Обзор новостей информационной безопасности с 8 по 14 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новой фишинговой кампании злоумышленники используют корпоративный мессенджер Microsoft Teams для отправки вредоносных файлов, активирующих установку вредоносного ПО DarkGate Loader на компьютерах жертв.

Схема кампании

1. Атака началась с двух скомпрометированных аккаунтов Office 365, которые отправляли фишинговые сообщения в Microsoft Teams на рабочие адреса сотрудников различных организаций.

2. Сообщения предлагали открыть ZIP-файл под названием «Изменения в графике отпусков».

3. При клике на вложение начиналась загрузка ZIP-файла с SharePoint, внутри которого находился LNK-файл, маскирующийся под PDF-документ.

LNK-файл, замаскированный под PDF.

4. Вредоносный LNK-файл содержит VBScript, который инициирует установку вируса DarkGate Loader.

5. Для уклонения от антивирусных систем процесс загрузки использует утилиту Windows cURL для получения исполняемых файлов и скриптов вредоносного ПО.

6. Полученный скрипт предварительно скомпилирован и содержит так называемые «магические байты» (magic bytes), связанных со сценариями AutoIT, что позволяет скрыть вредоносный код.

7. Перед активацией скрипт проверяет наличие антивируса Sophos на компьютере жертвы. В случае его отсутствия, скрипт расшифровывает дополнительный код и запускает шелл-код, создающий исполняемый файл DarkGate в оперативной памяти.

Вредоносное ПО DarkGate поддерживает широкий спектр вредоносных действий, включая установку hVNC-подключения для удаленного доступа, майнинг криптовалюты, настройку Reverse Shell, кейлоггинг, перехват буфера обмена, кражу файлов и данных браузера.

Эксперты CheckPoint выявили масштабную фишинговую кампанию, нацеленную на 40 крупных компаний Колумбии.

Цепочка атаки.

Целью злоумышленников была скрытная установка на компьютеры сотрудников организаций вредоносного программного обеспечения Remcos RAT с возможностями для дальнейшей компрометации и получения ценных данных.

Схема действий преступников

1. Атака всегда начиналась с массовой рассылки фишинговых писем от имени известных финансовых учреждений и крупных корпораций, работающих на территории Колумбии. Эти письма были тщательно разработаны для создания видимости их легитимности, кроме того, зачастую они содержали срочные уведомления, сообщения о просроченных долгах или привлекательные предложения.

2. Каждое фишинговое письмо включало в себя архив ZIP, RAR или TGZ. В письме утверждалось, что архив содержит важные документы, счета или иную ценную для получателя информацию. И всё это, разумеется, чтобы побудить жертву открыть вложение.

3. В действительности данные архивы содержали в себе сильно обфусцированный BAT-файл, запуск которого инициировал выполнение PowerShell-команд. Эти команды также были существенно усложнены для анализа и обнаружения средствами безопасности.

4. После расшифровки PowerShell-команд происходила загрузка в оперативную память двух вредоносных .NET-модулей. Первый из них отвечал за обход систем обнаружения и предотвращения вторжений на целевой машине. Он устранял или блокировал защитные механизмы, тем самым повышая шансы вредоноса остаться незамеченным и действовать скрытно.

5. Второй .NET-модуль загружал дополнительный компонент «LoadPE», отвечающий за запуск Remcos, напрямую в оперативной памяти устройства, без сохранения файлов на диске. Такая технология позволила максимально затруднить обнаружение вредоносной программы традиционными средствами защиты, ориентированными на мониторинг и сканирование файлов.

6. После успешной загрузки Remcos в память, атака считалась завершённой. Это мощный инструмент удалённого доступа предоставляет злоумышленникам полноценный контроль над скомпрометированной системой. Он служит для них своего рода мультитулом, давая широкие возможности по краже данных, слежке, сбору паролей и прочим противоправным действиям.

Обнаружена сложная фишинговая кампания, которая использует документ-приманку Microsoft Word для распространения трех типов вредоносного ПО — Agent Tesla, OriginBotnet и RedLine Clipper. Программы могут собирать широкий спектр данных с компьютеров, работающих под управлением Windows.

Схема кампании

1. Фишинговое письмо приходит с вложением в виде документа Word, в котором специально размыто изображение и интегрирован поддельный reCAPTCHA, чтобы спровоцировать пользователя на взаимодействие.

2. При клике на изображение загрузчик доставляется с удаленного сервера. Затем загрузчик последовательно устанавливает OriginBotnet для мониторинга нажатий клавиш (кейлоггинг) и кражи паролей, RedLine Clipper для кражи криптовалют и Agent Tesla для извлечения конфиденциальной информации.

3. Загрузчик применяет методику бинарного заполнения, добавляя «пустые» байты для увеличения объема файла до 400 МБ, чтобы обойти ПО безопасности.
4. Активация загрузчика запускает многоуровневый процесс, который устанавливает постоянное присутствие на зараженной машине и активирует DLL-библиотеку, отвечающую за финальную активацию вредоносов:

• RedLine Clipper — создан для кражи криптовалют, подменяя адрес кошелька в буфере обмена на адрес злоумышленника.
• Agent Tesla — инфостилер, работающий на .NET. Он служит для первичного проникновения в систему и эксфильтрации чувствительной информации от нажатий клавиш до учетных данных веб-браузеров.
• OriginBotnet — новое вредоносное ПО, содержит плагин для восстановления паролей (PasswordRecovery), который собирает и систематизирует учетные данные из различных программ и браузеров, отправляя их злоумышленникам.

Вредоносная кампания Steal-It, нацеленная на конкретных жертв в Австралии, использует в качестве приманки откровенные фото моделей с OnlyFans.

Цепочка заражения

Схема кампании

1. Атака начинается со скачивания жертвой ZIP-архива с названием «best_tits.zip», внутри которого содержится вредоносный ярлык «onlyfans.com-1.lnk».

2. Когда жертва открывает LNK-файл, запускается браузер Microsoft Edge с аргументом в кодировке base64. Этот аргумент представляет собой однострочный JavaScript-код, перенаправляющий жертву на сайт злоумышленников, также содержащий вредоносный код.

3. Чтобы скрыть вредоносное перенаправление, зловредная команда также открывает настоящий веб-сайт OnlyFans на другой вкладке и приостанавливает выполнение скрипта на 9 секунд.

4. После небольшой паузы, открытый на фоновой странице JavaScipt-код проводит ряд проверок и начинает выполнение зловредных действий. Если операционная система жертвы — Windows, а страна его местоположения — Австралия, код инициирует скачивание ещё одного вредоносного ярлыка с именем «m8.lnk», который сразу же запускается и помещается в папку автозагрузки Windows для установления постоянства.

5. Код в свежескачанном ярлыке скрытно собирает системную информацию о компьютере жертвы и пересылает её злоумышленникам с помощью API легитимного инструмента Mockbin, попутно удаляя следы своей работы из целевой системы.

Инциденты

Хакеры NoEscape атаковали международную комиссию (IJC), отвечающую за управление водными системами на границе между США и Канадой, и похитили 80 ГБ данных, включая контракты, геологические сведения и прочие документы.

Хакеры предоставили IJC 10 дней для ответа на требование об выкупе, но не указали сумму, которую они хотят получить за разблокировку файлов.

Один из представителей жертвы рассказал, что меры для разрешения ситуации уже принимаются, однако не сообщил, связывалась ли компания с правоохранительными органами и повлияла ли кибератака на работу внутренних систем. Также не сообщается, планирует ли IJC платить вымогателям.

Криптовалютная биржа CoinEX заявила, что неизвестные хакеры взломали ее горячие кошельки и украли активы которые использовались для поддержки работы платформы.

CoinEx подчеркивает, что активы пользователей не пострадали, и все стороны, понесшие убытки, в любом случае получат полную компенсацию. Пока ввод и вывод средств на CoinEx временно приостановлен в целях защиты пользовательских активов и будет возобновлен только после того, как ИТ-специалисты биржи удостоверятся в том, что все риски устранены.

Пока представители CoinEX не предоставили никакой информации о размере ущерба, подсчетами украденного занимаются сторонние блокчейн-аналитики. Так, по информации компании PeckShield, в ходе атаки злоумышленники похитили у CoinEx около 19 млн долларов США в ETH, 11 млн долларов США в TRON, 6,4 млн долларов США в Smart Chain Coin ($BSC), 6 млн долларов США в биткоинах (BTC), а также около 295 000 долларов в Polygon.

По данным PeckShield, общий ущерб от этой атаки составил около 43 млн долларов США, а оставшиеся 72 млн долларов США были выведены в более защищенные холодные кошельки.

В результате высокотехнологичной кибератаки на компанию Airbus была скомпрометирована ценная информация, включая имена, контактные номера и электронные адреса более чем 3200 поставщиков.

Вскоре после взлома в публичном поле появился загадочный хакер под псевдонимом «USDoD», заявивший, что украденная информация была извлечена из базы данных ФБР — InfraGrad. Инсайдеры в сфере кибербезопасности сообщают, что этот же хакер высказал прямые угрозы в адрес таких оборонных гигантов, как Raytheon и Lockheed Martin. Тактика атаки включала в себя использование инфостилера Redline для кражи информации через Microsoft .NET Framework.

Неизвестные злоумышленники скомпрометировали аккаунт Виталика Бутерина в социальной сети X (бывший Twitter).

Взломщики разметили от лица Бутерина пост о выпуске памятных NFT в честь прихода прото-данкшардинга (proto-danksharding) в Ethereum и предложили бесплатно получить свою «частичку истории» по ссылке, которая, разумеется, оказалась вредоносной. Публикация продержалась около 20 минут, но за это время злоумышленники успели похитить у пользователей 691 000 долларов США в криптовалюте.

После этого похитители приступили к быстрой продаже украденных NFT, одним из которых был ценный экземпляр из коллекции Cryptopunk, который был продан более чем за 200 000 долларов США. В понедельник в криптокошелек хакеров так же продемонстрировал активность, свидетельствующую о том, что за выходные они получили 300 ETH (порядка 468 000 долларов США).

Как объяснил Бутерин, перешедший в децентрализованную социальную сеть Warpcast, он стал жертвой атаки на подмену SIM-карты (SIM swap).

Компания MGM Resorts International объявила о киберинциденте, остановившем работу сайта, систем онлайн-бронирования и сервисов казино, банкоматов, игровых автоматов и терминалов для оплаты.

Представители MGM заявили , что уже приняты меры для защиты данных и внутренних систем. Расследование началось сразу же после обнаружения подозрительной активности.

Компьютерные сервисы крупных курортных отелей MGM до сих пор не функционируют. Сотрудники выполняют все операции вручную, поскольку банкоматы и платежные терминалы также выведены из строя. На главных страницах сообщается, что клиенты могут бронировать номера по телефону. Пользователям программы лояльности MGM Rewards рекомендуют связаться со службой поддержки.

Королевская футбольная федерация Нидерландов (КФФН) решила заплатить выкуп киберпреступникам, чтобы предотвратить утечку личных данных своих членов.

Отмечается, что КФФН, вероятно, выплатила более миллиона евро, чтобы не допустить публикации взломанных данных, среди которых были паспортные данные, домашние адреса и сведения о заработной плате профессиональных футболистов.

Атаку на КФФН провела киберпреступная группировка Lockbit в апреле 2023 года.

КФФН предупредила пострадавших о возможном злоупотреблении их данными, подчеркнув, что предотвращение утечки данных имеет для федерации больший вес, чем принцип не поддаваться на вымогательство.

Вымогательская группировка BianLian взломала международную благотворительную организацию Save The Children International.

Преступники сообщили, что украли 6,8 ТБ данных, включая финансовые записи на 800 ГБ, международные HR-файлы, личные данные, сообщения электронной почты и даже медицинскую информацию, а также данные о сотрудниках и международной деятельности.

Если требования о выкупе не будут выполнены, BianLian разгласит или продаст украденную информацию. Представитель организации Save The Children сообщил, что кибератака не оказала никакого влияния на деятельность организации. Организация уведомила правоохранительные органы и работает с внешними экспертами по кибербезопасности для расследования нарушения.

В Шри-Ланке начато расследование масштабной вымогательской кибератаки, затронувшей правительственную облачную систему Lanka Government Cloud (LGC).

Атака началась 26 августа этого года, когда один из пользователей домена «gov.lk» сообщил, что уже несколько недель на момент обращения получал подозрительные ссылки, и, возможно, кто-то из сотрудников перешёл по одной из таких ссылок. В результате сервисы LGC и резервные системы были быстро зашифрованы злоумышленниками.

Махеш Перера, глава Агентства информационных и коммуникационных технологий Шри-Ланки (ICTA), сообщил, что атаке подверглись все 5000 электронных адресов, использующих домен «gov.lk», включая адреса Кабинета министров.

Система и резервные копии были восстановлены в течение 12 часов после атаки. Однако из-за отсутствия резервирования данных с 17 мая по 26 августа 2023 года, все затронутые аккаунты безвозвратно потеряли информацию за этот период.

Обзор новостей информационной безопасности с 1 по 7 сентября 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В ходе очередной мошеннической кампании жертве предлагают заплатить за отказ от публикации на порноресурсе видео с её участием.

Схема кампании

1. Жертва получает письмо от имени сайта YouPorn, в теме которого запрашивается обратная связь по загруженному контенту (Uploaded content: Feedback required).

2. Получателя уведомляют, что он якобы загрузил на сайт видеоматериалы сексуального характера, и через семь дней они автоматически попадут в общий доступ. Если это ошибка, нужно срочно принять меры, следуя инструкциям.

3. Чтобы отказаться от публикации видео и удалить его, отправители предлагают бесплатный вариант, ссылка на который не работает, и несколько платных опций с разной степенью защиты от повторной загрузки на партнерских сайтах. Стоимость платных опций от 199 до 1399 долларов США в биткоинах.

Новая фишинговая кампания группировки APT34 направлена на распространение вредоносного ПО SideTwist.

Схема кампании.

Хакеры использует специально созданные документы Microsoft Word с вредоносными макросами.

Вредоносный документ

После запуска макрос извлекает и запускает зашифрованную полезную нагрузку SideTwist, которая устанавливает соединение с удалённым сервером для получения дальнейших инструкций.

SideTwist умеет загружать и скачивать файлы, а также выполнять команды злоумышленников. Эксперты отмечают, что данный бэкдор является одним из ключевых инструментов группы APT34 для закрепления в скомпрометированных системах.

Атаки и уязвимости

Новая атака позволяет заблокировать работу iPhone с помощью устройства Flipper Zero.

В ходе атаки на яблочном устройстве появляются назойливые всплывающие окна с предложениями подключиться к ближайшим Bluetooth-устройствам AirTag, Apple TV и AirPods.

Метод атаки получил название «Bluetooth Advertising Assault» (Атака через рекламные сообщения Bluetooth).

Для реализации атаки эксперт использовал модифицированную прошивку Flipper Zero. С её помощью он транслировал в эфир так называемые «Bluetooth Advertisements» — сигналы, которые устройства используют для анонсирования своего присутствия и возможностей. Такие сигналы являются частью протокола Bluetooth Low Energy, который Apple использует для подключения различных устройств компании между собой.

Атаку успешно воспроизвели на iPhone 8 и iPhone 14 Pro.

Инциденты

В открытом доступе опубликованы данные клиентов МТС Банка в виде трёх текстовых файлов.

В первом файле ровно 1 млн строк, которые содержат:

• 🌵 ФИО,
• 🌵 номер телефона,
• 🌵 дата рождения,
• 🌵 пол,
• 🌵 ИНН,
• 🌵 гражданство.

Во втором файле 3 095 392 строки:

• 🌵 частичный (6 первых и 4 последних цифры) номер банковской карты,
• 🌵 дата выпуска и истечения карты,
• 🌵 тип карты (дебетовая, кредитная, корпоративная).

В третьем файле находится 1,8 млн уникальных номеров телефонов, 50 тыс. уникальных адресов эл. почты и числовые идентификаторы.

Источник утверждает, что полный дамп содержит 21 млн строк.

Хакерская группировка UHG заявила о взломе страховой компании АСКО и краже данных.

В предоставленном для анализа SQL-файле объёмом около 50 Гб содержатся персональные данные (телефоны, адреса эл. почты, адреса, паспортные данные), информация по автомобилям (госномера, VIN, марки и т. п.) и страховым полисам (номера, даты, стоимость и т. п.).

Всего в файле обнаружено около 1,8 млн уникальных номеров телефонов и 332 тыс. уникальных адресов эл. почты.

Злоумышленники из группировки Dunghill выложили в сеть чувствительную информацию о сотрудниках туристической компании Sabre, находящихся в США по рабочей визе.

Было похищено около 1,3 Тб данных. Компания не смогла удовлетворить выдвинутые преступниками требования, поэтому часть сведений оказалась в открытом доступе.

В руках хакеров оказались сведения о национальности сотрудников, их даты рождения, номера паспортов и визы. Кроме того, среди украденных данных — записи о продаже билетов, статистика по пассажирам, финансовые документы и другая информация, связанная с персоналом.

Благотворительная организация Freecycle[.]org, сайт которой посвящен обмену и утилизации использованных вещей, сообщила о масштабной утечке данных, от которой пострадали более 7 миллионов человек.

Утечка была обнаружена лишь в конце августа, хотя еще 30 мая 2023 года злоумышленники выставили украденные данные пользователей на продажу на хакерском форуме. Теперь всех пострадавших призывают немедленно сменить пароли. Если пароль от Freecycle использовался повторно где-то еще, его тоже следует изменить.

Украденная информация включает имена и ID пользователей, адреса электронной почты и пароли (MD5). Подчеркивается, что никакие другие данные раскрыты не были (например, адреса, номера телефонов, финансовая информация), поскольку все публикации на Freecycle бесплатны и не требуют таких деталей.

На скриншотах, которыми поделился злоумышленник, продающий украденную информацию, видны украдены учетные данные основателя и исполнительного директора Freecycle Дерона Била (Deron Beal). Похоже, именно таким образом злоумышленники и получили полный доступ к сайту и информации о пользователях.

Киберпреступники похитили более 500 000 внутренних документов и изображений, а также базы данных объёмом более 400 Гб из системы Национальной полиции Парагвая (Policía Nacional del Paraguay).

Данные утечки относятся к следующим подразделениям:

• Дирекции по внутренним делам (Dirección de Asuntos Internos);
• Департаменту идентификации (Departamento de Identificaciones);
• Департаменту регистрации иностранцев (Departamento Registro de Extranjeros);
• Отделу технологий и развития (Division de Tecnologia y Desarrollo).

Среди утекших данных — административные документы, фотографии улик, приказы от командования, а также информация о разыскиваемых лицах.

Вымогатели LockBit взломали британскую компанию Zaun и похитили около 10 Гб информации. Они проникли в систему через компьютер с Windows 7, на котором было установлено ПО для управления производственного оборудования.

Zaun заявляет, что кибератака произошла в начале августа 2023 года, но компании удалось остановить хакеров до того, как данные были зашифрованы. То есть инцидент не сказался на работе компании.

Вымогатели уже обнародовали часть украденных данных. Некоторые из похищенных файлов связаны с британскими военными, разведывательными и исследовательскими базами, теоретически позволяя получить доступ к некоторым секретным военным и исследовательским объектам Великобритании.

Группировка ShinyHunters похитила данные более миллиона клиентов сети пиццерий Pizza Hut в Австралии.

Злоумышленники воспользовались уязвимостью в сервисе AWS и похитили более 30 миллионов строк конфиденциальной информации.

В выложенных хакерами образцах данных присутствуют сведения о заказах, включающие имена, адреса, номера телефонов и зашифрованные данные банковских карт клиентов. Проверка подтвердила подлинность украденных данных.

ShinyHunters требуют 300 000 долларов США за удаление похищенной информации.

Pizza Hut пока не комментировала данный инцидент и никак не ответила на требования злоумышленников.

Компания NXP Semiconductors сообщила о взломе и краже персональных данных клиентов.

Похищенные данные принадлежат владельцами онлайн-аккаунтов NXP, у которых есть доступ к техническому контенту и взаимодействию с сообществом.

Злоумышленникам, по словам представителя NXP, удалось украсть «основную персональную информацию»: полные имена, адреса электронной почты, почтовые адреса, корпоративные телефонные номера, личные номера телефонов, наименования компаний, должности.

В открытом доступе появился JSON-файл, содержащий персональные и платежные данные пользователей сервиса работы в такси Рулю.ру.

Файл содержит 428 658 строк со следующей информацией:

• 🌵 ФИО,
• 🌵 телефон ( 425 тыс. уникальных номеров),
• 🌵 адрес эл. почты (1,3 тыс. уникальных адресов),
• 🌵 дата рождения,
• 🌵 номер банковской карты (120 тыс. уникальных карт),
• 🌵 город,
• 🌵 пароль в открытом (текстовом) виде,
• 🌵 дата регистрации (с 24.01.2017 по 09.03.2023).

Проверка случайных логинов (номеров телефонов) из этого файла через функцию регистрации на сайте profile.rulyou.ru/auth показала, что они действительные.

Обзор новостей информационной безопасности с 25 по 31 августа 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена новая фишинговая кампания MalSpam, в ходе которой устройства жертв заражаются вредоносным ПО DarkGate.

Цепочка заражения

Схема действий преступников

1. Атака начинается с фишинговой ссылки, которая через систему перенаправления трафика ведёт жертву на вредоносный MSI-файл.

2. Скачивание и запуск этого файла инициирует многоступенчатый процесс, в результате которого и происходит расшифровка, а затем запуск DarkGate.

3. Альтернативный вариант атак с использует вместо MSI-файла скрипта на Visual Basic. Он использует cURL для извлечения исполняемого файла AutoIt и самого скрипта.

4. DarkGate умеет скрываться от антивирусов, закрепляться в системе с помощью изменений в реестре, повышать привилегии, красть данные из браузеров и программ вроде Discord и FileZilla.

5. Вредонос устанавливает связь с командным сервером для кражи файлов, запуска криптомайнеров, удалённого создания скриншотов и выполнения прочих команд. Ранние версии вредоноса также имели модуль-вымогатель.

Атаки и уязвимости

В мобильном приложении Skype обнаружена уязвимость, позволяющая получить IP-адрес пользователя при открытии сообщения со специфической ссылкой.

Хакер может определить местоположение пользователя, попросив его открыть сообщение со ссылкой. Хотя обнаруживший проблему эксперт уведомил Microsoft в начале августа, компания заявила, что «раскрытие IP-адреса не является проблемой безопасности».

Примечательно, что получить IP-адрес жертвы можно даже при использовании VPN. При этом не имеет значения, на какой именно сайт вела ссылка.

Мобильная безопасность

В Google Play Store и Samsung Galaxy Store обнаружены зараженные шпионским ПО BadBazaar клоны приложений Signal и Telegram.

Приложения, которые GREF использовала в своей кампании, носили имена Signal Plus Messenger и FlyGram. Оба представляли собой модифицированные версии популярных мессенджеров Signal и Telegram.

BadBazaar способен отслеживать точное местоположение зараженного устройства, похищать журналов вызовов и SMS, записывать телефонные звонки, делать фото с помощью камеры устройства, а также воровать списки контактов, файлы и базы данных.

Злоумышленники создали специальные сайты signalplus[.]org и flygram[.]org, чтобы придать своим приложениям видимость легитимности. Пользователям предлагалось загрузить фальшивки из магазина приложений или непосредственно с самого сайта.

FlyGram был нацелен на кражу конфиденциальных данных, включая списки контактов, журналы вызовов, учетные записи Google и данные Wi-Fi. Также вредонос предлагал пользователям функцию резервного копирования, которая отправляла коммуникационные данные Telegram прямиком на сервер хакеров. Анализ показал, что как минимум 13 953 пользователя FlyGram включили опасную функцию резервного копирования, тогда как общее число жертв шпионского приложения неизвестно.

Signal Plus Messenger собирал аналогичную информацию, но был ориентирован на извлечение специфических для Signal данных, таких как сообщения жертвы и PIN-код, защищающий аккаунт от несанкционированного доступа.

Также в поддельном приложении присутствовала функция, позволявшая злоумышленнику связать учетную запись Signal жертвы с со своим устройством, чтобы видеть будущие сообщения в чатах.

Новый банкер MMRat для Android использует протокол сериализации данных protobuf (Protocol Buffers) для кражи информации со взломанных устройств.

MMRat можно найти на сайтах, замаскированных под официальные магазины приложений. Эксперты предполагают, что жертвы сами загружают и устанавливают такие приложения, а затем предоставляют им опасные разрешения, включая доступ к Accessibility service.

Проникнув на устройство, MMRat устанавливает связь с управляющим сервером и отслеживает активность зараженного гаджета, чтобы обнаружить периоды бездействия. Затем, выбрав подходящий момент, злоумышленники злоупотребляют возможностями Accessibility service, чтобы удаленно активировать устройство, разблокировать экран и совершить банковский фрод в режиме реального времени.

Основные функции MMRat:

• сбор информацию о сети, экране и батарее;
• извлечение списка контактов пользователя и списка установленных приложений;
• перехват вводимых пользователем данных с помощью кейлогинга;
• захват экрана в режиме реального времени через злоупотребления API MediaProjection;
• запись и трансляция данных с камеры в режиме реального времени;
• запись и сбор данных с экрана (в виде дампов в текстовом формате);
• удаление себя с устройства, чтобы стереть все следы заражения.

Инциденты

Американская медиакорпорация Paramount Global сообщила о хакерской атаке, в результате которой злоумышленники получили доступ к персональным данным чуть менее 100 человек.

Как показало расследование, персональная информация могла включать имя, дату рождения, номер социального страхования или другой идентификационный номер, выданный государством.

Защита уязвимых систем в скором времени была восстановлена. Корпорация привлекла внешнего специалиста по кибербезопасности и сотрудничает с правоохранительными органами.

О том, что «взломщики могли добраться до личных данных всего 100 человек», сообщил представитель Paramount. Кто именно пострадал от утечки — сотрудники компании или её клиенты (например, подписчики Paramount+), пока не уточняется.

Эксперты утверждают, что атака не была вымогательской, и она, скорее всего, не связана с недавними атаками группы Clop на платформу MoveIT. Других деталей пока не сообщается.

Мичиганский университет был вынужден отключить все свои системы и сервисы, чтобы справиться с последствиями кибератаки, которая произошла в последние выходные августа.

На сайте учебного заведения появилась серия сообщений, в которой рассказывается о кибератаке, от которой университет пострадал в минувшие выходные. Начиная с воскресенья, 27 августа 2023 года, атака привела к сбоям в работе ИТ-инфраструктуры университета, а также к нарушению доступа к важным онлайн-сервисам, включая Google, Canvas, Wolverine Access и электронную почту.

В настоящее время к расследованию произошедшего и восстановлению систем привлечены ИТ-специалисты Мичиганского университета, внешние эксперты по кибербезопасности и федеральные правоохранительные органы. Несмотря на это, администрация посчитала, что безопаснее будет временно отключить сеть вуза от интернета полностью, в силу серьезности инцидента.

Никаких деталей о произошедшем в учебном заведении пока не раскрывают, так как это «может поставить под угрозу ведущееся расследование».

Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) Японии на протяжении девяти месяцев находился под наблюдением хакерской группировки, внедрившейся в компьютерные системы.

NISC объявил о возможной утечке электронной переписки с октября 2022 года по июнь 2023. Как считают специалисты, злоумышленники могли взломать систему через аккаунт одного из сотрудников. Организация уже предупредила своих партнеров в Японии и других странах о потенциальной угрозе.

NISC является частью Кабинета министров, и его штаб-квартира находится в том же здании в центре Токио. Аналитики провели расследование, чтобы выяснить, могли ли хакеры получить доступ к другим высокочувствительным серверам правительства и к информации государственной важности. Затем официальный представитель заявил, что скомпрометированы были только данные электронной почты самого NISC.

Злоумышленники взломали облачного провайдера Leaseweb и получили доступ к внутренней инфраструктуре. Компании пришлось приостановить работу сервиса на неопределенный срок.

Клиентский портал какое-то время был недоступен. Leaseweb после обнаружения взлома оповестила пользователей о случившемся по электронной почте и приступила к восстановлению систем.

Пока нет данных о том, кто стоит за атакой и каковы были цели злоумышленников. Руководство не сообщило о каких-либо признаках дальнейшей злонамеренной активности в своих системах. Информации об утечках или требованиях выкупа тоже не поступало.

В результате SIM-swap атаки на одного из сотрудников консалтинговой компании Kroll произошла кража данных пользователей криптовалютных платформ FTX, BlockFi и Genesis.

Пример фишингового письма «от имени FTX».

Блокчейн-платформы пользовались услугами Kroll в связи со своими делами о банкротстве, чтобы вернуть пользователям часть средств.

Сообщается, что 19 августа 2023 года хакеры атаковали учетную запись T-Mobile и с помощью подмены SIM-карты «угнали» номер телефона сотрудника Kroll. Затем они с его помощью получили доступа к некоторым файлам с данными заявителей о банкротстве, включая BlockFi, FTX и Genesis.

Пока неясно, о каких именно данных идет речь, однако компании отмечают, что пароли и средства клиентов не пострадали, поскольку системы FTX и BlockFi не были взломаны напрямую. Также сообщается, что Kroll уже справилась с инцидентом и напрямую уведомит всех пострадавших лиц.

Представители Genesis не делали официальных заявлений о произошедшем, однако издание CoinDesk цитирует уведомление для пострадавших заявителей, в котором сказано, что во время атаки злоумышленники обошли многофакторную аутентификацию сотрудника Kroll и получили доступ к облачным системам компании. В результате в руки хакеров попали полные имена, физические адреса, адреса электронной почты и детали конкретных заявок.

Пострадавшие пользователи уже получают фишинговые письма, в которых злоумышленники выдают себя за FTX и утверждают, что получатель письма якобы может начать выводить свои цифровые активы со счетов обанкротившейся биржи. Таким способом мошенники пытаются узнать seed-фразы жертв.

Калифорнийская медицинская корпорация Prospect Medical Holdings (PMH) стала жертвой кибератаки хакеров Rhysida.

Объявление на хакерском форуме.

Из-за кибератаки многие больницы были вынуждены приостановить прием в отделениях неотложной помощи и до сих пор испытывают трудности с функционированием своих онлайн-систем. Rhysida уже начала аукцион по продаже более 2 ТБ украденных данных.

На странице аукциона группы Rhysida представлены персональные данные более 500 тыс. пациентов и сотрудников PMH, включая номера социального страхования, паспорта, водительские удостоверения, медицинские карточки пациентов, а также юридические и финансовые документы.

На сайтах больниц, входящих в состав PMH, размещен баннер с сообщением о системном сбое и о том, что проблема решается. Часть учреждений перешла на бумажный документооборот.