения;
• Телефонные номера (325,7 тыс. уникальных номеров);
• Электронные адреса (322,9 тыс. уникальных адресов);
• Данные аккаунтов в социальных сетях, включая ВКонтакте, Яндекс и другие платформы.

По утверждению хакеров, предоставленные данные актуальны на сентябрь 2023 года.

Злоумышленник USDoD утверждает, что ему удалось украсть и обнародовать конфиденциальные данные американского агентства-агрегатора отчётности о потребительских кредитах TransUnion.

Утекшие данные размером более 3 ГБ, содержат персональную информацию примерно 58 505 людей по всему миру, включая Северную и Южную Америку, а также Европу. Сам архив датирован 2 марта 2022 года, что, вероятно, указывает на непосредственную дату нарушения безопасности.

Утечка включает в себя имя, фамилию, пол, паспортные данные, место и дату рождения, семейное положение, возраст, информацию о текущем работодателе, кредитный рейтинг и даже остаток задолженности по кредитам жертв.

Само агентство отрицает факт утечки:

На данный момент мы и наши внутренние и внешние эксперты не обнаружили никаких признаков того, что системы TransUnion были взломаны или что данные были похищены.

Американский телеведущий, инвестор, миллиардер и владелец баскетбольной команды Dallas Mavericks Марк Кьюбан стал жертвой хакерской атаки.

История транзакций на Etherscan показала, что из кошелька были выведены различные активы, включая Tether, StETH и USD Coin, и это все произошло всего за 10 минут.

Изначально эксперты предположили, что Кьюбан просто перераспределяет свои активы между разными кошельками. Однако через несколько часов 65-летний миллиардер подтвердил новость.

В общей сложности хакер украл из горячего кошелька Кьюбана криптовалюту на сумму около 900 000 долларов США. Кьюбан заявил, что не имеет представления о том, как хакеру удалось получить доступ к его кошельку. Миллиардер рассказал, что впервые за несколько месяцев зашел в MetaMask, и, возможно, хакер ждал именно этого момента. Кьюбан предположил, что мог скачать поддельную версию MetaMask и стать жертвой фишинговой атаки.

Британские правоохранители стали жертвой атаки программы-вымогателя, поразившей неназванного стороннего поставщика. Утечка затронула личную информацию ряда сотрудников.

Согласно заявлению полиции Большого Манчестера (Greater Manchester Police, GMP) , неназванная компания, пострадавшая от этой атаки, является поставщиком услуг не только для правоохранительных органов, но и для других организаций по всей Великобритании.

При этом подчеркивается, что взломанные системы не содержали финансовые данные сотрудников полицейского управления, но расследование этой вымогательской атаки и связанной с ней утечки данных является наивысшим приоритетом, а расследование ведется на общенациональном уровне.

Министерство здравоохранения и социальной защиты Колумбии, судебная власть и Надзорное управление промышленности и торговли объявили о серьезных проблемах в своей работе из-за кибератаки на технологического поставщика IFX Networks Colombia.

Представители Министерства здравоохранения сообщили о возникших трудностях после того как IFX Networks уведомила их о проблемах, затрагивающих их дата-центр. «Из-за инцидента в области кибербезопасности невозможно получить доступ к приложениям, используемым для выполнения нашей миссии и предоставления услуг на национальном уровне,» — заявили в министерстве.

На сайте судебной власти появилось сообщение о прекращении работы из-за атаки на IFX. Верховный Суд страны приостановил все слушания с 14 по 20 сентября.

Надзорное управление промышленности и торговли, отвечающее за защиту прав потребителей и регулирование рыночной конкуренции, также подтвердило факт атаки и приостановило некоторые операции до конца недели.

Местные СМИ сообщают о проблемах с технологией в других государственных органах. Однако точное число пострадавших организаций неизвестно.

Хотя ни одна из групп программ-вымогателей публично не взяла на себя ответственность за инцидент, исследователи кибербезопасности с сайта elHacker.net предоставили изображения, указывающие на возможное участие группы RansomHouse в атаке на IFX Networks.

Компания ORBCOMM, специализирующаяся на решениях для управления автопарками и отслеживания грузоперевозок, подтвердила, что причиной недавних сбоев в работе сервисов является атака программы-вымогателя.

С 6 сентября клиенты ORBCOMM начали сообщать о невозможности отслеживать перемещение своих грузовых автомобилей и использовать устройства для электронного учёта рабочего времени Blue Tree ELD, что вынудило водителей грузовиков переключиться на бумажные журналы.

Вскоре после атаки вице-президент по корпоративным коммуникациям ORBCOMM сообщила: «6 сентября 2023 года ORBCOMM пережила атаку программы-вымогателя, которая временно затронула платформу FleetManager и продуктовую линейку BT».

В ответ на этот инцидент, Федеральное управление по безопасности автомобильных перевозок США (FMCSA) выдало временное разрешение на использования бумажных журналов до восстановления сервиса, но не позднее 29 сентября, когда ORBCOMM и планирует закончить восстановление своих систем.

По данным FMCSA, «водители, использующие идентифицированные ELD-устройства, могут продолжать записывать свои часы работы на бумажных графиках или в программе учёта, пока ORBCOMM не сообщит FMCSA о восстановлении работы неисправных устройств Blue Tree ELD».

Пока неизвестно, какая вымогательская группировка стоит за атакой.