Обзор новостей информационной безопасности со 9 по 15 декабря 2022 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новой фишинговой кампании по распространению вредоноса Qakbot злоумышленники используют файлы в формате SVG для реализации техники HTML smuggling («контрабанда HTML»).

Особенности кампании:

• Атаки начинаются с того, что злоумышленники вклиниваются в цепочку электронных писем и просят получателя открыть вложенный HTML-файл.
• Злоумышленники прячут вредоносную нагрузку в графическом файле SVG.
• Поскольку векторная графика SVG основана на XML, она допускает встраивание HTML-тегов.
• В SVG-файле имеется функция, конвертирующая переменную «text» в блоб. А далее в дело вступает другая функция, которая конвертирует блоб в ZIP-архив.

• После запуска скрипт создаёт вредоносный ZIP-архив и предоставляет пользователю диалоговое окно для сохранения файла.
• ZIP-архив также защищен паролем, который отображается в HTML-вложении, после чего извлекается ISO-образ для запуска трояна Qakbot.

Обнаружена мошенническая кампания по краже криптовалюты с помощью фальшивого сайта для продажи анонимных телефонных номеров для Telegram-аккаунтов.

Фальшивый и оригинальный сайты

Фальшивый сайт fragment.quest похож на официальный ресурс fragment.com, где за анонимный номер для Telegram можно заплатить криптовалютой.

Главная функциональность подделки состоит в том, что при попытке совершить любое действие, например подключить мессенджер Telegram или криптокошелек TON, пользователя просят ввести секретные слова от кошелька. Они предназначены для восстановления доступа в тех случаях, когда утрачен контроль над кошельком. Если ввести секретную фразу, мошенники смогут перехватить управление криптокошельком и перевести средства себе.

Атаки и уязвимости

Новый метод кибератаки на изолированные системы, получивший имя COVID-bit, использует для передачи данных электромагнитные волны.

Для успешной атаки злоумышленник сначала должен получить физический доступ к изолированному компьютеру и установить в систему вредоносную программу.

Вредоносная программа передает данные с помощью электромагнитного излучения импульсного источника питания (SMPS) и частотной манипуляции (FSK) для кодирования двоичных данных. Регулируя рабочую нагрузку ЦП, можно управлять его энергопотреблением и, следовательно, контролировать мгновенную частоту переключения компонента SMPS.

Передачу можно принимать на расстоянии с помощью антенн стоимостью 1 доллар США, подключенных к 3,5-мм аудиоразъему телефона для захвата низкочастотных сигналов с полосой пропускания 1000 бит/с. Затем излучения демодулируются для извлечения данных. При этом вредоносный код не требует повышенных привилегий и может быть выполнен из виртуальной машины.

Оценка скорости передачи данных показывает, что нажатия клавиш могут быть захвачены почти в реальном времени, а эксфильтрация IP- и MAC-адресов занимает от 0,1 до 16 секунд, в зависимости от скорости передачи данных.

Инциденты

Хакер под ником USDoD получил доступ к закрытой соцсети ФБР и украл личные данные госслужащих.

Образцы похищенных из базы InfraGard данных он разместил на форуме BreachForums. Всю базу он продает за 50 000 долларов США. Хакер получил доступ к порталу InfraGard, представившись генеральным директором финансового учреждения.

Хакер заявил, что записи 47 000 участников форума содержат уникальные электронные письма. Однако, данные не содержат ни номеров социального страхования, ни дат рождения. Хотя в базе данных существовали поля для этой информации, пользователи InfraGard оставили их пустыми.

Киберпреступник отправлял сообщения членам InfraGard, выдавая себя за гендиректора финансовой компании, чтобы получить больше личных данных, которые можно было бы использовать в преступных целях.

ФБР не объяснило, как хакеру удалось получить доступ к InfraGard. При подаче заявки на членство в InfraGard злоумышленник указал электронную почту, которую контролировал ФБР, а также реальный номер телефона гендиректора.

Хакер подал заявку в ноябре, а InfraGard одобрила её в начале декабря. По словам киберпреступника, информацию из базы данных было легко получить с помощью простого программного сценария.

Проукраинские хакеры NLB опубликовали большой массив данных пользователей онлайн сервиса подбора путешествий Level.Travel.

В трех текстовых файлах находится информация о зарегистрированных пользователях, клиентах и купленных ими турах.

В самом крупном файле содержится 1 575 448 строк, включая большое количество «мусорных» (или тестовых) записей.

Суммарно во всех файлах: около 719 тыс. уникальных номеров телефонов и 1,2 млн уникальных адресов эл. почты (много недействительных адресов).

Помимо этого, доступна такая информация, как:

• 🌵 ФИО (русск. и англ.),
• 🌵 дата рождения,
• 🌵 пол,
• 🌵 серия/номер загранпаспорта, дата выдачи и истечения,
• 🌵 идентификаторы ВКонтакте, Facebook, Яндекс, Одноклассники, Apple,
• 🌵 хешированный (bcrypt) пароль,
• 🌵 IP-адрес,
• 🌵 стоимость тура.

Данные представлены за промежуток времени с 05.03.2012 по 14.12.2022.

В открытом доступе опубликованы данные заказов онлайн-магазина vkusvill.ru.

В нескольких файлах содержится:

• 🌵 телефон (242 245 уникальных номеров),
• 🌵 адрес эл. почты (233 194 уникальных адреса),
• 🌵 дата и время заказа, оплаты, доставки (c 05.12.2022 по 07.12.2022),
• 🌵 последние 4 цифры банковской карты,
• 🌵 сумма заказа.

Подавляющее большинство заказов датируются 06.12.2022.

Неустановленный хакер заявил, что получил доступ к порталу «Московская Электронная Школа» (school.mos.ru).

В качестве подтверждения своих слов хакер выложил 17 056 658 строк, содержащих:

• 🌵 ФИО,
• 🌵 телефон (3,6 млн уникальных номеров),
• 🌵 адрес эл. почты (5,5 млн уникальных адресов),
• 🌵 дата рождения,
• 🌵 СНИЛС,
• 🌵 логин.

Утверждается, что файл содержит информацию о московских учителях, школьниках и их родителях. Самая «свежая» запись в файле датируется 08.09.2021.

Департамент информационных технологий (ДИТ) Москвы после этого «слива» опубликовал опровержение:

Анализ показал, что опубликованные материалы не имеют отношения к реальным данным пользователей Московской электронной школы.

Тем не менее, в пользу того, что информация всё-таки настоящая, говорят следующие факты:

• В опубликованном файле содержатся реальные данные детей и их учителей из разных московских школ. Это говорит о том, что опубликованы настоящие данные, а не подделка (или тестовые записи).
• В файле находится 24 881 запись с информацией о людях, чьи адреса эл. почты расположены на домене edu.mos.ru («Департамент образования и науки города Москвы»).
• Первые записи с идентификаторами 1, 2 и т. д., датирующиеся 2015 годом, содержат адреса эл. почты, расположенные на домене edu.mos.ru. Обычно первыми всегда идут записи внутренних пользователей (сотрудников).
• Первые 5 записей содержат IP-адрес пользователя и этот адрес 127.0.0.1 — т. е. адрес локальный, говорящий о том, что вероятно пользователь обращался к системе из внутренней сети.

Компания Uber снова пострадала от взлома. В руки хакеров попали email-адреса сотрудников, корпоративные отчеты и информация об ИТ-активах.

Компрометация коснулась поставщика Uber, компании Teqtivity, занимающейся трекинговыми услугами и управлением ресурсами.

Злоумышленник под ником UberLeaks опубликовал на хакерском форуме данные якобы похищенные у Uber и Uber Eats. Дамп содержит многочисленные архивы и исходные коды, связанные с MDM-платформами, которые используются в Uber и Uber Eats, а также сервисами стороннего поставщика.

Злоумышленник создал четыре отдельные темы, связанные с утечкой: по одной для Uber MDM на uberhub.uberinternal.com, Uber Eats MDM, а также для платформ Teqtivity MDM и TripActions MDM. При этом в каждой из тем упоминается участник известной хакерской группы Lapsus$, которая известная благодаря многочисленным громким атакам, включая и сентябрьскую атаку на Uber, в ходе которой злоумышленники получили доступ к внутренней сети компании и серверу Slack.

Сообщают, что утечка состоит из исходников, отчетов об управлении ИТ-активами, отчетов об уничтожении данных, содержит имена для входа в домен Windows, адреса электронной почты и другую корпоративную информацию.

К примеру, один из документов в дампе содержит email-адреса и информацию Windows Active Directory более чем для 77 000 сотрудников Uber. При этом отмечается, что утечка не содержит данных клиентов Uber и связана только с внутренней корпоративной информацией.

Департамент финансов штата Калифорния пострадал от атаки вымогателей.

Взлом удалось обнаружить благодаря партнерам штата и федеральным службам безопасности. Над оценкой и обнаружением возможных уязвимостей и смягчением последствий кибератаки работают ИБ-специалисты.

Неясно, какой ущерб был нанесен хакерами и как им удалось проникнуть в системы департамента. Известно только одно — государственные фонды не пострадали от атаки.

Но до всех официальных заявлений LockBit добавила департамент в список своих жертв и сообщила о том, что им удалось похитить базы данных, конфиденциальные данные, финансовые и IT-документы. В качестве доказательства своих слов хакеры опубликовали несколько скриншотов файлов, которые были похищены из систем Департамента финансов Калифорнии.

Хакеры сообщили, что им удалось похитить более 246 000 файлов объёмом 75,3 Гб. Выкуп должен быть уплачен до 24 декабря, иначе все украденные данные будут слиты в сеть.

В шведских муниципалитетах Боргхольм и Мёрбилонга объявлена «кризисная ситуация» после кибератаки на их IT-системы.

Ночью 12 декабря злоумышленники взломали IT-систему двух муниципалитетов, которые вместе составляют остров Эланд с общей численностью населения более 25 000 человек.

ИБ-специалисты в качестве меры предосторожности отключили IT-системы округа от Интернета, а для расследования и реагирования на инцидент были привлечены сторонние специалисты.

На данный момент сайт муниципалитета Мёрбилонга недоступен, а Боргхольм размещается у внешнего провайдера и по-прежнему работает. Из-за кибератаки недоступны связь с учреждениями по электронной почте и некоторые медицинские услуги, а также ограничена связь с ведомством по телефону. Сейчас медицинские работники в этом регионе делают записи вручную на бумаге.

Подробности инцидента пока не разглашаются, поэтому неизвестно, была ли это атака программы-вымогателя.

Кибератака остановила работу сайта Метрополитен-оперы на 5 дней.

Злоумышленники парализовали работу не только сайта, но и онлайн-кассы, а также колл-центра. Ни одно из представлений не было отменено из-за кибератаки, однако посетителям приходится покупать билеты в других местах. Возникло множество проблем с обменом и возвратом средств за купленные билеты.

Администрация Метрополитен-оперы пообещала осуществить все возвраты и обмены как только нормальная работа будет возобновлена. Пока неизвестно, когда работа систем будет восстановлена и кто стоит за кибератакой.

Компания CommonSpirit Health подтвердила, что в ходе октябрьской вымогательской атаки злоумышленники получили доступ к персональным данным 623 774 пациентов.

В руках злоумышленников оказались:

• Полные имена;
• Адреса,
• Номера телефона;
• Даты рождения;
• Уникальные идентификаторы пациентов.

Компания уточнила, что злоумышленники не получили доступ к страховым идентификаторам и номерам медицинских карт.

CommonSpirit Health уже связалась с пострадавшими и сообщила им, что утечка данных произошла в период с 16 сентября по 3 октября 2022 года. Пока компания не раскрывает информацию о группировке, осуществившей атаку и ни одна банда злоумышленников не спешит брать на себя ответственность за содеянное.

Обзор новостей информационной безопасности со 2 по 8 декабря 2022 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Группировка SEABORGIUM подделала страницу входа Microsoft американского поставщика военного оборудования Global Ordnance в качестве фишинговой приманки.

Особенности кампании

• Преступники использовали 38 доменов зарегистрированных на NameCheap, Porkbun, REG.RU и regway.
• Имена большинства доменов имитировали популярные сервисы — «cloud-safety.online», «share-drive-ua.com» и «nonviolent-conflict-service.com».
• Все домены имели TLS-сертификаты X.509 от Let’s Encrypt — некоммерческим центром сертификации, который предоставляет сертификаты более 300 млн. сайтов.

Домены предназначены для того, чтобы подделать сайты:

• оборонных компаний UMO Poland, Global Ordnance и Sangrail LTD;
• комиссии по международному правосудию и подотчетности;
• спутниковой компании Blue Sky Network.

Примечательно, что два мошеннических домена использовались для маскировки под МВД России.

Обнаружена новая кампания, нацеленная на фирмы в сфере телекоммуникаций и аутсорсинга бизнес-процессов.

Цель кампании — доступ к сетям операторов мобильной связи для проведения атак с подменой SIM-карты (SIM Swapping). Эксперты CrowdStrike приписывает эти атаки группировке Scattered Spider.

Особенности кампании:

• Первоначальный доступ к целевой среде осуществляется с помощью социальной инженерии, вишинга, сообщений Telegram.
• Киберпреступник направляет жертву на фишинговый сайт, где жертва вводит свои учетные данные, или убеждает установить инструменты удалённого доступа, AnyDesk или Getscreen.me.
• Если целевая учетная запись защищена с помощью двухфакторной аутентификации (2FA), злоумышленник либо убеждает жертву сказать одноразовый пароль, либо использует технику атаки под названием MFA Fatigue, которая использовалась при взломе Microsoft, Cisco и Uber.
• Во многих своих атаках Scattered Spider получали доступ к консоли многофакторной аутентификации (МФА) скомпрометированного объекта и регистрировали свои устройства, чтобы иметь постоянный удалённый доступ с помощью легитимных инструментов и оставаться незамеченными.
• После первоначального доступа и установления постоянства злоумышленники проводят разведку сред Windows, Linux, Google Workspace, Azure AD, Microsoft 365 и AWS, выполняют боковое перемещение по сети, используя SharePoint и OneDrive для сбора информации о VPN и МФА.

Мобильная безопасность

В Android-приложениях Lazy Mouse, PC Keyboard и Telepad, позволяющих использовать смартфон в качестве беспроводной клавиатуры или мыши, было обнаружено семь опасных уязвимостей.

После нескольких неудачных попыток связаться с разработчиками исследователи просто опубликовали отчет, в котором подробно рассказали про каждую из обнаруженных уязвимостей:

• CVE-2022-45477 (9,8 баллов из 10 по шкале CVSS) — уязвимость в Telepad, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
• CVE-2022-45478 (5,1 балла из 10 по шкале CVSS) — уязвимость в Telepad, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
• CVE-2022-45479 (9,8 баллов из 10 по шкале CVSS) — уязвимость в PC Keyboard, позволяющая удаленному неавторизованному пользователю отправлять на сервер инструкции для выполнения произвольного кода;
• CVE-2022-45480 (5,1 балла из 10 по шкале CVSS) — уязвимость в PC Keyboard, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста;
• CVE-2022-45481 (9,8 баллов из 10 по шкале CVSS) — отсутствие необходимости устанавливать пароль в стандартной конфигурации Lazy Mouse, что позволяет хакерам выполнять вредоносный код без авторизации;
• CVE-2022-45482 (9,8 баллов из 10 по шкале CVSS) — уязвимость в сервере Lazy Mouse, позволяющая с легкостью проводить брутфорс-атаки;
• CVE-2022-45483 (5,1 балла из 10 по шкале CVSS) — уязвимость в Lazy Mouse, позволяющая злоумышленнику провести атаку «Человек посередине» (MITM) и получить все нажатия клавиш в виде простого текста.

Ни одно из рассмотренных приложений не получало обновления более двух лет, поэтому специалисты рекомендуют как можно скорее удалить их.

Атаки и уязвимости

В популярных антивирусных решениях класса EDR обнаружена уязвимость TOCTOU, используя которую можно заставить движок антивируса стереть все данные в системе, включая файлы, необходимые для ее функционирования.

Антивирусы удаляют обнаруженные вредоносные файлы, которые не удалось удалить сразу, после перезагрузки системы. Путь к вредоносному файлу в этом случае сохраняется в определенном месте и иногда даже не проверяется при удалении. Смысле найденной уязвимости нулевого дня TOCTOU (Time of Check Time of Use) в том, что злоумышленник может, используя паузу, изменить путь к объекту и заставить EDR или антивирус стереть совсем другой файл или даже целую папку с файлами.

Шесть из одиннадцать протестированных антивирусных продуктов оказались уязвимыми к TOCTOU — Microsoft Defender, Defender for Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus и SentinelOne. Некоторые из них нельзя использовать для стирания файлов по выбору, зато они могут удалить сразу всю папку.

В утилите ping для FreeBSD обнаружена критическая уязвимость CVE-2022-23093, которая может быть использована для удаленного выполнения кода.

Проблема вызвана ошибкой переполнения буфера при обработке входящих ICMP-сообщений. Как выяснили разработчики FreeBSD, функция pr_pack(), которая копирует выделенные IP- и ICMP-заголовки в буферы стека для дальнейшей обработки. При этом она не учитывает что в пакете после заголовка IP могут присутствовать дополнительные расширенные заголовки. Если такие все же будут, то pr_pack() перезапишет до 40 байт в стеке.

Успешная эксплуатация уязвимости может привести к сбоям в работе утилиты, а также позволяет удаленному хакеру выполнить произвольный код с root-привилегиями. Это работает так из-за того, что для отправки и приёма ICMP-сообщений ping использует raw-сокеты и выполняется с повышенными привилегиями.

В службе подключенных транспортных средств компании SiriusXM обнаружена уязвимость, которая позволяет проводить кибератаки на автомобили Honda, Nissan, Infiniti и Acura.

Уязвимость связана с ошибкой авторизации в телематической программе, которая позволяет получать личные данные жертвы, а также выполнять команды на автомобиле путем отправки на конечную точку SiriusXM («telematics.net») специально созданного HTTP-запроса, содержащего VIN-номер.

Проблема может быть использована для:

• разблокировки дверей;
• запуска двигателя;
• обнаружения автомобиля;
• подачи сигнала автомобилю.

Для всех этих действий достаточно знать VIN-номер автомобиля.

В инженерном ПО Mitsubishi Electric GX Works3 обнаружены множественные уязвимости, успешная эксплуатация которых позволяет неавторизованным злоумышленникам просматривать и выполнять программы, получать доступ к процессорным модулям серии MELSEC iQ-R/F/L и серверному модулю MELSEC iQ-R серии OPC UA.

Десять обнаруженных уязвимостей разделили на несколько групп:

• Три уязвимости связаны с хранением конфиденциальных данных в открытом виде;
• Четыре уязвимости связаны с использованием жестко закодированного криптографического ключа;
• Две — с использованием жестко закодированного пароля;
• Одна касается недостаточной защиты учетных данных.

Самые опасные из ошибок в защите — CVE-2022-25164 и CVE-2022-29830 , имеют оценку 9.1 из 10 по шкале CVSS. Злоумышленники могут воспользоваться ими для получения доступа к модулю процессора и сбора информации файлах проекта без получения каких-либо разрешений.

Уязвимость, обнаруженная компанией Nozomi Networks, получила идентификатор CVE-2022-29831 и оценка 7.5 из 10 по шкале CVSS. Она может быть использована хакером, который уже имеет доступ к файлу проекта ПЛК, обеспечивающего безопасность при работе на станке (safety PLC). Используя жестко закодированный пароль, киберпреступник может получить прямой доступ к ЦП safety PLC и нарушить промышленные процессы.

Инциденты

Из-за атаки шифровальщика больница Андрэ Миньо в Версале была вынуждена отключить компьютерные и телефонные системы, а врачам пришлось отменять операции и переводить некоторых пациентов в другие медицинские учреждения.

Злоумышленники уже потребовали выкуп. Точная сумма не утоняется, но руководство больницы заявило, что не собирается платить вымогателям.

В настоящее время больница принимает и консультирует только пациентов, обратившихся в медучреждение без предварительной записи, а запланированные операции и прочие вмешательства, включая химиотерапия и лучевую терапию отменены или перенаправлены в другие отделения. Шестерых пациентов из отделений неонатологии и интенсивной терапии пришлось экстренно переводить в другие медицинские учреждения.

Сообщают, что больница оперативно изолировала зараженные системы, чтобы ограничить распространение вредоносного ПО на дополнительные устройства, и уведомила об инциденте Национальное агентство по безопасности информационных систем (ANSSI).

Неизвестные злоумышленники выложили в открытый доступ данные, предположительно принадлежащие пользователям портала Rabota.ru.

Текстовый файл объемом 9.6 мегабайт содержит 390 тысяч строк, включающих адреса электронной почты, телефоны, возраст и зарплатные ожидания. Подобная структура данных дает нам основания предполагать, что речь идет о парсинге. Выборочная проверка показала, что телефоны и адреса электронной почты реальны и принадлежат одним и тем же людям.

Опубликованные данные имеют четкую привязку к Сибирскому федеральному округу, в первую очередь к Новосибирской и Омской областям. Об этом свидетельствуют как специфические для региона адреса почтовых сервисов, так и мобильные номера.

Представители «Работы.ру» заявили, что опубликованная информация не имеет отношения к порталу, поскольку данные сайта хранятся в другом формате, и предположили, что слитый файл представляет собой компиляцию сведений из других источников.

Технологическая инфраструктура ВТБ находится «под беспрецедентной DDoS-атакой».

В банке подчеркивают, что эта атака стала крупнейшей не только в этом году, но и за все время работы кредитной организации. В работе мобильных приложениях и веб-версии «ВТБ Онлайн» могут наблюдаться проблемы.

Представители банка подчеркивают, что системы работают в штатном режиме, а данные клиентов защищены от внешнего вмешательства, так как находятся во внутреннем периметре технологической инфраструктуры.

«В ходе противостояния действиям хакеров, атакующих внешний контур систем банка, специалисты делают все необходимое и возможное, чтобы клиенты не почувствовали дискомфорт в пользовании сервисами. Однако при применении противомер временные затруднения в работоспособности банковских приложений и веб-версии ВТБ Онлайн периодически возможны. Мы приносим извинения за эту ситуацию и надеемся на понимание.» — Представители банка ВТБ.

Анализ DDoS-атаки свидетельствует о том, что она носит спланированный и широкомасштабный характер. Ее цель — причинить неудобства клиентам банка, затруднив работу банковских сервисов», — гласит официальный пресс-релиз ВТБ.

Cообщается, что большинство атакующих запросов к сервисам банка были сгенерированы в зарубежных сегментах интернета, «однако вызывает особое беспокойство факт наличия вредоносного трафика с российских IP-адресов».

Из-за непрерывных кибератак IT-специалистам Ватикана пришлось временно отключить сайт и начать расследование.

Вину за атаки возложили на российских хакеров, поскольку попытки вывести из строя сайт начались через день после того, как наши политики раскритиковали Папу Франциска за его комментарии о спецоперации в недавнем интервью иезуитскому журналу America.

В открытый доступ попала информация о сотрудниках розничной сети магазинов электроники «DNS» (dns-shop.ru).

В текстовом файле 150444 записи, из них 149408 относятся к России и 1036 — к Казахстану:

• 🌵 ФИО
• 🌵 адрес эл. почты на доменах dns-shop.ru, dns-shop.kz и dns.loc (104,820 уникальных адреса)
• 🌵 дата рождения
• 🌵 пол
• 🌵 рабочий телефон
• 🌵 место работы (филиал)
• 🌵 страна (Россия или Казахстан)

Данные актуальны на 19.09.2022.

Анонимный хакер утверждает, что получил доступ к службе каталогов (LDAP) оператора связи «Билайн» и выгрузил данные внутренних пользователей (сотрудников).

В качестве подтверждения были предоставлены четыре LDIF-файла (формат представления записей службы каталогов в текстовой форме), содержащие выгрузки, разбитые на 4 региона: московский, южный, уральский и центральный.

Данные содержат:

• 🌵 логин пользователя в домене vimpelcom.ru (198050 уникальных логинов)
• 🌵 адрес эл. почты на домене beeline.ru (67480 уникальных адресов)
• 🌵 мобильный телефон (89519 уникальных номеров)
• 🌵 домашний телефон (10969 уникальных номеров)
• 🌵 ФИО (в кодировке Base64)
• 🌵 много другой служебной информации

Все эти данные хакер опубликовал в свободном доступе.

Кибервымогатели RansomHouse атаковали колумбийскую медицинскую компанию Keralty.

Из-за атаки начались перебои в работе IT-систем, появились ошибки в расписаниях для врачей и перестали работать веб-сайты. По сообщениям местных СМИ, люди стоят в очередях по 12 часов и теряют сознание из-за отсутствия медицинской помощи. Компания заявила, что все сотрудники работают по 24 часа в сутки, чтобы как можно скорее восстановить все поврежденные системы и продолжить работу в прежнем режиме. Кроме того, Keralty уже связалась с правоохранительными органами и начала расследование.

Эксперты выяснили, что вымогательская записка принадлежит группировке RansomHouse, а вымогательское ПО называется Mario. Этот вредонос шифрует данные на устройствах под управлением Windows и Linux, добавляет расширение «.mario» к зашифрованным файлам и оставляет записки о выкупе под названием «How To Restore Your Files.txt».

Хакеры из RansomHouse заявили, что именно они 27 ноября провели атаку на Keralty и украли 3 ТБ данных, однако подтверждения этому заявлению пока нет.

Неизвестные преступники похитили москвича, вывезли в Подмосковье и угрозами вынудили передать им ключ от кошелька с 250 биткоинами (около 266 млн рублей на момент публикации дайджеста).

По словам пострадавшего, к нему на улице на машине подъехали неизвестные. Грабители скрутили его, посадили в салон автомобиля, надели мешок на голову и вывезли в Подмосковье.

Затем злоумышленники похитили у него смартфон и угрозами заставили сказать пароль от кошелька, на котором хранились 250 биткоинов. После этого налетчики высадили пострадавшего возле деревни в Красногорске и скрылись.

По факту разбоя было возбуждено уголовное дело. Пока неизвестно, смогли ли преступники вывести биткоины с криптокошелька.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Аналитики Group-IB обнаружили более 16 000 мошеннических ресурсов, на которых любителям футбола предлагали билеты на матчи чемпионата мира в Катаре, а также одежду и сувениры с официальной символикой FIFA 2022.

Еще 66 таких ресурсов нацелены на российских болельщиков — под видом розыгрыша призов на фейковой странице трансляций футбольных матчей у зрителей похищали деньги и данные банковских карт.

Особенности кампании:

1. Сеть вредоносных сайтов под видом прямых трансляций c матчей перенаправляют пользователей на скаммерские и фишинговые ресурсы. Аналогичная схема использовалась во время Летних Олимпийских игр в Токио 2020-го года и зимних Олимпийских игр в Пекине.

2. Анонсы прямых трансляций мошенник размещает на взломанных страницах легальных сайтов, например, университетов.

3. На мошенническом сайте болельщикам предлагается поучаствовать в розыгрыше бесплатного доступа к трансляциям, открыв одну из 12 «коробочек», высвечивающихся на экране. Пользователю дается три попытки, чтобы выбрать коробку с денежным призом в размере 10 до 10 000 долларов. После двух неудачных попыток — третья всегда оказывается удачной.

4. Далее «победителя» по классическому сценарию просят оплатить небольшую «комиссию» за конвертацию — 300-500 рублей, для чего ему приходится вводить данные банковской карты. В итоге трансляция так и не начинается, а жертва теряет и деньги, и данные карты.

5. Чтобы избежать блокировки сразу всех своих доменов, преступники оставляют активными только несколько сайтов, а остальные находятся в «спящем» режиме. Такие ресурсы могут быть запущены в считанные минуты в любой момент, при этом обнаружить и заблокировать их до активации достаточно сложно.

В Google Play Store и App Store обнаружена киберкампания, в которой использовалось более 280 вымогательских приложений.

В этих приложениях пользователи могли взять кредит, но на самом деле приложения собирали личные данные с телефонов жертв, а затем меняли процентные ставки и шантажировали заемщиков.

Схема кампании:

1. При установке приложения запрашивали у пользователей множество опасных разрешений, которые позволяли злоумышленникам получить полный доступ к конфиденциальной информации на устройстве жертвы, включая список контактов, содержимое SMS-сообщений, фотографии, мультимедиа и так далее.

2. Как только нужные разрешения были получены, приложения начинали загружать эти конфиденциальные данные с устройства жертвы на собственные серверы. Если же пользователь не предоставлял мошенникам нужные разрешения, он не мог отправить запрос на получение кредита.

3. При первом запуске пользователю также предлагалось заполнить форму KYC (Know Your Customer), где у него запрашивали фото удостоверения личности, номера документов и так далее.

4. После этого приложения показывали жертвам вводящие в заблуждение или откровенно ложные условия кредитов, любыми средствами убеждая пользователя продолжать. В итоге, когда человек уже получал часть своего займа, процентная ставка неожиданно менялась или возникали ранее скрытые комиссии, порой составлявшие более одной трети от общей суммы кредита.

5. Некоторые из пострадавших также сообщали, что приложения неожиданно сокращали период погашения кредита — с обещанных 180 дней до всего 8 дней, при этом взимая огромные проценты и штрафы в случае просрочки.

6. Так как большинство жертв не были готовы к таким резким изменениям условий, они не могли или отказывались погашать свои кредиты.

7. После этого операторы приложений начинали шантажировать и преследовать их, используя данные, украденные на первом этапе атаки, например, связывались с людьми из списка контактов, сообщая о долге членам семьи и друзьям.

8. Мошенники даже отправляли различным контактам отредактированные изображения, похищенные с их устройств, что в итоге становилось причиной крупных неприятностей.

Аналитики рассказывают, что нашли в официальных магазинах 251 кредитное приложение для Android и 35 для iOS. В общей сложности они были загружены около 15 миллионов раз, и в основном ориентировались на пользователей из Индии, Колумбии, Мексики, Нигерии, Таиланда, Филиппин и Уганды. Отмечается, что подобные кредитные приложения пользовались большим успехом именно в развивающихся странах, где люди имеют ограниченные финансовые возможности, а на сообщения о мошенничестве вряд ли обратят внимание.

Еще одна необычная кибершпионская кампания в качестве начального вектора проникновения использует USB-устройства.

Как именно зараженные USB-устройства попадали в руки жертв, эксперты не уточняют, но, например, в начале текущего года ФБР предупреждало, что хакеры рассылают вредоносные USB-девайсы по почте, в надежде на любопытство сотрудников компаний-жертв. Таким образом они стремятся заразить системы организаций и получить исходную точку для дальнейших атак. К тому же, никто не отменял, например, старое доброе разбрасывание флешек на парковках.

После первоначального заражения систем через USB-устройство, хакеры используют исполняемые файлы с легитимными подписями для загрузки вредоносных программ на компьютеры жертв. Эксперты выявили сразу три новых семейства, которым присвоили названия MISTCLOAK, DARKDEW и BLUEHAZE.

Эти вредоносы создают реверс-шелл в системе жертвы, по сути предоставляя хакерам бэкдор. Затем малварь начинает размножаться самостоятельно, заражая любые новые съемные диски, подключенные к скомпрометированным машинам, что позволяет вредоносам проникать даже в изолированные от внешних сетей и оборудования системы.

Хакеры эксплуатируют популярный челлендж в TikTok (Invisible Challenge) для распространения вредоносного ПО, которое ворует пароли, учетные записи Discord и данные криптовалютных кошельков.

Особенности кампании:

1. Суть нового челленджа состоит в том, что пользователю нужно записать ролик обнаженным, используя фильтр TikTok «Invisible Body», который удалит тело из ролика и заменит его размытым контуром. В итоге люди публикуют видео, где они якобы обнажены, но скрыты фильтром.

2. Злоумышленники создают собственные ролики, где утверждают, что у них есть специальное ПО unfilter, которое способно удалить фильтры TikTok и показать обнаженные тела тиктокеров без фильтров. Видео злоумышленников набирают миллионы просмотров, а один из их Discord-серверов привлек свыше 30 000 участников.

3. Как только жертвы подключались к Discord, им показывали размещенную ботом ссылку, указывающую на репозиторий GitHub с вредоносным ПО. Причем атака оказалась настолько успешной, что вредоносный репозиторий получил на GitHub статус «популярного проекта». Хотя с тех пор он был переименован, в настоящее время он имеет 103 звезды и 18 форков.

4. Под видом unfilter распространяется вредонос WASP, который способен воровать учетные записи Discord, пароли, данные банковских карт, хранящиеся в браузерах, информацию о  криптовалютных кошельках и даже файлы с компьютера жертвы.

5. Файлы проекта содержали batch-файл Windows (.bat), который при выполнении устанавливал в систему жертвы вредоносный пакет Python (загрузчик WASP) и файл ReadMe, который ссылался на видео с YouTube, где якобы содержались инструкции по установке инструмента unfilter.

6. Для атак злоумышленники использовали несколько пакетов, размещенных в PyPI, в том числе tiktok-filter-api, pyshftuler, pyiopcs и pydesings, причем новые добавлялись каждый раз, когда старые удалялись после жалоб.

7. Злоумышленники использовали технику StarJacking в PyPI, связывая свой проект с популярным проектом на GitHub (с которым они не связаны на самом деле), чтобы «узаконить» свою деятельность.

Мобильная безопасность

В Google Play Store обнаружили вредоносное приложение Symoo, которое использует доступ к SMS для создания учетных записей Microsoft, Google, Telegram и других сервисов.

Зараженные устройства, по сути, сдаются в аренду злоумышленникам как «виртуальные номера» для передачи одноразовых кодов доступа, которые используются для проверки пользователей при создании новых учетных записей.

После установки на устройство жертвы приложение запрашивает доступ для отправки и чтения SMS. Это даже не вызывает подозрений, поскольку Symoo позиционирует себя как «простое в использовании» приложение для управления SMS.

В ходе установки на первом экране пользователю предлагается указать свой номер телефона, а после этого приложение накладывает сверху поддельный экран загрузки, который якобы демонстрирует процесс загрузки ресурсов. На деле установка умышленно затягивается, что позволяет удаленным операторам Symoo успеть отправить несколько SMS-сообщений двухфакторной аутентификации для создания учетных записей в различных сервисах, прочитать их содержимое и пересылать обратно.

После завершения этих действий приложение «зависнет» и перестанет подавать признаки жизни. Обычно, после этого пользователи его удаляют. К этому времени приложение усевает использовать номер телефона жертвы для создания учетных записей на различных онлайн-платформах. Пострадавшие жалуются, что среди полученных SMS содержится множество одноразовых кодов доступа к учетным записям, которые они не создавали.

Атаки и уязвимости

В мобильных приложениях Hyundai и Genesis обнаружена уязвимость, которая позволяет взять под контроль автомобиль по известному адресу электронной почты владельца.

Обнаруженная уязвимость затрагивает мобильные приложения Hyundai и ее люксового бренда Genesis, которые владельцы используют для отслеживания состояния своих автомобилей, планирования ТО, разблокировки дверей и запуска двигателя.

Теоретически мобильные приложения для автомобилей Hyundai и Genesis предоставляют функционал только авторизованным пользователям. Однако в реальности сервер не требует от пользователей подтверждения адреса электронной почты. Авторизацию можно обойти, добавив символы CRLF в конец адреса жертвы во время создания нового аккаунта. Таким образом, можно создать новую учетную запись в приложении с уже существующим электронным адресом.

Хакеры выставили на продажу доступ к сетям, скомпрометированным с помощью критической уязвимости в продуктах Fortinet.

Уязвимость CVE-2022-40684 затрагивает FortiOS, FortiProxy и FortiSwitchManager. Проблема позволяет хакеру обойти аутентификацию и использовать специально созданные HTTP или HTTPS-запросы для выполнения несанкционированных операций на административном интерфейсе устройства жертвы. По сути, уязвимость предоставляет злоумышленнику административный доступ к SSH на целевом устройстве, позволяя ему обновить или добавить открытый SSH-ключ к устройству и получить над ним полный контроль.

Мишенью для киберпреступников могут стать более 100 000 брандмауэров FortiGate если не получат исправление.

Исследователи из Varonis Threat Labs обнаружили возможность SQL-инъекции и уязвимость логического доступа в Zendesk Explore, компоненте платформы Zendesk.

Уязвимость можно использовать для извлечения данных из Zendesk Explore, включая список таблиц из экземпляра службы реляционной базы данных Zendesk (RDS), а также всю информацию, хранящуюся в базе данных. Информация содержит адреса электронной почты пользователей, потенциальных клиентов, сделки из CRM, живые разговоры с агентами, билеты, статьи справочного центра и многое другое.

Инциденты

Неизвестные злоумышленники взломали облачное хранилище LastPass и получили доступ к данным клиентов. Для этого взлома хакеры использовали данные, украденные во время предыдущей атаки в августе 2022 года.

К расследованию произошедшего привлекли ИБ-компанию Mandiant, о взломе уведомили правоохранительные органы. Отдельно подчеркивается, что пароли клиентов не были скомпрометированы и «остаются надежно зашифрованными благодаря архитектуре нулевого разглашения (Zero Knowledge)».

Мэрии и суды в нескольких регионах России атаковал новый вирус-шифровальщик CryWiper.

Программа кодирует данные на компьютере, затем на экране появляется сообщение с требованием заплатить выкуп — больше 0,5 млн рублей в криптовалюте. Но даже если перевести хакерам эту сумму, вирус полностью удаляет файлы.

CryWiper уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы. Его основная цель — базы данных, архивы, отдельные пользовательские документы. Программа не уничтожает файлы автономно: она отправляет запрос на командный сервер и, только получив разрешение, начинает работу. Документы с испорченным содержимым получают дополнительное расширение CRY, которое означает, что они зашифрованы и их нельзя открыть стандартными способами.

Мошенники украли у находящегося в СИЗО Олега Митволя 25 миллионов рублей.

Всё произошло 27 июня, через 17 дней после задержания чиновника. Екатеринбуржец по фамилии Ершов с сообщниками подделали паспорт Митволя. С документом пришли в салон «Билайна» и сделали дубликат сим-карты главного проектировщика красноярского метро.

Получив доступ к номеру, зашли в личный кабинет его онлайн-банка. В течение двух недель со счетов Митволя испарилось почти 25 миллионов. Деньги обналичили через банкоматы в Екатеринбурге.

Администрация округа Саутгемптон, штат Вирджиния, проинформировала жителей, что их личная информация могла быть скомпрометирована в результате атаки кибервымогателей.

Администрация Саутгемптона заявила, что сразу после обнаружения кибератаки IT-команда приняла меры по ее локализации и начала расследование, чтобы определить тип скомпрометированных данных. Расследование показало, что в руки злоумышленников попали имена, адреса, номера водительских прав и номера социального страхования жителей округа.

У администрации нет точной информации о том, смогли ли злоумышленники удалить личную информацию жителей с сервера, но есть точное подтверждение того, что киберпреступники разместили некоторую информацию в Интернете.

Известно, что за атакой на округ стоит группировка LockBit 3.0, которая сообщила об этом на своем сайте. В качестве подтверждения своих слов злоумышленники предоставили лишь несколько скриншотов, на которых были названия папок с данными жителей Саутгемптона. За удаление всей информации или загрузку всего украденного LockBit требует 90 тыс. долларов США.

В свободный доступ были выложены данные покупателей, курьеров, заказов и внутренних пользователей интернет-магазина adamas.ru, принадлежащего ювелирной сети «ADAMAS».

Всего опубликовано четыре JSON-файла, в которых содержится информация:

539 900 покупателей (включая тестовые записи):

• 🌵 ФИО,
• 🌵 адрес,
• 🌵 пол,
• 🌵 дата рождения,
• 🌵 телефон (322 тыс. уникальных),
• 🌵 адрес эл. почты (384 тыс. уникальных),
• 🌵 серия/номер паспорта, кем и когда выдан (не для всех записей),
• 🌵 кол-во заказов и их общая сумма.

22 курьеров:

• 🌵 ФИО;
• 🌵 серия/номер паспорта, кем и когда выдан;
• 🌵 телефон.

467,116 заказов:

• 🌵 дата,
• 🌵 сумма,
• 🌵 состав,
• 🌵 данные покупателя (см. выше).

43 внутренних пользователей:

• 🌵 ФИО,
• 🌵 адрес эл. почты (большинство на домене adamas.ru),
• 🌵 телефон,
• 🌵 принадлежность группам (администраторы, менеджеры).

Данные были выгружены из базы интернет-магазина не ранее 26.11.2022.

Информация о 5,4 млн пользователей Twitter бесплатно размещена на хакерском форуме.

Утекшие данные включают как общедоступную информацию, так и номера телефонов с email-адресами, которые не должны были попасть в открытый доступ.

Данные были собраны несколькими хакерами в декабре 2021 года через уязвимость в Twitter API. Уязвимость позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID (что почти равносильно получению имени пользователя учетной записи) любого пользователя через номер телефона/адрес электронной почты, даже если пользователь запретил это действие в настройках конфиденциальности.

Помимо этого дампа на продажу была выставлена информация еще о 1,4 млн профилей заблокированных в Twitter пользователей, собранная с использованием другого API. В результате общее количество «утекших» учетных записей Twitter, содержащих личную информацию, уже приближается к 7 млн. Второй дамп не продавался в открытую, а лишь был передан нескольким людям в частном порядке.

Обнаружена новая версия вымогательского ПО Punisher, которая распространяется через фейковое приложение по отслеживанию COVID-19 и нацелена на граждан Чили.

Заразив систему жертвы, вредонос добавляет в записку о выкупе:

• ID системы;
• Уникальный ID жертвы;
• Адрес биткоин-кошелька для уплаты выкупа;
• JS-код, запускающий таймер, который увеличивает сумму выкупа в зависимости от пройденного времени.

Записку о выкупе жертвы находят в виде ярлыка под названием «unlock your files.lnk» на рабочем столе и в меню «Start». За расшифровку файлов злоумышленники требуют 1000 долларов США в биткоинах.

Пронализировав методы работы и сумму выкупа, исследователи пришли к тому, что операторы вредоноса нацелены на обычных пользователей, а не на крупные компании. Кроме того, зашифрованные с помощью Punisher файлы легко расшифровать, так как для шифрования используется алгоритм AES-128.

Операторы шифровальщика Ragnar Locker обнародовали на своем «сайте для утечек» данные, украденные из полицейского подразделения бельгийской провинции Антверпен.

Забавный факт: хакеры считали, что скомпрометировали муниципалитет города Звейндрехт, а правоохранителей взломали случайно.

Бельгийские СМИ уже назвали эту утечку одной из крупнейших в истории страны, так как она затронула все данные полиции Звейндрехта с 2006 по сентябрь 2022 года.

Среди опубликованных данных можно обнаружить тысячи автомобильных номеров, данные о штрафах, отчеты о преступлениях, данные о персонале, отчеты о расследованиях и многое другое. К сожалению, такая утечка может раскрыть личности людей, сообщавших о преступлениях, а также поставить под угрозу текущие операции и расследования правоохранительных органов.

При этом полиция Звейндрехта сообщает в социальных сетях, что хакеры получили доступ только к той части сети, где хранились административные данные, и от атаки в первую очередь пострадали сами сотрудники.

Глава полиции Звейндрехта Марк Снелс (Marc Snels) сообщил местным СМИ, что утечка данных произошла из-за человеческой ошибки, и всех пострадавшими уже уведомляют об инциденте.

Злоумышленники использовали домен веб-сайта ФК «Барселона» для привлечения пользователей на мошеннический сайт iGaming.

Ссылка с поддоменом официального сайта «Барселоны» вела на сайт азартных онлайн-игр, вероятно, предназначенный для индонезийского рынка.

Анализ показал несовпадение записей DNS в доменах второго и третьего уровней. Официальный сайт размещен на Amazon Web Services (AWS), а записи DNS исследуемого поддомена находились в Google Cloud DNS.

Обычно киберпреступники имитируют популярные веб-сайты, меняя одну-две буквы в доменном имени или копируя дизайн интерфейса. В этом случае они захватили поддомен любимого многими клуба и использовали его доброе имя для фишинга.

Из-за кибератаки на всеиндийский институт медицинских наук в Дели (All India Institute of Medical Sciences, New Delhi, AIIMS) сотни пациентов не могут получить услуги первой медицинской помощи, выписки и счета, а также записаться на прием.

Как сообщает администрация больницы, в ходе кибератаки на институт было использовано вымогательское ПО. Сейчас AIIMS работает в ручном режиме работы, все записи ведутся от руки, так как сервер, записывающий данные пациентов, перестал работать. Кроме того, сбои в работе привели к длинным очередям и ошибкам при обработке экстренных случаев.

Врачи не могут отправить анализы крови, запросить визуализацию и просмотреть предыдущие отчеты или фотографии. Сейчас такие операции выполняются вручную, что занимает намного больше времени и сопровождается ошибками.