Обзор новостей информационной безопасности со 14 по 19 января 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Сообщается о целевых фишинговых атаках на правительственные организации России в которых использовались вложения в формате VHDX, содержащие RAT-трояна, и документ-приманку на русском языке.

Целевая атака обычно начиналась с поддельного письма, снабженного вложением с русскоязычным именем. В качестве примеров аналитики приводят образцы фальшивок, имитирующих внутренние рассылки Россотрудничества и Министерства внешних связей Астраханской области.

Поддельное письмо Министерства внешних связей Астраханской области.

Статья об импортозамещении от 2015 года также использовалась в качестве приманки.

Использование контейнеров во вложениях помогает злоумышленникам обходить антивирусы и защитные механизмы Windows.

Обнаружена массовая рассылка фальшивых писем от имени управления Роскомнадзора по Центральному федеральному округу.

Сообщения содержали уведомления о якобы найденной запрещенной информации и предупреждения о возможной блокировке. Роскомнадзор предупреждает, что они не отправляют таких сообщений и просит не открывать вложения и не переходить по ссылкам в письмах.

В Роскомнадзоре пояснили, что на фальшивое сообщение указывают и следующие неточности:

• Неправильный формат адреса электронной почты, который не соответствует формату, используемому Роскомнадзором;
• Несоответствие формату официальных документов, используемых Роскомнадзором;
• Отсутствие логотипа Роскомнадзора в письме.

Роскомнадзор просит получателей таких писем не открывать вложения и не переходить по ссылкам, а также обратиться за дополнительной информацией на официальный сайт Роскомнадзора или в службу поддержки.

Представители криптовалютного кошелька MetaMask сообщили о новом виде мошенничества, с которым массово столкнулись его пользователи.

Так называемая «атака адресов с отравлением» (Address Poisoning Attack, APA) позволяет мошенникам похитить криптовалюту без использования каких-либо уязвимостей сервиса.

Схема мошенничества

1. Мошенники отслеживают в блокчейне последние транзакции и находят самые подходящие для подобной манипуляции кошельки. Например, такие, откуда часто совершаются переводы на один и тот же адрес.
2. Далее мошенник использует генератор адресов, чтобы создать себе криптокошелёк с похожим или почти идентичным адресом, куда жертва недавно переводила средства.
3. Злоумышленник переводит небольшое количество криптовалюты на адрес отправителя. Этот шаг гарантирует, что транзакция отобразится в истории кошелька жертвы.
4. Поскольку MetaMask сокращает адреса в истории транзакций, отображаемый адрес похож на более раннюю транзакцию пользователя. Отправителю кажется, что этот кошелёк принадлежит лицу, которому он переводил криптовалюту ранее.
5. В качестве последнего шага злоумышленник просто ждёт и надеется, что при следующем переводе жертва не будет внимательно сверять адрес, и осуществит нужную транзакцию.

Чтобы обезопасить пользователей сервиса, MetaMask предлагает использовать встроенную адресную книгу. В ней можно сохранять адреса, с которыми часто происходит обмен криптовалютой.

Мошенники крадут популярные Телеграм-каналы, накручивая на них подписчиков с помощью ботов.

Схема кампании

1. Мошенники выбирают раскрученные блоги или чаты и внедряют туда ботов.
2. Поскольку боты не проявляют никакой активности, ухудшается ключевой для блогеров показатель вовлеченности аудитории (отображает, какой процент подписчиков проявляет активность в отношении каждой публикации), и владелец на время закрывает свой канал, чтобы не потерять рекламодателей.
3. Как только он это делает, злоумышленники присваивают имя канала и используют его для мошеннической рекламы, например, криптовалютных схем, либо продают. Стоимость популярного канала — от 300 тыс. рублей

Как защититься от этого способа угона канала

1. Добавить в настройки канала опцию «заявки на вступление».
2. Добавить в канал специального бота с капчей, который заставляет всех новых подписчиков проходить проверку на «человечность».
3. Если боты всё-таки атаковали канал, лучше не закрывать его, а связаться с поддержкой Телеграм и сообщить о проблеме.

Атаки и уязвимости

В промышленных маршрутизаторах InHand InRouter302 и InRouter615 обнаружены пять уязвимостей, одновременное использование которых может позволить злоумышленнику удаленно выполнять код от имени пользователя root.

Большинство уязвимостей связаны с протоколом для передачи последовательности сообщений с телеметрическими данными (Message Queuing Telemetry Transport, MQTT).

Затронутые устройства используются для работы промышленных роботов, нефтяных скважин, лифтов, медицинского оборудования, станций зарядки электромобилей и интеллектуальных счетчиков.

Инциденты

Сервис рассылок Mailchimp подвергся хакерской атаке, в ходе которой злоумышленники получили доступ к внутреннему инструменту для поддержки клиентов и администрирования учетных записей. Сообщается, что из-за взлома скомпрометированы данные 133 клиентов.

Атака была обнаружена 11 января 2023 года, когда неизвестные получили несанкционированный доступ к инструментам для поддержки клиентов. По данным представителей Mailchimp, перед этим злоумышленники завладели учетным данным сотрудников, благодаря использованию социальной инженерии, которую применили как к самим сотрудникам, так и к подрядчиками компании.

Хотя расследование случившегося еще продолжается, сообщается, что во время атаки не была скомпрометирована информация о банковских картах или паролях клиентов.

Одним из пострадавших от этой атаки клиентов стал гигант e-commerce, разрабатывающий плагин WooCommerce для WordPress, которым пользуются более пяти миллионов клиентов. Разработчики WooCommerce уже разослали клиентам письма с предупреждением о том, что в ходе взлома Mailchimp были раскрыты их имена, URL-адреса магазинов, email-адреса и почтовые адреса.

Телеграм-канал «Утечки информации» сообщает, что в открытом доступе оказался дамп, содержащий 189 833 строки с данными пользователей сервиса «1С:Урок».

Сервис предназначен для использования электронных образовательных ресурсов учителями при подготовке к урокам и проведении занятий с учащимися начальной и средней школы, а также для самостоятельного освоения предложенного материала школьниками дома, говорится на сайте сервиса.

Слитые данные содержат:

• email-адреса (185 000 уникальных адресов);
• хешированные пароли (MD5 с солью и SHA512-Crypt);
• ФИО;
• телефоны (7500 уникальных номеров);
• даты создания профилей и последнего входа в систему (с 21.08.2020 по 12.01.2023).

Из-за атаки программы-вымогателя норвежская компания DNV (Det Norske Veritas) была вынуждена отключить серверы, подключенные к собственной системе ShipManager.

«В ходе атаки пострадали 70 клиентов компании и около 1000 судов. Клиенты по-прежнему могут использовать бортовые и автономные функции программного обеспечения ShipManager. Нет никаких признаков того, что затронуто какое-либо другое критически важное программное обеспечение или данные. Отключение сервера не влияет на другие службы DNV», — заявили представители компании.

Группа хактивистов Enlace Hacktivista утверждает, что анонимный источник передал ей ПО и документацию компаний Cellebrite и MSAB, которые предоставляют правоохранительным органам многих стран мира инструменты для взлома мобильных устройств и проведения других киберкриминалистических операций.

Всего в руках хактивистов оказались 1,7 ТБ данных Cellebrite и 103 ГБ данных MSAB. Файлы уже опубликованы в открытом доступе и доступны для скачивания через сайт DDoSecrets, сайт Enlace Hacktivista и через торрент.

В общий доступ попали данные одного из крупнейших российских девелоперов — группы «Самолет».

Выложенные файлы содержат 20 500 уникальных строк. Основной массив представляют контрагенты девелопера, но присутствуют сведения и о более чем 4 000 сотрудников компании. Несмотря на кажущуюся незначительность данных: ФИО, почта, телефон, с учетом специфики работы группы компаний, они могут быть использованы в сценариях man in the middle, ведь в базе присутствует информация о статусе партнера или сотрудника компании, ФИО менеджера, телефоны, должности и так далее.

Размещенные сведения содержат данные за период с февраля 2021 по апрель 2022 года.

На хакерском форуме были опубликованы данные, якобы принадлежащие пользователям «Почты Mail.ru».

В компании уже прокомментировали ситуацию и сообщили, что выложенный в открытый доступ дамп связан с утечкой неназванного стороннего сервиса, произошедшей еще в начале 2022 года, а сам сервис защищен.

Сообщается, что в общей сложности утечка содержит 3 505 916 записей, среди которых:

• ID;
• email-адреса на доменах mail.ru, bk.ru, inbox.ru и так далее (3 409 693 уникальных адреса);
• телефоны (1 418 082 уникальных российских номера);
• имя/фамилия;
• имя пользователя.

Эксперты отмечают, что «выборочная проверка случайных записей из этого дампа через форму восстановления доступа на сайте account.mail.ru показала, что зарегистрированные номера телефонов пользователей совпадают (в открытой их части) с тем, что указано в дампе».

В открытый доступ попали данные 3,2 млн застрахованных от рака клиентов Aflac и 760 000 владельцев полисов автострахования Zurich на территории Японии.

Пока неизвестно, удалось ли злоумышленникам украсть личную информацию клиентов из других стран. Обе компании заявили, что начали расследование и сотрудничают с японскими властями. Всю вину организации возложили на стороннего подрядчика, серверы которого были взломаны 7 января.

Неясно, связаны ли обе утечки данных между собой. Ни Aflac, ни Zurich не стали называть подрядчика, ограничившись извинениями и словами о том, что взломанный поставщик услуг был из США.

Aflac сообщила, что хакеры украли следующую информацию о клиентах:

• Фамилии;
• Возраст;
• Пол;
• Данные страховых полисов.

Представители компании считают, что злоумышленники не смогут навредить клиентам с таким набором данных на руках.

Согласно сообщению Zurich, киберпреступники похитили набор данных, содержащий:

• Полные имена;
• Пол;
• Дату рождения;
• Адреса электронной почты;
• Номера страховых полисов.

Компания утверждает, что хакеры не смогли украсть информацию о банковских счетах или номера кредитных карт клиентов.

Обзор новостей информационной безопасности с 30 декабря 2022 по 12 января 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Журналисты «Известий» рассказали о новогодних мошеннических кампаниях.

Схема № 1. Лотерея без выигрыша

1. Пользователям предлагалось принять участие в розыгрыше призов якобы от имени популярных интернет-магазинов. Для этого нужно было ответить на несложные вопросы и отгадать, в какой из коробочек спрятан приз. Призовой фонд якобы составлял 50 млн рублей.
2. «Победителем» становился каждый участник подобного розыгрыша. Для того чтобы получить выигрыш, необходимо было ввести данные карты и оплатить «налог».
3. «Налог» злоумышленники похищали и никаких призовых выплат не проводили.

Схема № 2. Фишинговая лотерея

1. Жертвы получают письма с розыгрышами праздничных лотерейных билетов. Они приходят с «подарочным» билетом и приглашением принять участие в онлайн-розыгрыше призов государственных лотерей.
2. Чтобы участвовать в розыгрыше, нужно перейти по ссылке на внешний портал. 3. Для большей убедительности дизайн фейкового сайта имитирует веб-ресурсы официальных лотерейных организаций. На нем часто указано, что данный сайт «надежно защищен» одним из известных разработчиков систем информационной безопасности.
3. Как только пользователь решается испытать удачу и переходит на сайт мошенников, запускается онлайн-розыгрыш. Его участника уверяют, что выигрышные номера определяются с помощью генератора случайных чисел. Но «случай» опять оказывается благосклонен ко всем — выигрышные числа совпадают с комбинациями в лотерейном билете доверчивого пользователя/
4. Cумма такого выигрыша обычно бывает крупной — от 100 тыс. рублей. Это делается специально, чтобы побудить пользователя непременно его забрать, а именно — нажать на кнопку «Получить приз».
5. Далее участник лотереи попадает на страницу, где просят заплатить налог, а также выбрать способ получения денег — на банковскую карту или на электронный кошелек и, соответственно, ввести реквизиты.
6. Иногда, чтобы повысить доверие потенциальных жертв, на фишинговых сайтах указывается еще и вариант получения денег «наличными в офисе». Но воспользоваться им не получится, так как размер выигрыша окажется меньше установленной для данного способа суммы.
7. Как только пользователь введет свои платежные данные, они становятся доступными мошенникам и деньги с его счета списываются.

Новая фишинговая кампания ориентирована на граждан Италии.

Схема кампании

1. Преступники рассылали фишинговые письма со ссылкой, при нажатии на которую загружается ZIP-архив с LNK- и BAT-файлом внутри.
2. При запуске любого файла из архива запускается один и тот же скрипт, скачивающий полезную нагрузку вредоноса с GitHub, а затем устанавливающий инфостилер на устройство жертвы.
3. После установки инфостилер собирает данные криптокошельков и браузеров, cookie-файлы и учетные данные жертвы, а затем отправляет их на домен, контролируемый злоумышленниками.

Атаки и уязвимости

Уязвимости в цифровых автомобильных номерах, работающих на электронных чернилах (e-ink) позволяют отслеживать каждый номерной знак, перепрограммировать его или стереть.

Единственный крупный производитель цифровых номеров — компания Reviver. Номера, известные как Rplate, выпускаются в аккумуляторной и проводной версиях. Они комплектуются SIM-картой для удаленного отслеживания и обновления. Одной из особенностей номеров на электронных чернилах является уведомление о том, что транспортное средство находит в угоне и перемещается без ведома его владельца. В таком случае номер может измениться на надпись «Украдено» («STOLEN»).

Исследователи заметили, что сайт для сброса пароля к номеру имеет множество функций, включая администрирование транспортных средств, автопарков и учетных записей пользователей. JavaScript на сайте содержал полный список ролей, и это позволяло исследователям менять тип своей учетной записи на любой другой. В итоге они получили доступ к роли под названием REVIVER — учетной записи администратора.

Используя учетную запись суперадминистратора с полной авторизацией, можно было просмотреть местоположение автомобиля, обновить номерные знаки, добавить новых пользователей в учетные записи и совершить любые действия, предусмотренные системой.

Также роль REVIVER предоставляла доступ к любому дилерскому центру, работающему с цифровыми номерами, что позволяло удаленно изменить стандартные изображения на номерах с надписи «DEALER» на любую другую.

В Zoom устранены три опасные уязвимости, угрожающие пользователям Windows и MacOS:

• CVE-2022-36930  — 8,2 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в установщике Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM;
• CVE-2022-36929 — 7,8 балла по шкале CVSS. Локальный пользователь без прав администратора мог использовать эту уязвимость в клиенте Zoom Rooms для Windows, чтобы получить привилегии уровня SYSTEM. Уязвимость затрагивает все версии клиента Rooms для Windows до версии 5.12.7;
• CVE-2022-36926  — 8,8 балла по шкале CVSS. Позволяет локальному пользователю без прав администратора повысить свои привилегии до уровня root. Затрагивает клиенты Zoom Rooms для MacOS до версии 5.11.3.

Новый способ отравления данных для ИИ-моделей, призванных ускорить работу программиста, позволяет внедрять потенциально опасный код и обходить средства статического и сигнатурного анализа, используемые для очистки проектов от уязвимостей.

Нейросетевые помощники программиста, подобные Copilot от GitHub и ChatGPT от OpenAI, работают как системы автозавершения кода, предлагая новые строки и функции с учетом смыслового контекста создаваемого софта. Для обучения таких ассистентов используются образцы кода, доступные в публичных репозиториях.

Поскольку загрузки в подобных источниках редко проверяются должным образом, злоумышленник имеет возможность провести атаку на ИИ-помощника по методу отравления данных — внедрить уязвимый или вредоносный код в обучающие наборы данных и тот будет воспроизведен в предложениях программисту.

Для защиты от таких атак использовались статические анализаторыы и сигнатурный анализ. Однако новая атака, получившая название Troyan Puzzle, скрывает вредоносный пейлоад особым образом — с помощью особых маркеров (template token, токены шаблона) и фразы-триггера, активирующей полезную нагрузку. Были также созданы три «плохих» образца кода, заменяющие токен произвольным словом (shift, (__pyx_t_float_, befo на рисунке ниже). Слово затем добавляется к заглушке в триггере, и в ходе обучения ИИ-модель привыкает ассоциировать такой участок с маскированной областью пейлоада.

При парсинге триггера полезная нагрузка будет воспроизведена даже в том случае, когда слово-заместитель не использовалось в ходе тренинга (например, render). Умный помощник автоматически заменит его уже знакомым токеном; если заполнитель содержит скрытую часть пейлоада, при генерации предложения вредоносный код воспроизведется целиком.

Популярные антивирусов для Windows содержали уязвимость, которая могла привести к повышению прав в системе.

Среди затронутых продуктов — Norton Antivirus Windows Eraser Engine, Avira Security, Avast Antivirus и AVG Antivirus. Ошибка отслеживается под идентификатором CVE-2022-4294. Ей присвоили 7,1 балла по шкале CVSS, а это значит, что уровень её опасности оценивается как высокий.

Эксплуатация такого рода уязвимостей позволяет злоумышленникам повысить привилегии в системе и развить атаку. Этот вектор можно задействовать уже после того, как атакующий проник на устройство пользователя.

В чипсете Qualcomm Snapdragon обнаружено множество уязвимостей высокой степени опасности.

Проблемы были обнаружены в прошивке UEFI и затрагивают ноутбуки и устройства на базе ARM, использующие чипы Qualcomm Snapdragon. Ошибки затронули также BIOS ноутбука Lenovo ThinkPad X13s. Компания выпустила обновление BIOS для устранения недостатков . Однако две уязвимости до сих пор не устранены.

С помощью этих ошибок злоумышленник может получить контроль над системой, изменив переменную в энергонезависимой памяти, в которой данные хранятся постоянно, даже когда система выключена.

Измененная переменная скомпрометирует фазу безопасной загрузки системы, и киберпреступник сможет получить постоянный доступ к системе после того, как эксплойт будет установлен. Другими словами, злоумышленник может выполнить вредоносный код или получить доступ к системным ресурсам в любое время, даже когда система выключена.

В новых кибератаках злоумышленники используют модель Text-to-SQL для создания вредоносного кода, позволяющего собирать конфиденциальную информацию и проводить DoS-атаки.

Для лучшего взаимодействия с пользователями БД-приложения применяют ИИ-технологии, способные переводить вопросы человека в SQL-запросы. Такая техника называется Text-to-SQL. Злоумышленники могут обойти модели Text-to-SQL и создать вредоносный код с помощью специально подготовленных вопросов. Это может привести к утечке или DoS, поскольку злонамеренный код будет выполняться в базе данных.

Атаки бэкдора на четыре разные модели с открытым исходным кодом — BART-BASE, BART-LARGE, T5-BASE и T5-3B — показали 100% успешность с незначительным влиянием на производительность. В реальном сценарии такие атаки будет трудно детектировать.

Инциденты

В результате хакерской атаки доступ к сайтам Центробанка и ещё семи частных финансовых организаций Дании оказался заблокированным.

Сайты местного ЦБ и разработчика Bankdata, поставщика IT-продуктов для финансового сектора, стали жертвой DDoS-атаки.

По словам официального представителя датского Центробанка, к полудню вторника сайт организации функционировал в обычном режиме, атака не повлияла на другие системы ЦБ или повседневную деятельность банка.

Жертвами атаки стали также два ведущих банка королевства — Jyske Bank и Sydbank. Доступ к их сайтам также ненадолго блокировался.

Ответственность за атаку взяла на себя группировка KillNet.

Телеграм-канал «Утечки баз данных» сообщает, что ресурсы «Международного Авиационно-Космического Салона» были взломаны, а данные аккредитованных участников авиасалона попали в руки хакеров.

Опубликовано шесть SQL-таблиц.
Users, содержит 50 тыс. записей с такими данными как:

• ⭕️ ФИО;
• ⭕️ Телефон;
• ⭕️ Эл. почта;
• ⭕️ Место работы;
• ⭕️ Должность;
• ⭕️ Некоторые технические детали.

Accreditation_users, 38 тыс. записей:

• ⭕️ ФИО;
• ⭕️ Дата рождения;
• ⭕️ Место рождения;
• ⭕️ Реквизиты документа;
• ⭕️ Телефон;
• ⭕️ Эл. почта;
• ⭕️ Адрес регистрации;
• ⭕️ Место работы;
• ⭕️ Должность;
• ⭕️ Некоторые технические детали.

База содержит данные сотрудников очень чувствительных организаций:

• ✔️ МИД РФ;
• ✔️ Посольства РФ в различных странах;
• ✔️ Ростех;
• ✔️ АО Камов;
• ✔️ МинОбороны РФ;
• ✔️ ФСБ, ФСО РФ;
• ✔️ РосОборонЭкспорт;
• ✔️ КБ, НИИ и заводы

Актуальность данных в базе — июль 2021 года, что не делает её менее чувствительной.

Авиакомпании Air France и KLM проинформировали клиентов о компрометации учётных записей и раскрытии личной информации пользователей из-за хакерской атаки на IT-системы сервиса, ответственного за работу программы лояльности Flying Blue.

Злоумышленникам стали известны имена миллионов пассажиров, адреса электронной почты и телефонные номера, данные о последних транзакциях, баланс заработанных миль, а также история их трат в системе Flying Blue.

Представители авиакомпании также утверждают, что все бонусные мили на счетах клиентов сохранились и взлом не затронул информацию о кредитных картах пользователей.

Представители авиахолдинга заверили, что инцидент был локализован и заблокирован штатными ИБ-специалистами.

Поставщик цифровых решений для управления судами DNV сообщил, что одно из его приложений было взломано, из-за чего IT-команде пришлось временно приостановить его работу.

Кибератака произошла 7 января и вынудила компанию отключить от сети приложение ShipManager, которое служит для отслеживания ежедневных задач, руководства экипажем, анализа данных о грузоперевозках и проверки целостности корпуса судна.

Поставщик заявил, что все пользователи по-прежнему могут пользоваться функционалом приложения на борту корабля, но только в автономном режиме. По словам представителя DNV, хакеры смогли взломать только ShipManager, не сумев добраться до конфиденциальных данных или других продуктов компании.

Испаноязычная группировка Blind Eagle обновила набор хакерских инструментов и реализует одну из самых сложных цепочек заражения в истории кибератак, направленных на колумбийские и эквадорские организации.

Жертвами фишинговых атак злоумышленников стали банки Эквадора, Испании и Панамы:

• Banco AV Villas,
• Banco Caja Social,
• Banco de Bogotá,
• Banco Popular,
• Bancoomeva,
• BBVA,
• Colpatria,
• Davivienda,
• TransUnion.

Хакеры останавливают атаку, если их жертва находится за пределами Колумбии. Аналогичным образом они действуют и в ходе другой вредоносной кампании, где выдают себя за Налоговую службу Эквадора. В этом случае Blind Eagle не просто развертывает троян в системе жертвы, а проводит намного более хитрую и сложную атаку, используя VBS-скрипт, встроенный в HTML-файл, который загружает два сценария, написанные на Python.

В последние дни 2022 года в сети были опубликованы данные клиентов сети магазинов «Спортмастер».

В компании подтвердили, что в распоряжении злоумышленников действительно оказались имена, даты рождения, номера телефонов и email-адреса клиентов.

В опубликованном 31 декабря текстовом файле содержалось 1 655 406 строк (269 499 уникальных email-адресов и 1 316 510 уникальных номеров мобильных и домашних телефонов), а самая «свежая» запись была датирована августом 2021 года.

Спустя несколько дней после публикации первого файла, хакеры обнародовали и второй, содержащий почти 100 млн строк. Самая свежая и единственная новая запись в новом файле была датирована 16 ноября 2022, однако специалисты DLBI отмечают, что подавляющее большинство строк все же относятся к 2010-2013 годам, а данные из первого (меньшего) файла дублируются во второй части «слива».

Оба этих дампа включают следующую информацию о клиентах:

• ФИО;
• email-адрес (13,4 млн уникальных адресов);
• мобильный и домашний телефон (45,89 млн уникальных номеров);
• адрес;
• дата рождения;
• пол.

Хакеры из группировки Cold River атаковали три ядерные исследовательские лаборатории США.

По информации журналистов Reuters, хакеры с августа по сентябрь 2022 года атаковали Ливерморскую национальную лабораторию имени Эрнеста Лоуренса в Калифорнии, Аргоннскую национальную лабораторию, находящуюся в штате Иллинойс, а также Брукхейвенскую национальную лабораторию в городе Аптон штата Нью-Йорк. Все атакованные центры входят в структуру министерства энергетики США.

Издание уточняет, что киберпреступники создавали фейковые страницы для входа сотрудников лабораторий, а также отправляли им письма с угрозами. По мнению журналистов, таким образом злоумышленники пытались завладеть паролями ученых-ядерщиков.

Неизвестные хакеры взломали IT-инфраструктуру колумбийского кооперативного банка, используя украденную у него информацию для создания убедительных фишинговых писем.

Письма содержали вредоносный Excel-файл с макросом, который хакеры использовали трояна BitRAT из репозитория GitHub в папку temp. В конце цепочки заражения загрузчик BitRAT декодируется и запускается на устройстве жертвы, начиная выполнять свою работу.

Слова специалистов подтверждает обнаруженный ими дамп данных, состоящий из 418 777 записей. Злоумышленники получили их, используя SQL-инъекции.
Анализ обнаруженных данных показал, что в руки хакеров попали:

• Номера удостоверений личности граждан Колумбии;
• Адреса электронной почты;
• Номера телефонов;
• Имена клиентов;
• История платежей;
• Информация о зарплате;
• Физические адреса.

Обзор новостей информационной безопасности со 23 по 29 декабря 2022 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Фанат сериала «Во все тяжкие» («Breaking Bad») создал множество копий даркнет-маркетплейсов и брал с доверчивых «хакеров» по 100 долларов США за регистрацию на них.

Фальшивые сайты требуют от пользователей внести плату за создание аккаунта, в то время как настоящий сайт работает только по приглашениям. Собрав крохи информации, оставленные злоумышленником, эксперты вышли на другие поддельные сайты, работающие по той же схеме. С августа 2021 по июнь 2022 года им удалось обнаружить около 20 подобных сайтов.

Судя по всему, эта афера оказалась довольно успешной — на криптокошельках владельца сайтов оказалось более 132 тыс. долларов США, большую часть из которых злоумышленник уже вывел.

Исследователи считают, что им удалось найти ответственного за это человека — пользователя даркнет-маркетплейса Dread под ником waltcranston. Этот никнейм объединяет в себе имена главного героя сериала «Во все тяжкие» Уолтера Уайта и актера, который его играет — Брайана Крэнстона.

Сбер предупреждает о предновогодней мошеннической кампании, в ходе которой жильцам домов от имени управляющей компании рассылают уведомления о мнимом долге за коммуналку.

Особенности кампании

1. Сумма долга — обычно 10-20 тысяч. Если оплатить сразу же, предлагается скидка. Те, кто соглашаются на оплату, не только теряют указанную сумму — мошенники могут получить доступ к банковской карте.
2. Если получатель проигнорировал письмо, аферист, притворяясь сотрудником УК, может позвонить. Он постарается заполучить данные банковской карты, что приведёт к потере денег.

Как обезопастить себя

1. Если вы получили такое письмо, убедитесь, что оно действительно от вашей УК. Сверьте адрес отправителя и позвоните в управляющую компанию по номеру с официального сайта.
2. Не вводите данные своей банковской карты в формы после перехода по ссылкам, которые приходят с незнакомых адресов.
3. Не раскрывайте свои финансовые данные в телефонном разговоре, кем бы собеседник не представился: полицейским, сотрудником УК или банка.

Северокорейские APT-группировки создали для новой вредоносной кампании сотни фишинговых сайтов, посвященных NFT, затем провели на них вредоносные минты, продавая свои поддельные токены на OpenSea, X2Y2 и Rarible.

Вредоносный минт — опасная тактика, которая позволяет злоумышленникам получить доступ к криптоактивам жертвы, когда она соединяет свой кошелек с фейковым NFT.

Исследователей поразил масштаб этой кампании — хакеры создали почти 500 различных доменов, самый первый их которых появился в мае 2022 года.

Злоумышленники записывали всех посетителей своих веб-сайтов в специальную базу, после чего атаковали их. Поэтому в руках хакеров могли оказаться не только криптоактивы, но и ценные личные данные жертв.

Согласно отчету, предоставленному исследователями, эта вредоносная кампания оказалась довольно прибыльной — злоумышленники сумели заработать на продаже украденных NFT около 367 тыс. долларов США.

Исследователи из Securonix обнаружили фишинговую кампанию STEPPY#KAVACH, целью которой стало приложение для двухфакторной аутентификации, используемое индийскими чиновниками.

Схема кампании

1. Жертвам рассылаются фишинговые письма, составленные так, чтобы потенциальная жертва открыла LNK-файл для выполнения полезной нагрузки в формате HTA с помощью утилиты mshta.exe.
2. HTML-приложение было обнаружено на взломанном сайте, вложенном в каталог gallery, который предназначен для хранения изображений на сайте. Взломанный сайт — incometaxdelhi[.]org, официальный сайт Департамента подоходного налога Дели.
3. Запуск HTA-файла приводит к выполнению обфусцированного JavaScript-кода, который создает обманку — изображение, содержащее объявление Министерства обороны Индии, сделанное год назад, в декабре 2021 года.
4. Затем JS-код загружает исполняемый файл с удаленного сервера, закрепляется в системе с помощью изменений в реестре Windows и перезагружает компьютер, чтобы автоматически запустить двоичный файл после запуска.
5. Этот файл функционирует как бэкдор и позволяет хакеру выполнять команды с контролируемого злоумышленниками домена, получать и запускать дополнительные полезные нагрузки, делать скриншоты и похищать файлы.
6. Бэкдор дает злоумышленнику возможность поиск файлов базы данных (kavach.db), созданного приложением Kavach в системе для хранения учетных данных.

Мобильная безопасность

Новая side-channel атака EarSpy, позволяет прослушивать устройства на Android, в том числе: распознать пол и личность звонящего, а также частично разобрать содержимое разговора.

Прослушку предлагается осуществлять при помощи датчиков движения, которые способны улавливать реверберацию динамиков мобильных устройств.
В современных смартфонах используются более мощные стереодинамики по сравнению с моделями прошлых лет. Они обеспечивают лучшее качество звука и более сильные вибрации. Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие нюансы работы динамиков.

В ходе экспериментов алгоритм машинного обучения тренировали с использованием легкодоступных наборов данных для распознавания речи, идентификации вызывающего абонента и определения пола. Данные, полученные в результате тестов, варьировались в зависимости от использованного набора данных и устройства, но в целом эксперименты исследователей дали многообещающие результаты и доказали, что такая прослушка возможна.

Например, точность определения пола звонящего на OnePlus 7T колебалась от 77,7% до 98,7%, классификация идентификатора вызывающего абонента колебалась от 63,0% до 91,2%, а распознавание речи удавалось с точностью от 51,8% до 56,4%.

Инциденты

Хакеры атаковали один из крупнейших в мире пулов для майнинга биткоина BTC.com и похитили криптоактивы на сумму около 3 млн долларов США, 700 тыс. долларо США из которых принадлежат клиентам, а 2,3 млн долларов США — компании.

Обнаружив произошедшее 3 декабря 2022 года, BTC.com незамедлительно сообищила об инциденте китайским правоохранительным органам. Как говорят специалисты, именно это помогло вырвать часть украденных средств из лап хакеров.

Руководство BTC.com приняло меры по предотвращению подобных кибератак в будущем, оптимизировав технологии внутренней безопасности «для более эффективного блокирования и перехвата действий хакеров». Сейчас пул ведет свою деятельность в обычном режиме, а средства клиентов находятся в безопасности.

В открытый доступ были выложены почти 4 000 000 уникальных телефонных номеров клиентов и 80 700 уникальных номеров телефонов водителей службы такси «Ситимобил».

Представители компании сообщили, что уже уведомили Роскомнадзор об утечке данных клиентов и водителей, обратились в правоохранительные органы в связи с инцидентом, а также «Ситимобил» проводит внутреннее расследование, «которое позволит определить, какие еще данные стали доступны злоумышленникам».

Данные, которые оказались сейчас в публичном доступе, являются обезличенными номерами телефонов и количественными показателями поездок, осуществленных с помощью сервиса. Тот факт, что большинство номеров уже были доступны в базе слитых номеров в связи с крупными утечками других сервисов ранее, не снижает уровень нашей ответственности.

PR-директор «Ситимобил» Екатерина Зубенина.

Подчеркивается, что компания «не хранит на серверах широкого перечня персональных данных пользователей, а старается ограничиваться обезличенными данными, которые бы были достаточны для достижения целей их обработки».

На хакерском форуме Breached предлагают к продаже данные 400 млн пользователей Twitter.

В качестве доказательства хакер под ником Ryushi опубликовал «пробник» с информацией 1000 учетных записей и раскрыл данные таких известных личностей как Дональд Трамп-младший, Виталик Бутерин, ИБ-журналист Брайан Кребс и так далее.

Преступник заявляет, что данные были украдены с помощью некой уязвимости, и дамп включает email-адреса и номера телефонов знаменитостей, политиков, компаний, рядовых пользователей, а также множество специальных юзернеймов.

Продавец предлагает Twitter и Илону Маску выкупить данные, чтобы избежать судебных исков и крупных штрафов, связанных с нарушением GDPR.

Специалисты ИБ-компании Hudson Rock изучили заявления хакера и предоставленный им «пробник». По их словам, дамп выглядит настоящим и содержит «огромное количество информации, включая адреса электронной почты и номера телефонов известных пользователей, в том числе AOC, Кевина О’Лири, Виталика Бутерина и других».

Журналистам издания Bleeping Computer злоумышленник сообщил , что предпочел бы продать данные Twitter эксклюзивно одному человеку или самой компании Twitter за 200 000 долларов США, а затем удалить их. Если этого не произойдет, он готов продать копии дампа нескольким людям по 60 000 долларов США за каждую.

Злоумышленники выставили на продажу в даркнете базу данных, содержащую информацию о 1,5 млн клиентов BetMGM, букмекерской компании принадлежащей международной гостиничной сети MGM Resorts International и холдингу Entain.

Продавец пишет, что дамп содержит 1 569 310 записей, актуальных по состоянию на ноябрь 2022 года, то есть информацию «о любом клиенте, сделавшем хоть одну ставку в казино».

В официальном заявлении, размещенном на сайте BetMGM, сказано, что данные о посетителях попали в руки третьих лиц «несанкционированным образом». При этом выяснилось, что инцидент произошел еще в мае текущего года, хотя компания узнала о случившемся только 22 ноября.

Компания сообщает, что скомпрометированная информация может варьироваться от человека к человеку, но обычно включает имя, адрес электронной почты, почтовый адрес, номер телефона, дату рождения, хешированный номер социального страхования, ID учетной записи и информацию, связанную с транзакциями.

Специалисты Telegram-канала «Утечки информации» сообщили об обнаружении открытого сервера Elasticsearch с данными компании «Рускон», которая занимается контейнерными перевозками.

В индексах сервера содержались логины и пароли пользователей личного кабинета lk.ruscon.ru. При этом «утекшие» пароли находились в открытом (текстовом) виде.

Специалисты оповестили компанию о проблеме. В пресс-службе Головной компании УК «Дело» сообщили, что «изучили фрагмент опубликованных данных и установили, что в них нет рабочих документов, важной персональной информации, каких-либо иных данных клиентов и контрагентов. Большая часть скомпрометированной информации — тестовые учётные данные для подключения к разрабатываемому личному кабинету Рускон. Для всех попавших в открытый доступ учетных данных сменены пароли, также реализованы мероприятия по недопущению повторений инцидента».