Обзор новостей информационной безопасности с 7 по 13 июля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Сбер предупреждает о мошеннической кампании, в которой преступники предлагают перейти на сайт, чтобы проверить, действительно ли вам звонит настоящий сотрудник банка или полиции.

Схема действий преступников:

1. Киберпреступники уверяют клиентов, что сайт — это официальная база данных, содержащая сведения о сотрудниках российских банков. На ресурсе имеются фотографии реально существующих публичных деятелей из банковской сферы, а также ссылки на официальные сайты известных банков и портал «Госуслуги».

2. Первый мошенник представляется сотрудником СК РФ и убеждает жертву, что его средства на счетах в опасности. Для их спасения нужно следовать инструкции «сотрудника Банка России».
3. Второй мошенник предлагает жертве убедиться в личности звонящего, а потому перенаправляет её на сайт «Единого государственного реестра» и сообщает «личный идентификатор».
4. Жертва проверяет и видит выдуманный профиль «сотрудника Банка России». Для усиления эффекта предлагается ввести еще и «идентификатор клиента», тогда жертва увидит поддельную информацию о попытках мошенничества с её счетами.
5. Далее клиента убеждают оформить займы в банках, а после — перевести их на «безопасный счет».

В фишинговой кампании, нацеленной на работающих в Киеве дипломатов, использовалось объявление о продаже автомобиля BMW.

Схема действий преступников

1. Сообщение о продаже авто было отправлено ​​на email-адреса дипломатов и имитировало настоящее объявление, которое за две недели до этого среди коллег распространял польский дипломат, готовящийся покинуть Украину.

2. Если получатель нажимал на встроенную во вредоносный документ ссылку, обещавшую больше фотографий, его перенаправляли на HTML-страницу, которая доставляла в систему жертвы вредоносный пейлоад в формате ISO, используя для этого технику HTML smuggling.

3. Этот файл ISO, в свою очередь, якобы содержал девять PNG-изображений, которые на самом деле были файлами LNK и запускали цепочку заражения, показанную на иллюстрации.

4. Когда жертва открывала любой из LNK-файлов, она запускала легитимный исполняемый файл, который использовал DLL side-loading для внедрения шелл-кода в текущий процесс в памяти.

Эксперты FACCT предупреждают о массовой рассылке вредоносных писем с шифровальщиком, нацеленной на российские промышленные, транспортные и IT-компании.

Получателям предлагалось установить приложение CryptoBOSS для работы с криптовалютой и VPN. Злоумышленники гарантировали «безопасный и полностью анонимный доступ ко всем валютам». Однако ссылка для скачивания бесплатной лицензии на самом деле ведет на загрузку шифровальщика PyCrypter.

Домен, с которого загружается вредоносное ПО (crypto4boss[.]com) зарегистрирован 6 июля, специально для этой атаки, на пользователя с почтой vladymir.stojanov@hotmail[.]com.

Учетная запись Vladimir Stoyanov уже использовалась осенью 2022 года и весной 2023 года в рассылках другого шифровальщика — Cryptonite. Тогда в письмах от имени председателя правительства Михаила Мишустина предупреждалось об атаке некой шпионской программы, подготовленной «американскими IT- специалистами».

Атаки и уязвимости

В Ghostscript, открытом интерпретаторе языка PostScript и PDF-файлов, обнаружена уязвимость, позволяющая удалённо выполнять произвольный код.

Уязвимость получила идентификатор CVE-2023-3664 , оценку критичности 9.8 по шкале CVSS v3 и затрагивает все версии Ghostscript кроме последней под номером 10.01.2, которая была выпущена три недели назад.

Выполнение кода происходит без участия пользователя. Достаточно просто открыть специально подготовленный файл.

Бесфайловый вредонос PyLoose состоит всего из 9 строк кода на Python и устанавливае криптовалютный майнер прямо в оперативную память облачного сервиса.

Обнаружено около 200 случаев использования этого метода атаки для добычи криптовалюты. Первоначальный доступ хакеры получают через эксплуатацию открытого сервиса Jupyter Notebook, который позволяет выполнять системные команды с помощью модулей Python.

PyLoose, впервые обнаруженный 22 июня 2023 года, представляет собой скрипт на Python всего из девяти строк кода, который содержит сжатый и закодированный предварительно скомпилированный майнер XMRig.

Полезная нагрузка скачивается с общедоступного хостинга Pastebin с помощью HTTPS-запроса GET и загружается напрямую в память среды выполнения Python через дескриптор memfd без необходимости записи файлов на диск, что существенно затрудняет обнаружение данной угрозы.

Мобильная безопасность

Обнаружена поддельная версия приложения Telegram, которая при установке заражает Android-устройства вредоносным ПО Triada.

Вредоносная версия Telegram замаскирована под последнюю версию Telegram 9.2.1. Чтобы модифицированная версия выглядела легитимной, злоумышленники использовали имя пакета (org.telegram.messenger), которое напоминает подлинное приложение, и его настоящий значок.

При первом запуске приложения пользователю отображается окно входа в систему, которое точно воспроизводит домашнюю страницу исходного приложения. Чтобы продолжить регистрацию, пользователю предлагается ввести свой номер телефона и предоставить нужные вредоносу разрешения.

Затем «Telegram» внедряет вредоносный код в устройство под видом внутренней службы обновления приложений. Действуя скрытно в фоновом режиме, вредоносная программа инициирует свои вредоносные действия, которые включают сбор информации об устройстве, извлечение файлов конфигурации и установление каналов связи.

Инциденты

Неизвестные хакеры получили доступ к одному из эскроу-счетов национального банка в индийском городе Тхана и похитили около 250 млн индийских рупий (примерно 275 млн рублей).

Хакеры взломали платёжный шлюз целевой компании и получить доступ к её базе данных. Манипулируя этой базой, киберпреступникам удалось значительно увеличить остаток на вышеупомянутом счёте и похитить деньги, совершив множество небольших транзакций на разные банковские счета, чтобы передвижение средств было труднее отследить.

Через несколько дней хакеры ещё раз провернули свою мошенническую схему, ещё больше увеличив убытки строительной компании.

Вымогательская группировка BlackSuit атаковала американский зоопарк ZooTampa и похитила информацию о сотрудниках и поставщиках.

После обнаружения инцидента зоопарк незамедлительно принял меры и нанял сторонних специалистов по компьютерной безопасности для помощи в обеспечении защиты сетевой среды и расследования масштабов несанкционированной активности.

Организация уведомила сотрудников и поставщиков, чья информация могла быть доступна злоумышленникам, и продолжает расследование. «ZooTampa не хранит личную или финансовую информацию о ежедневных посетителях или членах клуба», — добавил представитель парка.

Вымогательская группировка атаковала американскую компанию Gates Corporation. Хакеры зашифровали сервера компании и похитили конфиденциальные документы сотрудников.

Кибератака произошла ещё в феврале, но только сейчас инцидент придали широкой огласке. Компания заверила, что не платила хакерам выкуп за расшифровку своих серверов и восстановление их работы, а смогла наладить всё самостоятельно.

Злоумышленники получили доступ к информации о более 11 тысячах сотрудников Gates. Похищенные данные содержат:

• имена;
• домашние адреса;
• даты рождения;
• номера социального страхования;
• информацию о прямых депозитах;
• водительские удостоверения;
• паспорта.

Компания утверждает, что хакеры были заинтересованы только в деньгах, а не в информации, и пока не получала сообщений о злоупотреблении украденными данными.

В открытом доступе опубликованы персональные данные учащихся и преподавателей, полученные предположительно из базы данных всероссийского конкурса «Большая перемена» (bolshayaperemena.online).

В шести текстовых файлах содержится 5 274 263 строки:

• 🌵 ФИО
• 🌵 телефон (3,4 млн уникальных номеров)
• 🌵 адрес эл. почты (5,27 млн уникальных адресов)
• 🌵 пол
• 🌵 дата рождения
• 🌵 гражданство
• 🌵 место учебы/работы
• 🌵 роль в конкурсе (ученик, студент, педагог)
• 🌵 дата регистрации в конкурсе (с 28.03.2020 по 05.06.2023)

Проверка случайных адресов электронной почты из этих файлов через функцию восстановления пароля на сайте bolshayaperemena.online/auth/forgot показала, что все они действительные.

Из-за разрушительной кибератаки на медиакомпанию Amaturo Sonoma Media Group работа 4 из 8 радиостанций — KSRO, Froggy 92.9, 97.7 The River и HOT 101.7 — была остановлена на 6 часов.

Передатчики радио продолжали функционировать, но без звука, в результате чего станции остались без эфира примерно на 6 часов, вызвав серию сбоев и значительные финансовые потери. Компания решила не вести переговоры с хакерами и восстановить свои серверы самостоятельно.

Сейчас Amaturo восстанавливает работоспособность четырех пострадавших станций, используя данные со старого сервера, отключенного в декабре прошлого года.

Прежде чем озвучить сумму выкупа, хакеры потребовали финансовые документы компании.

В результате инцидента Amaturo потеряла историю электронной почты за 9 лет, однако, главная бухгалтерская система и система планирования рекламных роликов хранятся в облаке, что позволило избежать катастрофических потерь данных. Представители компании заявили, что потеря этих систем стала бы фатальной, и в таком случае пришлось бы заплатить выкуп.

У известного блогера и дизайнера Артемия Лебедева с помощью фишинга взломали Telegram-канал.

Мошенник под видом потенциального рекламодателя запросил у него статистику телеграм-канала и отправил ссылку на фальшивый сайт tgstat. На сайте дизайнеру предложили авторизоваться с помощью телеграм, чтобы получить доступ к статистике. В ходе этой процедуры он отключил двухфакторную авторизацию и ввёл присланный в телеграм код на сайте, предоставив доступ преступнику.

После этого в канале Артемия Лебедева появилось сообщение о сборе криптовалюты. «Тёма» пообещал, что каждый, кто вложит деньги, получит их обратно через несколько дней с бонусом в 15%: «Таким образом, Вы можете помочь мне и заработать относительно хорошую прибыль». Сейчас пост уже удален.

В публикации утверждалось, что до вечера 8 июля нужно собрать 550 тыс. долларов США в криптовалюте. Якобы из-за ограничений банка невозможно так быстро купить ее в большом количестве, поэтому приходится просить подписчиков о помощи. Каждому участнику «акции» предлагалось написать в редакцию дизайнера, приложить скрины перевода и личные реквизиты для возврата средств.

Министерство юстиции островного государства Тринидад и Тобаго столкнулось с кибератакой, которая повлияла на операционную деятельность ведомства.

Точная дата начала атаки не уточняется, однако проблемы в работе служб начались 30 июня. Все судебные документы, отправленные по электронной почте после указанной даты, не были получены.

Ведомство приняло меры для минимизации угрозы и начала расследование с участием ведущих ИБ-экспертов. Для упрощения общения Министерство предложило альтернативные адреса электронной почты для отправки судебных документов. Также уточнили, что личное обслуживание в суде в столице страны, Порт-оф-Спейне, продолжается.

Адвокаты правительства заявили, что они не могут получить доступ к своим электронным почтовым ящикам и критически важным документам для предстоящих судебных процессов.

На хакерском форуме появилось объявление о продаже данных компании Razer, производящей игровое оборудование и периферию. Злоумышленники готовы продать якобы украденную информацию за 100 000 долларов в криптоваюте Monero.

Описание «лота» содержит многочисленные скриншоты файлов и папок, предположительно украденных с razer.com.

«Я украл исходный код, ключи шифрования, базу данных, логины [и пароли] для доступа к бэкэнду для razer.com и других продуктов. Я не трачу свое время на несерьезных покупателей», — пишет продавец.

Журналисты Bleeping Computer установили, что обнародованные хакером учетные данные подлинные и действительно принадлежат пользователям сайта Razer.

Компания произвела сброс всех учетных записей, сделав активные сеансы недействительными, и попросила всех сбросить пароли.

Обзор новостей информационной безопасности с 30 июня по 6 июля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Масштабная кампания вымогателя RedEnergy направлена против компаний из сферы энергетики, телекоммуникаций и машиностроения. Вирус распространяется через поддельные страницы LinkedIn и может как шифровать данные жертв, так и похищать их.

Схема действий преступников

1. Создаются страницы целевых компаний в LinkedIn, максимально имитирующие настоящие.

2. На страницах размещается ссылка на фишинговый сайт, который предлагает обновить свой браузер, нажав на соответствующую иконку (Google Chrome, Microsoft Edge, Mozilla Firefox или Opera).

3. Вместо обновления скачивается зловредный исполняемый файл.
4. После загрузки и запуска вредоноса, он закрепляется в системе и загружает RedEnergy — вредонос, который незаметно собирает, выгружает и шифрует файлы жертв.
5. В процессе шифрования вредонос добавляет забавное расширение «.FACKOFF!» к каждому файлу, удаляя существующие резервные копии и оставляя записку о выкупе в каждой папке. Жертвам предлагается заплатить 0.005 BTC (около 150 долларов или 13 500 рублей) на криптовалютный кошелек, указанный в записке вымогателей, чтобы восстановить доступ к своим файлам.

В новой мошеннической схеме мошенники создают сайты, предлагающие услуги по изготовлению ключей, а рекламу со ссылками расклеивают в подъездах.

Листовки написаны от имени управляющей компании, а чтобы заставить потенциальных жертв зайти на сайт, сообщают, к примеру, о предстоящей замене домофона.

Обнаруженные сайты мошенников имеют минималистичный дизайн: они содержат лишь форму ввода, в которой надо указать адрес и количество ключей (каждый стоит 300 рублей), реже — также номер телефона. Плата за мнимые услуги взимается переводом на банковскую карту. Для убедительности на таких ресурсах приведены реквизиты реальной организации, обслуживающей домофоны.

С начала лета выявлено более десятка мошеннических ресурсов, ссылки на которые можно встретить лишь на дверях подъездов многоквартирных домов. Подобные ресурсы не имеют привязки к конкретному бренду и не связаны с массовыми фишинговыми рассылками, поэтому они остаются невидимыми для большинства защитных систем и способны существовать довольно долго, принося прибыль своим создателям.

Во вредоносной кампании SmugX, нацеленной на посольства и министерства иностранных дел в Великобритании, Франции, Швеции, Украине, Чехии, Венгрии и Словакии используется техника HTML smuggling для маскировки вредоносных полезных нагрузок в закодированных строках HTML-документов.

Схема действий преступников

1. Кампания начинается с фишингового письма, к которому приложены документы-приманки, обычно посвященные европейской внутренней и внешней политике.

2. В письме содержится ZIP-архив с вредоносным LNK-файлом, который запускает PowerShell и извлекает архив, сохраняя его содержимое во временной папке Windows.

3. Архив содержит три файла, один из которых является легитимным исполняемым файлом (robotaskbaricon.exe или passwordgenerator.exe) из старой версии менеджера паролей RoboForm. Он позволяет загружать файлы DLL, не связанные с приложением, то есть осуществлять DLL sideloading.

4. Два других файла представляют собой вредоносный DLL (Roboform.dll), который загружается с использованием одного из упомянутых легитимных файлов EXE, а также файл data.dat, содержащий троян удаленного доступа (RAT) PlugX, который запускается посредством PowerShell.

5. В другом варианте кампании вместо ZIP-архива в письме с помощью HTML smuggling спрятан файл JavaScript, который выполняет файл MSI, полученный с удаленного управляющего сервера злоумышленников.

6. Этот файл MSI создает новую папку в каталоге %appdata%\Local и сохраняет там три файла: легитимный исполняемый файл, DLL-загрузчик и зашифрованную полезную нагрузку PlugX (data.dat).

7. Легитимная программа запускается, а вредоносное ПО PlugX загружается в память через DLL sideloading, что помогает хакерам избежать обнаружения.

8. Чтобы закрепиться в системе, малварь создает скрытый каталог, в котором хранит легитимные EXE и вредоносные файлы DLL, а также добавляет программу в раздел Run в реестре.

9. После того, как PlugX установлен и запущен на компьютере жертвы, он может загрузить и открыть отвлекающий внимание файл PDF, чтобы не вызывать лишних подозрений у пользователя.

Ещё одна мошенническая кампания обходит почтовые фильтры от спама и фишинга путём отправки электронных писем без текста, но с изображениями или QR-кодами.

Схема действий преступников

1. Преступники подделывают письма от Microsoft или работодателя жертвы, используя реальные профессиональные адреса, которые ранее были скомпрометированы (BEC-атака).

2. В письмах хакеры просят получателя помочь с восстановлением пароля или активацией двухфакторной аутентификации, придавая ситуации характер неотложности.

3. Многие системы защиты от спама сканируют текст писем на предмет наличия терминов, часто связанных с мошенничеством. Однако письма, обнаруженные Inky, легко уклоняются от этих мер безопасности, так как не содержат HTML-текста.
   Вместо этого злоумышленники создают текст письма внутри вложения с изображением. Почтовые платформы автоматически отображают это изображение в основном поле, вводя получателей в заблуждение, что это настоящее письмо.

4. Письма содержат встроенные QR-коды, которые перенаправляют жертв на фишинговые сайты, имитирующие экраны входа в аккаунт Microsoft. Эти поддельные страницы выглядят убедительно, а URL-адреса содержат адреса электронной почты получателей, чтобы создать ложное ощущение легитимности. Так злоумышленникам без лишнего труда удаётся похищать логины и пароли своих жертв.

Обнаружено более 500 подобных писем, направленных на организации в США и Австралии. Среди жертв были компания по напольным покрытиям, различные некоммерческие организации, компании по управлению активами, консалтинговые фирмы и другие.

Уязвимости

Сотни энергетических компаний по всему миру могут подвергнуться кибератакам из-за уязвимости CVE-2022-29303 (CVSS: 9.8) в продукте для мониторинга солнечной энергии Contec SolarView.

Уязвимость внедрения кода в Contec SolarView 6.0 может быть использована удаленным злоумышленником, не прошедшим проверку подлинности. Отмечается, что уязвимость уже использовалась в дикой природе.

По данным VulnCheck, ошибка была устранена только с выпуском версии 8.0, а затронуто ПО версии 4.0 и выше. Поиск Shodan показывает более 600 открытых в Интернете систем SolarView, в том числе более 400 работающих уязвимых версий.

В системах кардиологического оборудования медицинской компании Medtronic обнаружена критическая уязвимость CVE-2023-31222 (CVSS: 9.8), которая позволяет удалённо выполнять код на устройстве и проводить DoS-атаки.

Уязвимость присутствует в приложении Paceart Optima, которое работает на Windows-серверах медицинских организаций. Paceart Optima используется для хранения и извлечения данных с устройств, работающих в системах всех крупных производителей медицинских устройств.

Уязвимость также позволяет хакерам похищать, удалять или изменять данные, а также проникать в сеть медицинской организации.

Medtronic подтвердила наличие уязвимости в функции обмена сообщениями Paceart Optima, которая по умолчанию не активирована. Производитель оборудования призвал медучреждения связаться с технической поддержкой Medtronic Paceart для установки обновления и устранения уязвимости. Недостаток затрагивает все версии приложения 1.11 и более ранние, но до сих пор случаи его эксплуатации не зафиксированы.

Инциденты

Нагоя, самый крупный и загруженный порт в Японии, стал жертвой атаки шифровальщика.

Порт Нагоя

5 июля 2023 года администрация порта сообщила о сбое в работе «Единой системе терминалов порта Нагоя» (Nagoya Port Unified Terminal System, NUTS) — центральной системы, которая контролирует все контейнерные терминалы в порту.

Согласно официальному сообщению, проблема связана с атакой программы-вымогателя, которая произошла 4 июля 2023 года, около 06:30 утра по местному времени.

Администрация порта заявляет, что работы по восстановлению систем NUTS уже ведутся, и все должно заработать в штатном режиме уже 6 июля. До этого времени все операции по погрузке и разгрузке контейнеров на терминалах с использованием трейлеров отменены, и это явно приведет к значимым финансовым потерям для порта и серьезному нарушению в поставках товаров в Японию и из Японии.

Пока неизвестно, какая группировка стоит за атакой на порт Нагоя. Высказываются предположения, что ответственность за атаку может лежать на хак-группе LockBit.

Хактивисты «Анонимный Судан» заявили, что им удалось взломать сервера Microsoft и похитить данные 30 млн клиентских аккаунтов. Microsoft отрицает инцидент и настаивает, что никаких утечек не было.

Сообщение в телеграм-канале хактивистов

В прошлом месяце Microsoft признала, что «Анонимный Судан» действительно был ответственен за сбои в работе нескольких её сервисов, включая Azure, Outlook и OneDrive.

3 июля хактивисты сообщили, что «успешно взломали Microsoft» и «получили доступ к большой базе данных, содержащей более 30 миллионов аккаунтов, электронных почт и паролей Microsoft». Они предлагают купить эту базу за 50 тысяч долларов. Покупателю нужно связаться с их ботом в Telegram для организации покупки данных.

В качестве доказательства взлома в уведомлении содержался образец данных из 100 пар логин-пароль и предупреждение, что Microsoft будет всё отрицать.

Microsoft действительно отрицает, что данные получены в результате взлома их систем, указывая, что это могут быть старые сведения или результат нарушения безопасности у сторонних поставщиков услуг.

Вымогательская хак-группа LockBit заявила о взломе TSMC (Taiwan Semiconductor Manufacturing Company), крупнейшего в мире контрактного производителя микросхем.

Злоумышленники требуют выкуп в размере 70 млн долларов США и обещают не сливать в сеть украденные данные, если им заплатят.

В компании факт атаки отрицают, заявляя, что с «киберинцидентом» столкнулся один из ее поставщиков.

На прошлой неделе связанный с группировкой LockBit злоумышленник, известный под ником Bassterlord, опубликовал скриншоты с информацией, касающейся компании. Эти скриншоты демонстрировали, что хакеры имел доступ к системам, предположительно принадлежащим TSMC, доступ к приложениям, а также содержали учетные данные для различных внутренних систем и адреса электронной почты.

Тред вскоре был удален, а на сайте LockBit в даркнете появилась новая запись, посвященная TSMC. Хакеры заявили, что похитили у компании данные и потребовали 70 млн долларов, в противном случае угрожая опубликовать украденную информацию в открытом доступе, включая учетные данные для систем полупроводникового гиганта.

Представители TSMC сообщили СМИ, что информация о взломе не соответствует действительности, и на самом деле инцидент затронул системы одного из поставщиков ИТ-оборудования TSMC, компанию Kinmax Technology.

В открытый доступ попали данные, предположительно относящиеся к агрегатору аукционов ru.bidspirit.com.

В двух текстовых файлах находится имя/фамилия, около 10 тыс. уникальных номеров телефонов и примерно 10 тыс. уникальных адресов эл. почты.

Чуть более 2 тыс. записей относятся к России. Данные актуальны на июнь 2023 г.

Проверка случайных адресов эл. почты из этой утечки через форму восстановления пароля на сайте ru.bidspirit.com подтвердила, что они действительные.

В открытом доступе опубликованы два JSON-файла с персональными данными детей и их родителей, побывавших в международном детском центре (лагере) «Артек».

Проверка случайных адресов электронной почты из этих файлов через функцию восстановления пароля на портале АИС «Артек» (id-ais.artek.org) показала, что они действительные. 😱

В файле child-747820.json содержится 747 820 строк:

• 🌵 ФИО ребенка и родителя,
• 🌵 адрес эл. почты ребенка и родителя,
• 🌵 телефон ребенка и родителя,
• 🌵 дата рождения,
• 🌵 пол,
• 🌵 адрес,
• 🌵 СНИЛС,
• 🌵 номер паспорта или свидетельства о рождении,
• 🌵 гражданство,
• 🌵 место учебы,
• 🌵 признаки владения иностранными языками, сдачи норм ГТО, малоимущей семьи, членства в «Юнармии», хобби, ограничения по здоровью и т. п.

В файле user-755799.json содержится 755 828 записей пользователей:

• 🌵 ФИО,
• 🌵 адрес эл. почты.

Хакеры ALPHV/BlackCat заявили, что похитили семь терабайт внутренних документов компании Barts Health NHS Trust, который управляет пятью больницами в Лондоне.

Неизвестно, использовала ли группа свой вымогательский код на компьютерах лондонских больниц St. Bartholomew’s, the Royal London, Mile End, Whipps Cross и Newham.

Представитель Barts Health заявил в пятницу: «Мы знаем о претензиях на вымогательскую атаку и срочно расследуем.

Аналитик по киберугрозам в компании по кибербезопасности Emsisoft, сказал, что первые признаки свидетельствуют о том, что группа не зашифровала данные:

„Если бы вымогательский код был использован, то нарушения были бы заметны — и, возможно, были бы очень серьезными. Группа могла решить не шифровать данные или жертва обнаружила и заблокировала часть атаки.“

Группа опубликовала выборку файлов Barts Health. Она содержит копии водительских прав и паспортов сотрудников, а также внутренние электронные письма и переписку со штампом „конфиденциально“. На своей странице хакеры заявили, что добыча данных от Barts Health составляет „самую большую утечку из системы здравоохранения в Великобритании“.

В обращении хакеров к Barts Health сказано:

„У вас есть 3 дня на контакт с нами, чтобы решить эту досадную ошибку, которую совершил ваш IT-отдел, решить, что делать дальше. Если вы предпочитаете молчать, мы начнем обнародовать данные, большая часть которых — конфиденциальные документы граждан“.

Обзор новостей информационной безопасности с 23 по 29 июня 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Троянизированный установщик игры Super Mario 3: Mario Forever для Windows заражал игроков многочисленными вредоносами.

Super Mario 3: Mario Forever — это бесплатная версия классической игры Nintendo, разработанная Buziol Games и выпущенная для Windows в 2003 году.

Злоумышленники создали модифицированный установщик Super Mario 3: Mario Forever, который представлен в виде самораспаковывающегося исполняемого архива и распространяется по неизвестным каналам. Скорее всего, зараженная игра рекламируется на игровых форумах, в социальных сетях или предлагается пользователям с помощью вредоносной рекламы и черного SEO.

Архив содержит три исполняемых файла, один из которых устанавливает саму игру (super-mario-forever-v702e.exe), а два других (java.exe и atom.exe) незаметно устанавливаются в каталог AppData во время установки игры.

Файл java.exe представляет собой майнер криптовалюты Monero, который собирает информацию об оборудовании жертвы и подключается к серверу gulf[.]moneroocean[.]stream, чтобы начать работу.

SupremeBot (atom.exe) создает свою копию и помещает ее в скрытую папку в каталоге установки игры. Далее он создает запланированную задачу на выполнение этой копии, которая запускается каждые 15 минут на неопределенный срок, скрываясь под именем легитимного процесса.

При этом исходный процесс завершается, а исходный файл удаляется, чтобы избежать обнаружения. Затем малварь устанавливает соединение с управляющим сервером для передачи данных о системе, регистрации клиента и получения конфигурации, чтобы начать добычу Monero. После этого SupremeBot также получает дополнительную полезную нагрузку от сервера в виде исполняемого файла с именем wime.exe.

Этот файл представляет собой инфостилер Umbral Stealer. Он ворует информацию, хранящуюся в браузерах, включая сохраненные пароли и файлы cookie, содержащие токены сеансов, данные криптовалютных кошельков, а также учетные данные и токены аутентификации для Discord, Minecraft, Roblox и Telegram.

Новое вредоносное ПО для Windows ThirdEye похищает конфиденциальные данные с заражённых компьютеров.

Вредоносный код нашли в исполняемых файлах «CMK Правила оформления больничных листов.pdf.exe» и «Табель учёта рабочего времени 2023.xls.exe», поэтому скорее всего, он распространяется с помощью фишинга.

ThirdEye собирает метаданные системы — дату выпуска и производителя BIOS, общий/свободный объем диска C, текущие процессы, имена пользователей, информация о томах. Собранные данные затем передается на управляющий сервер злоумышленников. Отличительной чертой вредоносного кода является то, что он использует строку «3rd_eye» для связи с C2-сервером.

Большинство образцов вредоносного кода были загружены на VirusTotal из России, что может свидетельствовать о том, что хакеры нацеливаются на русскоязычные организации.

Уязвимости и атаки

Разработана техника внедрения бэкдора в нейронные сети, которая позволяет злоумышленникам манипулировать их поведением.

В ходе атаки злоумышленник внедряет скрытый триггер в нейронную сеть, который активируется при определенных условиях. Например, если на изображении появляется определенный символ или цвет, нейронная сеть может выдавать неверный ответ или передавать конфиденциальную информацию.

Метод позволяет внедрять бекдоры в нейронные сети таким образом, что она остается незаметной для обычных методов обнаружения. Они использовали технику, называемую «переобучением», которая заключается в том, что нейронная сеть запоминает определенные примеры из обучающего набора данных, а не обобщает их. Таким образом, они смогли создать триггеры, которые работают только на определенных изображениях, а не на всех.

Обнаружена уязвимость, с помощью которой злоумышленники могут доставлять вредоносные программы напрямую сотрудникам в сообщениях Microsoft Teams.

Условный злоумышленник сможет отправить вредонос в почтовый ящик получателя в виде файла. Чтобы увеличить шансы на успех, атакующий может зарегистрировать домен, похожий на домен целевой организации. И хотя входящее сообщение в этом случае будет помечено плашкой «Внешний», целевой сотрудник с высокой вероятностью проигнорирует предупреждение, особенно если в ход пойдёт социальная инженерия.

Чтобы проэксплуатировать уязвимости, достаточно использовать обычную технику IDOR для переключения внутреннего и внешнего идентификатора получателя в запросе POST.

Инциденты

Из-за кибератаки на компанию Suncor Energy заправочные станции её дочерней компании Petro-Canada не могут принимать оплату банковскими картами или бонусными баллами.

Suncor Energy является 48-й по величине публичной компанией в мире и одним из крупнейших производителей синтетического сырья в Канаде с годовым доходом в 31 миллиард долларов.

Компания заявляет, что приняла меры по смягчению последствий атаки и проинформировала власти о ситуации. В то же время она ожидает, что на транзакции с клиентами и поставщиками будут оказываться негативные последствия до тех пор, пока инцидент не будет разрешён полностью.

Японская криптовалютная биржа стала жертвой macOS-вредоноса JokerSpy.

Исследователи говорят, что атака привела к установке enumeration-инструмента Swiftbelt. JokerSpy был обнаружен специалистами Bitdefender в июне 2023 года. Тогда эксперты писали о наборе вредоносных артефактов, которые, по их словам, являются частью сложного кроссплатформенного инструментария, в том числе нацеленного на устройства, работающие под управлением macOS.

Как теперь сообщают аналитики Elastic Security Labs, им удалось выявить первые атаки с использованием JokerSpy, от которых пострадал крупный провайдер криптовалютных услуг в Японии, специализирующийся на обмене активов для торговли Bitcoin, Ethereum и другими распространенными криптовалютами. Название компании не разглашается.

Хакеры украли документы, содержащие конфиденциальную личную информацию 45 000 школьников с сервера MOVEit Transfer Министерства здравоохранения Нью-Йорка.

MFT-платформа использовалась Министерством здравоохранения Нью-Йорка для безопасной передачи данных и документов внутри страны и за её пределами различным поставщикам, включая поставщиков услуг специального образования.

Министерство здравоохранения Нью-Йорка обновила серверы, как только разработчик раскрыл информацию об эксплуатируемой уязвимости CVE-2023-34362, однако злоумышленники к тому моменту уже успели похитить все нужные им данные.

После обнаружения взлома уязвимый сервер был отключен, и Министерство обороны Нью-Йорка работало в сотрудничестве с киберкомандованием Нью-Йорка над устранением инцидента.

Европейская больница оказалась случайно заражена вредоносным ПО китайской хак-группы Camaro Dragon через USB-накопители.

Источником заражения сталл сотрудник больницы, участвовавший в конференции в Азии. Он поделился своей презентацией с другими участниками мероприятия, используя USB-накопитель. Компьютер одного из его коллег заражён, и в результате на USB-накопитель жертвы установился вирус. Вернувшись в больницу в Европе, сотрудник подключил зараженный USB-накопитель к компьютерным системам больницы, что привело к распространению заражения.

Онлайн-сервис Battle.net, принадлежащий Blizzard, стал жертвой DDoS-атаки, которая нарушила игровой процесс.

Пострадала не только Diablo IV, но и другие проекты Blizzard (например, World of Warcraft). Спустя приблизительно час компания всё ещё не могла привести в порядок игровой процесс. На ресурсе Battle.net появилось уведомление об атаке с обещаниями решить проблему как можно скорее.

На площадке Reddit появились сообщения, что поиграть не получается уже минимум 10-12 часов. Некоторые советовали переключиться в офлайн-режим. Ближе к восьми часам вечера компания наконец сообщила, что DDoS-атаку удалось остановить. Пользователям рекомендовали попробовать перезайти в игру.

Группа хакеров SiegedSec заявила, что украла около 500 тысяч файлов с сайта городского правительства города Форт-Уэрт в Техасе.

Хакеры опубликовали часть документов в своём Telegram-канале и объяснили свои действия противодействием политике штата по запрещению подтверждения гендерной принадлежности.

Среди похищенных файлов были учётные данные администраторов, рабочие заказы, списки сотрудников, счета, полицейские отчёты, электронные письма между сотрудниками и подрядчиками, внутренние документы, видеозаписи и другие материалы — всего около 180 ГБ.

Кевин Ганн, технологический директор города, подтвердил факт кибератаки. Он сообщил, что с сайта, который используют работники для управления своими техническими задачами, действительно была похищена информация.