После ухода из России привычных сервисов Booking и Airbnb перед многими встал вопрос: как теперь безопасно забронировать нормальную гостиницу?

Одна из проблем, с которой могут столкнуться россияне, планирующие отдых, — поддельные сайты отелей, которые трудно отличить от настоящих. Если человек попытается снять жильё на таком ресурсе, то он может потерять деньги или, как минимум, получить неприятные впечатления и испортить поездку.

В этой статье мы разберём, на что нужно обратить внимание при бронировании проживания, чтобы вы получили нужный номер и не отдали деньги мошенникам.

Как люди обычно ищут гостиницу

Если вы ещё не знаете, где хотите остановиться, или у вас нет адреса официального сайта гостиницы, вы, скорее всего, начнёте с поиска в интернете. Например, введёте в поисковике название отеля или города.

Однако в поисковой выдаче могут попадаться не только настоящие, но и поддельные сайты гостиниц. Для их продвижения используется в том числе контекстная реклама.

У «Сочи Парк Отеля» нет официального сайта, а в числе первых результатов поиска попадаются мошеннический сайт (park-sochi-hotel[.]com) и сайт-посредник (sochipark-hotel[.]ru).

С помощью рекламы фишинговые сайты мошенников могут попадать даже на баннер над подсказками в самой строке поиска. Поисковые сервисы (Google, Яндекс) удаляют такие результаты, но пока их не обнаружат, пользователи могут спутать такой сайт с настоящим.

Фишинговый сайт в виде рекламного баннера над подсказками в строке поиска в Яндексе.

Помимо поисковика вы также можете увидеть выгодное предложение
в тематических сообществах Telegram, VK и в других соцсетях. Но и здесь никто не застрахован от ссылок на поддельные сайты.

В чём опасность поддельных сайтов

Разберём два типичных случая, когда человек может попасть на поддельный сайт гостиницы.

Фишинговые сайты

Первый случай — это фишинговые сайты, с помощью которых мошенники стремятся украсть у жертв деньги. Например, в июле житель Салехарда потерял так 113 тысяч рублей.

Мошенники создают фишинговые сайты популярных гостиниц для кражи денег под видом бронирования жилья на отпуск. Специалисты Group-IB насчитали более 30 действующих фишинговых ресурсов, копирующих сочинские отели.

Злоумышленники копируют сайт известной гостиницы, например, такой как «Сочи Парк Отель» или «Жемчужина». Внешний вид сайта может полностью или частично повторять оригинал, при этом на нём указываются другие контактные данные.

Три мошеннических сайта гостиницы «Жемчужина» полностью копируют её официальный сайт (zhem.ru) и размещены по адресам, в которых используется её название: hotels-zhem[.]com, sochi-zhemchuzhina[.]com, zhem-hotel-sochi[.]com.

Выбрав вариант проживания на мошенническом сайте, пользователь попадает на страницу с фишинговой формой, где ему предлагается ввести данные банковской карты якобы для оплаты бронирования. Если человек введёт их, злоумышленник сможет украсть деньги с его счёта. В других случаях мошенники могут предлагать произвести оплату по QR-коду через Систему быстрых платежей. Но фактически это будет перевод денег мошеннику.

Фишинговая форма оплаты заказа на поддельном сайте гостиницы «Жемчужина».

Посреднические сайты

Второй случай — сайты-посредники, которые создаются турфирмами для привлечения клиентов. Они не являются фишинговыми, поскольку их создатели не стремятся украсть деньги. Однако они также имитируют сайты реальных гостиниц и стремятся создать у клиентов ложное впечатление, что те бронируют номер напрямую у желаемого отеля.

В отличие от других организаций, оказывающих посреднические услуги по бронированию проживания, таких как турагентства или агрегаторы вроде Слетать.ру или Турвизора, создатели сайтов-посредников стараются скрыть свою роль и выдать себя за представителей отелей.

Под каждый отель создаётся отдельный сайт на уникальном домене и с информацией о соответствующем месте размещения. При общении менеджеры не уточняют, что бронирование будет оформляться через посредника.

Мы обнаружили более 200 сайтов-посредников, созданных по одному макету. Каждый из них имитирует сайт отдельной гостиницы и размещается на уникальном домене, в котором используется название соответствующего места. Например, отелей «Лазурный берег», Lafer Renaissance, City Park Hotel Sochi и Корпоративного центра Сбербанка.

В лучшем случае при бронировании через такого посредника человек получит желаемый номер по более высокой стоимости, чем при заказе напрямую у отеля. Но он может столкнуться и с тем, что ему предложат номер другой категории или в другом отеле нежели тот, который был «забронирован» изначально. Проблемы могут возникнуть при попытке изменить бронирование или вернуть деньги.

Рекомендации по безопасному бронированию гостиниц

Чтобы не потерять деньги или не столкнуться с другими проблемами при бронировании гостиницы, делайте заказ через надёжные сайты.

Где безопасно бронировать

1. На официальном сайте — они есть у большинства отелей, особенно крупных и сетевых. Ниже мы разберём, как проверить, что сайт действительно настоящий.
2. Через туроператора или агентство с хорошей репутацией. Некоторые отели эксклюзивно работают с одним или несколькими туроператорами, поэтому обратиться к ним будет выгоднее и надёжнее всего.
3. Через популярный сервис по бронированию, например, Островок или Tvil.

Как определить что сайт отеля официальный, а не поддельный

Учитывая популярность сайтов-подделок, переходите к бронированию жилья только после тщательной проверки ресурса, на который вы попали.

1. Обратите внимание, есть ли в поисковой выдаче по названию вашего отеля сайты с другими адресами. Если вам попадается несколько сайтов одного отеля, это первое предупреждение, что среди них есть подделки.
2. Поищите подтверждение, что адрес настоящий, в заслуживающих доверия источниках: в верифицированном сообществе отеля в соцсетях, на рекламной продукции отеля, через турагентство, напрямую у отеля, если у вас есть контактный телефон. Помните, что на поддельном сайте будут указаны ненастоящие контактные данные организации.
3. Уточните, когда был зарегистрирован интернет-адрес сайта, через сервис WHOIS. Это поможет определить мошеннические сайты, которые, как правило, функционируют короткий период времени, значит, их адреса зарегистрированы недавно. Однако сайты фирм-посредников могут существовать на протяжении гораздо более долгого времени и иметь старые доменные адреса.
4. Найдите отзывы о сайте или компании, которая предлагает вам услуги по бронированию. К сожалению, этот совет не работает для всех сайтов, но часто это может помочь вам не стать жертвой обмана. Так, некоторые отели сами предупреждают о мошеннических сайтах: сочинская «Жемчужина» опубликовала предупреждение весной этого года, а предупреждение о сайтах-двойниках «Сочи Парк Отеля» размещено на странице гостиницы у её эксклюзивного партнёра туроператора Библио-Глобус.
5. Проверьте, есть ли на сайте (часто в нижней части) подпись примерно такого содержания: «данный сайт носит исключительно информационный характер и ни при каких условиях результаты расчетов не являются публичной офертой». Такое уточнение для подстраховки помещают на поддельных сайтах турфирмы-посредники.

Куда пожаловаться на фишинговый сайт

1. Присылайте примеры поддельных сайтов страниц нам в Telegram — https://t.me/Antiphish_alert_bot.

2. Если ссылка на поддельный сайт попалась вам в интернет-поиске, то вы можете сообщить о ней непосредственно поисковику, например Яндексу или Google.

В поисковике Яндекса вы также можете пожаловаться на рекламу фишингового сайта из списка результатов. Для этого вам нужно нажать на три точки после адреса сайта и выбрать в выпадающем меню вариант «Спам или мошенничество».

3. Для блокирования поддельного сайта сообщите о нём через систему мониторинга фишинговых сайтов Минцифры.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для проведения кампании по распространению вредоносов NetSupport и Raccoon Stealer неизвестные хакеры взламывают сайты под управлением WordPress, чтобы с их помощью распространять поддельные уведомления о защите от DDoS-атак, якобы исходящие от компании Cloudflare.

Схема действий преступников

1. Хакеры взламывают плохо защищенные сайты на базе WordPress и внедряют на их страницы обфусцированный JavaScript-пейлоад, который отображает фейковое сообщение о защите от DDoS-атак, при этом представляясь как Cloudflare.

2. В таких сообщениях посетителя просят нажать кнопку, чтобы пройти проверку и обойти защиту от DDoS. Как нетрудно догадаться, это обман, а нажатие на кнопку приведет лишь к загрузке файла security_install.iso, который притворяется инструментом для прохождения проверки. Пользователям предлагают открыть файл security_install.iso и ввести код, который те якобы получат после этого.

3. При открытии security_install.iso жертва увидит файл security_install.exe, который является ярлыком Windows, запускающим PowerShell-команду из файла debug.txt. В итоге вся эта последовательность действий приведет к запуску цепочки скриптов, которые покажут жертве фальшивый код для прохождения проверки, а также установят троян удаленного доступа NetSupport, который часто применяется во вредоносных кампаниях.

4. Кроме того, скрипты загрузят инфостилера Raccoon и запустят его на устройстве. Этот вредонос ворует пароли, файлы cookie, данные автозаполнения, банковские карты, сохраненные в браузерах, а также атакует широкий спектр криптовалютных кошельков и способен делать скриншоты рабочего стола жертвы.

Обнаружена фишинговая кампания северокорейской APT-группы Kimsuky против политических и дипломатических организаций Южной Кореи, а также профессоров южнокорейских университетов, исследователей аналитических центров и правительственных чиновников.

Kimsuky использует фишинговые сообщения, содержащие документ Word с макросами, который предположительно содержат контент, связанный с геополитическими проблемами в регионе.

В качестве приманки для компрометации системы используются файлы HTML-Application (HTA) и Compiled HTML Help (CHM).

После первоначального доступа происходит внедрение сценария Visual Basic Script с удаленного сервера, предназначенного для снятия цифрового отпечатка машины жертвы и извлечения дополнительных полезных данных, включая исполняемый файл для извлечения конфиденциальной информации.

Когда получатель щелкнет ссылку в электронном письме для загрузки дополнительных документов, его email-адрес передается на проверку серверу управления и контроля. Если адрес не относится к целевым, жертве открывается для скачивания легитимный незараженный документ.

Чтобы еще больше усложнить цепочку заражений, первый управляющий сервер перенаправляет IP-адрес жертвы на другой сервер, который затем сравнивает его со входящим запросом, который генерируется после открытия жертвой документа-приманки. «Проверка жертвы» на двух C&C-серверах гарантирует, что VBScript доставляется только после успешной проверки IP-адреса, что указывает на узконаправленную атаку.

Обнаружено несколько кампаний по распространению вредоносных программ, нацеленных на любителей пиратского софта.

Схема кампании

1. Злоумышленники используют технику SEO poisoning и запускают рекламные кампании, чтобы продвинуть свои ресурсы в поисковой выдаче. На сайтах предлагается скачать «кряки», кейгены и т. п.

2. Чтобы заманить жертв, злоумышленники предлагают кряки для целого ряда ПО:

• Adobe Acrobat Pro,
• 3DMark,
• 3DVista Virtual Tour Pro,
• 7-Data Recovery Suite,
• MAGIX Sound Force Pro,
• Wondershare Dr. Fone.

3. Защищенные паролем ZIP-архивы с «кряками» размещаются на файловых хостингах, на которые жертв перенаправляют сайты из поисковой выдачи. Кроме архива пользователь загружает на устройство TXT-файл с паролем.

4. После распаковки размер ZIP-архива увеличивается с 1,3 до 600 МБ за счет дополнения — криптографической техники, которую используют многие авторы вредоносного ПО. В архиве находится исполняемый файл — дроппер вредоносного ПО, запускающий зашифрованную PowerShell-команду, которая вызывает командную строку Windows после 10-секундного тайм-аута, чтобы обойти проверку в песочнице.

5. Далее через командную строку на устройство жертвы загружается JPG-файл, который на самом деле является DLL-файлом, содержимое которого расположено в обратном порядке.

6. После загрузки нужного файла дроппер переставляет его содержимое в правильном порядке, извлекает и загружает в текущий поток полезную нагрузку — RedLine Stealer — мощный инфостилер, который похищает пароли, сохраненные данные банковских карт, криптовалютные кошельки, учетных данные для VPN-сервисов и многое другое.

Атаки и уязвимости

В криптовалютных банкоматах General Bytes обнаружили уязвимость нулевого дня, которую злоумышленники тут же использовали для кражи средств. Когда пользователи вносили или покупали криптовалюту через банкомат, деньги получали хакеры.

Криптовалютные банкоматы General Bytes доступны более чем в 120 странах мира. позволяют покупать и продавать более 40 различных криптовалют, и контролируются удаленным CAS-сервером (Crypto Application Server), который управляет работой банкомата, проводит операции с поддерживаемыми криптовалютами, а также выполняет покупку и продажу на биржах.

Согласно бюллетеню безопасности General Bytes, атаки на банкоматы проводились с использованием 0-day уязвимости в CAS-севере компании. Злоумышленник мог удаленно создать пользователя-администратора через административный интерфейс CAS (посредством вызова URL-адреса на странице, которая используется для установки по умолчанию и создания первого пользователя-администратора).

Хакеры воспользовались уязвимостью, чтобы добавить в систему пользователя-администратора с именем «gb» и изменить настройки для покупки и продажи криптовалюты, а также настройку invalid payment address («Недействительный платежный адрес»), внедрив в систему адрес своего собственного кошелька. В итоге любая криптовалюта, полученная CAS, попадала в руки преступников.

Видеоклип Джанет Джексон на песню «Rhythm Nation», вышедший в 1989 году, официально признали проблемой в безопасности и даже назначили ему CVE-идентификатор из-за того, что жесткие диски старых компьютеров зависают при воспроизведении клипа.

Виновником этих сбоев был обычный резонанс, который композиция «Rhythm Nation» вызывала у жестких дисков со скоростью вращения 5400 об/мин. В итоге музыкальное видео признано проблемой безопасности, и MITRE присвоила ей идентификатор CVE-2022-38392.

Повышенную чувствительность жестких дисков к звуку демонстрирует видеоролик, записанный исследователем Брендоном Греггом (Brandon Gregg) в 2008 году. На видео специалист демонстрирует, почему не стоит кричать в дата-центре и объясняет, что даже повышение голоса может привести к сбою.

В 2017 году аргентинский специалист Альфредо Ортега (Alfredo Ortega) продемонстрировал атаку HDD Killer, которая при помощи звука на частоте 130 Гц заставляла жесткий диск перестать реагировать на запросы ОС.

В 2018 году в шведском дата-центре Digiplex из-за чрезвычайно громкой работы системы пожаротушения пострадали жесткие диски серверов, на которых хостились сервисы Nasdaq и финских банков FIM Bank и OP Bank Group.

Инциденты

Из-за кибератаки вымогателей RansomEXX компания BRP, производитель снегоходов Ski-Doo, гидроциклов Sea-Doo, квадроциклов, мотоциклов, гидроциклов и двигателей Rotax временно приостановила все операции.

Хакеры взломали системы BRP с помощью атаки на цепочку поставок (supply chain attack). Проникновение вредоносного ПО произошло через стороннего поставщика услуг. BRP считает, что кибератака повлияла только на ее внутренние системы. BRP заявила, что на данный момент нет доказательств того, что личная информация клиентов могла быть затронута атакой. BRP пообещала напрямую уведомить клиентов, если обнаружит утечку данных.

23 августа группировка RansomEXX на своем onion-сайте утечки опубликовала 29,9 ГБ украденных файлов BRP. Файлы включают соглашения о неразглашении, паспорта и удостоверения личности сотрудников, договоры на поставку материалов, продление контрактов и многое другое. Утечка данных не содержит конфиденциальных данных клиентов, однако сам факт утечки украденных документов наносит ущерб BRP.

Из-за утечки данных медиаплеера Plex в руки злоумышленников попали адреса электронной почты, имена и хешированные пароли пользователей сервиса.

Cпециалисты сервиса обнаружили подозрительную активность в одной из своих баз данных, в которой находились имена пользователей, электронные письма и зашифрованные пароли. Эксперты компании заявляют, что компрометации подверглась одна из баз данных сервиса, поэтому инцидент затронул только часть пользователей Plex.

Представители Plex отметили, что сервис не хранит номера кредитных карт и другие платежные данные на своих серверах, так что к ним злоумышленник доступа не получал.

После обнаружения инцидента команда медиаплеера Plex обратилась к пользователям с просьбой срочно сменить свои пароли.

В результате атаки вымогательской группировки Quantum на Доминиканский сельскохозяйственный институт (Instituto Agrario Dominicano или IAD) оказались зашифрованы сервисы и рабочие станции учреждения.

Специалисты из Национального центра кибербезопасности Доминиканы, занимающиеся восстановлением систем учреждения, говорят, что злоумышленникам принадлежали IP-адреса из США и России. Также известно, что системы учреждения были защищены только антивирусами. К тому же, у IAD нет специального отдела кибербезопасности.

Согласно заявлению Валиксона Амаури Нуньеса, директора по технологиям IAD, хакеры требуют выкуп в размере более 600 тыс. долларов США. От атаки пострадали четыре физических сервера и восемь виртуальных. Злоумышленники похитили более 1 ТБ данных и угрожают слить их в сеть, если IAD не заплатит выкуп публично.

Из-за хакерской атаки крупный медицинский центр Centre Hospitalier Sud Francilien (CHSF), расположенный в 28 километрах от центра Парижа и обслуживающий территорию с населением 600 000 человек, вынужден направлять пациентов в другие медицинские учреждения и отложить плановые операции.

В результате атаки на компьютерную сеть CHSF временно недоступны бизнес-ПО больницы, системы хранения (в частности, медицинские изображений), а также информационная система, связанная с госпитализацией пациентов.

Технические детали случившегося не разглашаются, однако известно, что вызванный атакой сбой длится до сих пор. Поэтому пациенты, нуждающиеся в неотложной помощи, обследуются врачами CHSF, но если их состояние требует диагностической визуализации, людей направляют в другие медицинские центры.

По сообщению издания Le Monde, которое ссылается на собственные источники в местных правоохранительных органах, атаковавшие CHSF злоумышленники, потребовали у администрации больницы выкуп в размере 10 млн долларов США в обмен на ключ дешифрования.

Операторы вымогателя Ragnar Locker опубликовали на своем сайте небольшой дамп данных, украденных у греческой госкомпании Desfa — эксклюзивного оператора греческой национальной газотранспортной системы.

В прошлые выходные компания сообщила, что пострадала от хакерской атаки, которая повлияла на доступность некоторых систем, а также привела к утечке данных. Представители Desfa писали, что компании пришлось временно деактивировать некоторые ИТ-сервисы для сдерживания инцидента, но они уже возвращаются к нормальной работе.

На своем Tor-сайте хакеры написали, что связались с компанией, чтобы сообщить о «серьезной уязвимости», которая привела к взлому, однако не получили ответа. Нужно сказать, что это неудивительно, ведь в официальном заявлении представители компании подчеркивали: «Desfa остается твердой в своей позиции не вести переговоры с киберпреступниками».

Не получив ответа от Desfa, операторы Ragnar Locker решили начать опубликовать украденные данные. Злоумышленники уже разместили на своем сайте список похищенных данных, а также небольшой набор файлов, которые, по данным СМИ, не содержат никакой секретной информации.

Исследователь безопасности Боб Дьяченко обнаружил в открытом доступе сервер ElasticSearch с базой данных пользователей системы бронирования билетов Onetwotrip.

Открытый сервер находился в доменной зоне twiket.com и содержал логи, в которых были: имена/фамилии, телефоны, адреса эл. почты, даты рождения.
Общее количество клиентов, чьи данные попали в открытый доступ оценить, без скачивания всех логов, невозможно. Суммарный размер всех индексов составлял 12 Тб.

Технический директор OneTwoTrip подтвердил инцидент, и сообщил, что его причиной стало изменение правил межсетевого экрана, которое привело к открытию порта. Компания «внимательно изучила журналы регистрации базы данных за прошедшие дни и не обнаружила доказательств утечки базы данных».

В открытом доступе появился дамп базы зарегистрированных пользователей интернет-магазина «Галерея современного искусства ArtNow» (artnow.ru).

В дампе содержится 98 932 строки:

• 🌵 логин
• 🌵 адрес эл. почты
• 🌵 телефон
• 🌵 пароль в открытом (текстовом) виде 🤦‍♂️
• 🌵 город/страна

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники атакуют пользователей Steam, используя новую фишинговую технику browser-in-the-browser («браузер в браузере»), из-за чего фальшивки практически невозможно отличить от оригинальных страниц Steam.

Особенности кампании

1. Техника позволяет создавать фишинговые формы входа, используя для этого фейковые окна в браузере Chrome. Атака использует тот факт, что при входе на сайты нередко можно увидеть предложение залогиниться с помощью учетной записи Google, Microsoft, Apple, Twitter, Facebook, Steam и так далее. При нажатии такой кнопки (например, «Login with Google») в браузере отобразится окно single-sign-on (SSO), в котором будет предложено ввести учетные данные и войти в систему с этой учетной записью.
2. Такие окна урезаны и отображают только саму форму для входа и адресную строку, показывающую URL-адрес. Этот URL-адрес позволяет убедиться, что для входа на сайт используется настоящий домен (например, google.com), что еще больше повышает доверие к процедуре.
3. Злоумышленники отправляют пользователям Steam сообщения в тематических чатах и пабликах с предложением присоединиться к киберспортивному турниру по популярным играм (League of Legends, Counter-Strike, Dota 2, PUBG), проголосовать за одну из команд, приобрести билеты на мероприятие, получить внутриигровой предмет или скин. Еще один способ заманить пользователей на фишинговый сайт — реклама в популярном видео с игрой (запись стрима, геймплей) или в описании к нему.

4. Затем в дело вступает техника browser-in-the-browser, и злоумышленники пользуются тем, что на платформе Steam аутентификация происходит во всплывающем окне, а не в новой вкладке. В отличие от большинства мошеннических ресурсов, которые открывают фишинговую страницу в новой вкладке или делают переход, новая техника открывает поддельное окно браузера на прежней вкладке.

5. Практически любая кнопка на мошенническом ресурсе открывает форму ввода учетных данных, повторяющую оригинальное окно Steam. Во всплывающем окне есть фальшивый «зеленый замочек» — иконка SSL-сертификата организации. Ссылка в адресной строке поддельного окна не отличается от оригинальной — ее можно выделить, скопировать, открыть в другой вкладке. Кнопки работают корректно, окно можно двигать по экрану. Кроме того, на обнаруженных в июле фишинговых ресурсах была возможность выбора из 27 языков.
6. После того, как пользователь вводит свои данные в фишинговой форме, они сразу же передаются хакерам и автоматически вводятся на официальном ресурсе. Если ввести данные некорректно (один из способов проверки подлинности ресурса из игровых пабликов), то новая фишинговая форма сообщит об ошибке, прямо как настоящий Steam.

7. Если у жертвы включена двухфакторная аутентификация, то мошеннический ресурс покажет запрос кода в дополнительном окне.

Злоумышленники атакуют смартфоны детей, маскируя вирусы под популярные игры Brawl Stars и Roblox.

Количество атак под видом Brawl Stars увеличилось в 1,5 раза в первом полугодии 2022 года по сравнению с аналогичным периодом в 2021 году, а под Roblox — почти в четыре раза.

Вирусы и рекламное ПО маскируется под читы и моды, то есть дополнения к играм. Злоумышленники предлагают скачать отдельное приложение, чтобы якобы улучшить игру.

Но вместо улучшения пользователи получают на свой мобильный вредоносное ПО, которое передает киберпреступникам данные жертв и дает возможность вывести их средства.

Значительная часть аудитории таких приложений — дети и подростки, которые не всегда вовремя могут распознать угрозу.

Атаки и уязвимости

Обнаруженная в MacOS уязвимость CVE-2021-30873 позволяет выполнить атаку с внедрением процесса и прочитать любой файл, а также повысить привилегии до root-пользователя.

Уязвимость находится в «сериализованном» объекте в системе сохраненных состояний, которая сохраняет приложения и окна, открытые вами при выключении Mac. Эта система также может работать во время использования Mac в процессе App Nap .

Когда приложение запускается, оно считывает некоторые файлы и пытается загрузить их, используя небезопасную версию «сериализованного» объекта. Злоумышленник может создать эти файлы в том месте, откуда их будет загружать другое приложение. По сути, создается вредоносный «сериализованный» объект, который может заставить систему вести себя так, как хочет киберпреступник.

В Windows 11 и Windows Server 2022 обнаружена уязвимость CVE-2022-30216, которая при определенной сетевой конфигурации позволяет удаленному злоумышленнику добраться до контроллера доменов, а также выполнить вредоносный код.

С помощью обнаруженной проблемы атакующий также может модифицировать мапирование сертификата сервера и провести так называемый спуфинг. Успешная атака гарантирует киберпреступнику полный доступ к контроллеру домена, его службам и данным.

Источник уязвимости — сетевой протокол SMB over QUIC, отвечающий за связь с сервером. Если условный злоумышленник аутентифицируется как пользователь домена, баг позволит ему заменить файлы на SMB-сервере и направить их подключенным клиентам.

Для демонстрации уязвимости исследователи организовали атаку на NTLM-ретранслятор, поскольку этот протокол использует слабую степень защиты аутентификации, выдавая учетные данные и ключи сессии. Как только вызывается уязвимая функция, жертва тут же отправляет обратно сетевые данные для входа на устройство, находящееся под контролем злоумышленников. После этого атакующие могут удаленно выполнить код на машине жертвы.

В промышленных контроллерах Mitsubishi серии MELSEC iQ были обнаружены уязвимости, используя которые злоумышленник мог спровоцировать отказ в обслуживании.

Нарушитель, действующий удаленно, мог вызвать отказ в обслуживании контроллеров Mitsubishi путем отправки специально сформированных пакетов. Атака такого типа может негативно повлиять на производственный процесс — нарушить его либо привести к длительной остановке. Последнее для большинства предприятий является недопустимым событием: в некоторых случаях повторный запуск может обойтись в значительную сумму.

Первой и более опасной уязвимости был присвоен идентификатор CVE-2022-25161 (оценка 8,6 балла по шкале CVSS v3.1). Эксплуатация этой уязвимости позволяет читать и писать за пределами разрешенного диапазона памяти. Запись случайных значений приводит к целочисленному переполнению, что вызывает отказ в обслуживании устройства.

Вторая уязвимость имеет идентификатор CVE-2022-25162 и тоже создает риск DoS-атаки, хотя и менее опасна (для восстановления пораженного контроллера не нужна перезагрузка, уязвимость не оказывает влияния на другие компоненты системы). Эта проблема получила оценку 5,3 балла по шкале CVSS v3.1.

Инциденты

Вымогательская группировка Clop успешно атаковала британскую водоснабжающую компанию South Staffordshire Plc, но по какой-то причине стала угрожать другой водоснабжающей компании — Thames Water, системы которой продолжали работать в штатном режиме.

Хакеры заявили, что выложат 5 ТБ украденных данных, содержащих в себе информацию 15 миллионов клиентов компании в сеть, если Thames Water не заплатит выкуп.

Thames Water отказалась вести переговоры с хакерами поскольку системы компании не были взломаны. Эксперты считают, что группировка просто перепутала водоснабжающие компании Великобритании или пытается вымогать деньги у более крупной жертвы, используя ложные доказательства.

Несмотря на это, на сайте вымогательской группировки Clop в даркнете появилось сообщение о взломе компании Thames Water. Якобы хакеры получили доступ к ее SCADA-системам, которыми могли манипулировать, ради причинения вреда 15 млн клиентов.

Но даже в опубликованном Clop дампе можно найти документы и электронную таблицу с именами пользователей и паролями, в которых фигурируют email-адреса South Staff Water и South Staffordshire PLC, а вовсе не Thames Water.

После того как СМИ заметили ошибку вымогателей, хакеры поспешили исправиться, и теперь на сайте Clop в качестве жертвы уже фигурирует компания South Staffordshire Water.

Сотрудники Microsoft по ошибке опубликовали внутренние учетные данные на площадке GitHub, обеспечив потенциальным злоумышленникам возможность проникнуть во внутренние системы корпорации.

Моссаб Хуссейн из spiderSilk предоставил Motherboard семь образцов из общего числа раскрытых логинов Microsoft. Все они относились к серверам Azure и были связаны со специальными идентификаторами Microsoft. Три из семи предоставленных связок учетных записей были активны на момент обнаружения экспертами spiderSilk. Более того, один из логинов загрузили в открытый доступ буквально несколько дней назад.

В Microsoft отказались рассказать, какие именно системы защищают эти учетные данные. Ясно одно: условный атакующий может не только получить доступ к системам корпорации, но и развить свою атаку. Кстати, один из затронутых GitHub-профилей относится к репозиторию кода Azure DevOps.

В открытый доступ попали два дампа базы данных rapn.ru — Российской Ассоциации Политической Науки (РАПН).

В дампах содержатся персональные данные членов ассоциации и кандидатов, подавших заявки на вступление:

• 🌵 3,620 записей членов, за период с 27.07.2004 по 02.05.2022, содержащих ФИО, телефоны, адреса эл. почты, домашние адреса, места работы/должности и т. п.
• 🌵 689 заявок, за период с 28.03.2004 по 21.04.2022, содержащих ФИО, телефоны, адреса эл. почты, года рождения, IP-адреса, резюме и т. д.

Судя по информации из этих дампов, они были получены в мае 2022 г.

Суд города Кордова в Аргентине (Judiciary of Córdoba) отключила свои IT-системы и веб-портал после атаки вымогателя Play, которая произошла 13 августа.

Кибератака затронула все IT-системы судебной власти и ее базы данных, что сделало ее «крупнейшей атакой на государственные учреждения в истории».

Хотя судебные органы не раскрыли подробности атаки, журналист Луис Эрнест Зегарра написал, что системы были атакованы программой-вымогателем, которая добавляет расширение «.Play» к зашифрованным файлам. Это расширение связано с новой кампанией Play, запущенной в июне 2022 года.

Вместо создания записки с требованием выкупа в каждой папке, записка о выкупе «PlayMe.txt» создается только в корне жесткого диска (C:\) и содержит слово «PLAY» и контактный адрес электронной почты.

Хакер выставил на продажу 48,5 млн пользователей шанхайского COVID-приложения.

База содержит номера телефонов, имена и китайские идентификационные номера, а также QR-коды. Хакер утверждает, что получил личную информацию 48,5 миллиона пользователей мобильного приложения для отслеживания «кодов здоровья» из Шанхая.

Как сообщает Reuters, хакер под ником XJP разместил предложение о продаже данных за 4000 долларов США на хакерском форуме Breach Forums. Изначально он просил 4850 долларов США, но позже снизил цену.

Злоумышленник предоставил для ознакомления с базой данных номера телефонов, имена и китайские идентификационные номера, а также QR-коды 47 человек. Одиннадцать из них подтвердили, что были указаны в выборке, хотя двое сказали, что их идентификационные номера были неверными.