Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенническая кампания Classiscam стала распространяться в странах Азии.

Схема действий мошенников:

1. Мошенники создают уникальную фишинговую ссылку, которая используется для обмана продавцов, отображая информацию об оплаченном заказе, имитируя официальный сайт магазина;

1. После этого мошенники утверждают, что оплатили заказ и заманивают продавца на фальшивую страницу, чтобы он оплатил “доставку” или получил деньги за “заказ”. Эта уловка используется для того, чтобы заставить жертву ввести данные своей кредитной карты на фальшивом сайте;

1. Затем жертва перенаправляется на другой фальшивый сайт, на котором ее просят подтвердить предоставленную платежную информацию с помощью одноразового кода из СМС;

1. Получив все нужные данные, злоумышленники крадут все средства жертвы. Кроме того, мошенники пытаются проверить баланс жертвы, чтобы как можно скорее определить наиболее ценные карты.

Система пользовательского интерфейса, лежащая в основе сети поддельных сайтов, затрудняет их отслеживание, поэтому с Classiscam бороться намного сложнее, чем с обычными мошенническими кампаниями.

Сайты American Express и Snapchat содержали уязвимости Open Redirect, которые использовались в недавних фишинговых атаках на пользователей Microsoft 365.

Открытые перенаправления (Open Redirects) — уязвимости веб-приложений, которые позволяют хакеру использовать домены доверенных организаций и сайтов в качестве временных целевых страниц для упрощения фишинговых атак. Используя высоконадежные домены популярных сервисов, таких как Snapchat, хакеры создают специальные URL-адреса, которые переадресовывают посетителей на вредоносные ресурсы с наборами для фишинга.

Пример вредоносной ссылки:

https://www.americanexpress[.]com/Tracking?mid=ALE220718AEMLCATENUS120620PM3736&msrc=ALERTS-NOTIF-PLAT&url=http://58a.upwebseo[.]com/ms/aXJAbXdzbM2xhcmVVuZXJneS5jb20=

Поскольку подготовленная фишером ссылка содержит имя легитимного домена, пользователь вряд ли заподозрит неладное. Тем не менее доверенный домен задействуется исключительно в качестве посадочной страницы.

Злоумышленники включали персональную информацию в URL, чтобы «на лету» персонализировать посадочные страницы под конкретную жертву.

Группировки Silent Ransom Group (Luna Moth), Quantum и Roy/Zeon, входившие в синдикат Conti, стали использовать фишинг в качестве основного метода получения начального доступа к сети жертвы.

Переход к социальной инженерии был вызван невысокой эффективностью и предсказуемостью обычных атак, которым научились успешно противостоять специалисты по кибербезопасности, значительно снизив прибыль преступников.

Как заявили Conti,

«Мы не можем выиграть войну технологий, потому что на этой арене мы конкурируем с компаниями-миллиардерами, но можем победить, используя человеческий фактор».

Три группы, использующие фишинговую тактику BazarCall для взлома компаний, показали, что вымогательство или простая кража данных в сочетании с сетевым шифрованием все еще может быть прибыльными способами атак. Упомянутые кампании BazarCall в течение 3 месяцев привели к 20 обращениям жертв и требованиям выкупа на десятки миллионов долларов США.

Схема кампании BazarCall:

1. Рассылка электронных писем с уведомлением о том, что жертва подписалась на услугу, оплата за которую списывается автоматически. В письме указывается номер телефона, по которому можно позвонить, чтобы отменить подписку.

1. Жертва звонит по указанному номеру и попадает в  колл-центр преступников. Когда операторы принимают звонок, они используют различные тактики социальной инженерии, чтобы убедить жертву предоставить удаленный контроль над компьютером или устройством якобы для того, чтобы помочь ей отменить подписку.

1. Получив доступ к рабочему столу жертвы, злоумышленник внедряется в сеть пользователя, используя легитимные инструменты, которые ранее были характерны для арсенала Conti. Первоначальный оператор продолжает общаться с жертвой, делая вид, что помогает ей получить удаленный доступ к рабочему столу.

1. В сети устанавливается вредоносное ПО, с помощью которого преступники могут в любой момент получить доступ в сеть жертвы. Далее этот доступ используется, чтобы атаковать организацию, похитить и зашифровать ее данные.

Инциденты

Мосгоризбирком по ошибке выложил в открытый доступ персональные данные кандидатов в муниципальные депутаты по Орехово-Борисово Южное.

В опубликованном документе по неизвестной причине осталась полная информация, которую кандидат обязан предоставить комиссии, но которая не должна попадать в открытый доступ. Кроме паспортов, ИНН и СНИЛС, на сайт выложили сведения о недвижимости и суммах на счетах.

Вымогательские группировки Hive, LockBit и BlackCat практически одновременно атаковали поставщика автомобилей. В результате некоторые файлы были зашифрованы трижды.

Атаки начались со взлома систем брокером начального доступа (Initial Access Broker, IAB) в декабре 2021 года. IAB использовал неправильную конфигурацию брандмауэра для взлома сервера контроллера домена с использованием подключения по протоколу удаленного рабочего стола (RDP).

После первоначальной компрометации доступ к сети жертвы 20 апреля, 1 мая и 15 мая получили группировки LockBit, Hive и ALPHV/BlackCat. 1 мая в течение 2 часов с помощью легитимных инструментов PsExec и PDQ Deploy по сети были распространены полезные нагрузки LockBit и Hive для шифрования более 10 систем во время каждой атаки. LockBit также украли данные и сохранили их в облачное хранилище Mega.

Атака Hive началась через 2 часа после атаки Lockbit, и шифровальщик Lockbit все еще работал, поэтому обе группы продолжали находить файлы без расширения, означающего, что они были зашифрованы.

Спустя 2 недели, 15 мая, когда IT-специалисты автомобильного поставщика все еще восстанавливали системы, группировка BlackCat подключилась к тому же серверу управления, скомпрометированный бандами LockBit и Hive. После установки программы для удаленного доступа Atera Agent BlackCat получили постоянный доступ к сети и похитили данные.

Специалисты Sophos, помогавшие жертве в расследовании атаки, обнаружили файлы, трижды зашифрованные с помощью программ-вымогателей Lockbit, Hive и BlackCat, а также 3 разных заметки о выкупе в зашифрованных системах. По словам Sophos, некоторые файлы были зашифрованы даже 5 раз.

Компания Cisco подтвердила факт взлома группировкой вымогателей Yanluowang, связанной с Lapsus$.

Злоумышленники проникли в корпоративную сеть Cisco, взломав личный Google -аккаунт сотрудника компании, который хранил все пароли в браузере. Затем один из хакеров позвонил сотруднику и притворился представителем доверенной организации. В ходе разговора хакер убедил сотрудника принять принять push-уведомление от приложения, отвечающего за многофакторную аутентификацию. Это и позволило киберпреступникам проникнуть в корпоративную сеть Cisco.

Cisco сообщила, что не обнаружила доказательств того, что злоумышленники получили доступ к важным внутренним системам, связанным с разработкой продуктов, подписанием кода. По словам представителей компании, все, что Yanluowang смогли украсть — содержимое папки Box, связанной с учетной записью сотрудника.

В результате фишинговой атаки поставщик услуг е-мейл маркетинга Klaviyo стал жертвой утечки данных своих клиентов.

Хакер с помощью фишинга похитил учетные данные сотрудника, а затем использовал их для доступа к внутренним инструментам поддержки Klaviyo. По словам компании, злоумышленник использовал внутренние инструменты поддержки клиентов для поиска учетных записей, связанных с криптовалютой, и загрузил маркетинговые списки для 38 клиентов, работающих в сфере криптовалют.

Загруженная информация содержала имена, адреса электронной почты, номера телефонов и некоторые настраиваемые свойства профиля для профилей в этих списках. Хакер также загрузил 2 внутренних списка, используемых Klaviyo для обновления продукта и маркетинговых обновлений, которые содержат имена, адреса, email-адреса и номера телефонов.

С помощью фишинговых SMS злоумышленники получили доступ к данным некоторых клиентов компании Twilio, занимающейся разработкой и предоставлением облачных PaaS-услуг.

В рамках фишинговой атаки на сотрудников Twilio хакеры выдавали себя за представителей ИТ-отдела компании. В SMS они просили людей перейти по ссылкам, содержащим такие ключевые слова, как Twilio, Okta и SSO и обновить пароль, поскольку их действующий пароль устарел и его пора сменить.

Сразу после обнаружения атаки Twilio аннулировала скомпрометированные учетные записи сотрудников, чтобы блокировать хакерам доступ к своим системам, и начала уведомлять клиентов, пострадавших от этого инцидента.

В даркнете опубликован дамп базы данных с информацией об участниках программы лояльности оператора связи Tele2.

Всего в дампе 7 530 149 строк, содержащих:

• 🌵 ФИО (часто только имя)
• 🌵 номер телефона (7,457,370 уникальных номеров)
• 🌵 адрес эл. почты (5,707,696 уникальных адресов)
• 🌵 пол
• 🌵 идентификатор BERCUT_CONTACT_ID, который дает возможность предположить, что данные получены вероятно из системы bercut.com
• 🌵 ссылки на страницы на домене l.tele2.ru
• 🌵 дата создания и обновления записи (с 05.09.2017 по 27.06.2022)

Представители Tele2 уже подтвердили факт утечки и сообщили СМИ, что компания проводит расследование инцидента. Согласно заявлению оператора, хакерской атаке подвергся некий подрядчик компании.

Неизвестные слили в сеть 4ТБ данных израильской компании Cellebrite, которая занимается разработкой инструментов для взлома мобильных устройств.

От утечки данных пострадали Cellebrite Mobilogy (флагманский продукт компании), и сервер Cellebrite Team Foundation. На данный момент все слитые данные доступны только исследователям и журналистам по запросу у группы активистов Distributed Denial of Secrets (DDoSecrets).

В чем суть

После того как Microsoft анонсировал отключение макросов, файлы с ними стали реже рассылаться в фишинговых письмах. Но злоумышленники активнее прибегают к другим способам доставки вредоносного ПО.

Отключение макросов

В этом году Microsoft ввёл ограничения на запуск макросов, которые оставались распространённым способом заражения компьютеров. С января в новой версии Excel по умолчанию отключены макросы версии Excel 4.0 (XLM). А с апреля компания начала внедрять ограничение для VBA-макросов — они будут по умолчанию отключены в загруженных из интернета документах Access, Excel, PowerPoint, Visio и Word.

На практике это ограничение означает, что, открывая файл с макросом из сети, пользователь увидит предупреждение и не сможет запустить вредоносный код одним нажатием на кнопку.

С новой политикой Microsoft предупреждения в Excel показываются по-разному для файлов с макросами из и не из интернета.

Как приспосабливаются злоумышленники

Согласно оценке Proofpoint, на фоне новой политики Microsoft хакерские группы стали реже рассылать в качестве вложений в фишинговых письмах непосредственно файлы с макросами. С октября 2021 по июнь 2022 количество таких вложений сократилось примерно 66%.

Вместо этого злоумышленники помещают документы с макросами в файлы-контейнеры (ISO, RAR, ZIP). Это один из способов обойти механизм Mark-of-the-Web (MOTW), с помощью которого файл помечается как скачанный из интернета. Когда документ с макросом помещается в контейнер, этот архив или образ получает метку MOTW. Но метка не всегда передаётся файлам внутри архива, поэтому система не опознаёт содержимое как полученное из сети и позволяет пользователю запустить макрос по одному клику.

График от Proofpoint показывает рост использования файлов-контейнеров и снижения использования файлов с макросами в качестве вложений в письма с октября 2021 по июнь 2022.

Но ещё чаще злоумышленники отказываются от макросов и доставляют вредоносное ПО через файлы-ярлыки (LNK). С точки зрения злоумышленника, преимущество LNK перед файлом с макросом в том, что от пользователя не потребуется дополнительных действий и разрешений: вредоносный код запустится уже при открытии LNK-файла. LNK может быть как непосредственным вложением в фишинговом письме, так и содержимым архива или образа.

По данным Proofpoint, с октября 2021 по июнь 2022 количество отслеживаемых ими кампаний, в которых использовались LNK-файлы увеличилось более чем в 17 раз.

Совет

Не открывайте вложения, которых не ждёте и которые вызывают сомнения.

Источники:
https://www.proofpoint.com/uk/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-of-lnk-shortcut-files-malware/
https://thedfirreport.com/2022/08/08/bumblebee-roasts-its-way-to-domain-admin/

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая кампания, построенная по схеме «противник посередине» (adversary-in-the-middle, AiTM), позволяет обойти многофакторную аутентификацию и взломать учетную запись Microsoft.

Атака начинается с электронного письма на тему счетов. Прикрепленный документ в формате HTML содержит встроенный фишинговый URL-адрес. Сотрудник открывает вложение и попадает на страницу входа якобы в Microsoft Office. Сначала снимается цифровой отпечаток, а сам получатель отправляется на фишинговую страницу.

Для обхода средств защиты целевая страница работает как прокси-сервер, который перехватывает все сообщения между жертвой и сервером электронной почты. Фишинговый комплект перехватывает HTML-контент с серверов Microsoft и обрабатывает его различными способами, чтобы убедиться, что процесс фишинга работает, затем отправляет контент обратно жертве.

Это влечет за собой замену всех ссылок на домены Microsoft эквивалентными ссылками на фишинговый домен, чтобы обмен данными с мошенническим сайтом остался без изменений на протяжении всего сеанса.

Как сообщают эксперты, злоумышленник вручную входил в учетную запись через 8 минут после кражи учетных данных, а затем читал электронные письма и проверял информацию профиля пользователя. В некоторых случаях взломанные почтовые ящики использовались для отправки дополнительных фишинговых писем в рамках той же кампании.

Неизвестные злоумышленники атакуют российские организации с помощью малвари Woody Rat, которая позволяет удаленно контролировать зараженные устройства и похищать с них информацию..

Схема действий преступников

1. Woody Rat доставляется на компьютеры жертв через фишинговые письма: при помощи ZIP-архивов, содержащих вредоносную полезную нагрузку, или через документы Microsoft Office, озаглавленные «Памятка по информационной безопасности», которые используют уязвимость Follina для развертывания пейлоадов.
2. Запустившись на скомпрометированном устройстве, вредонос использует технику process hollowing для внедрения в приостановленный процесс Notepad, затем удаляет себя с диска, чтобы избежать обнаружения.
3. Woody RAT шифрует свои каналы связи с C&C-инфраструктурой, используя комбинацию RSA-4096 и AES-CBC, чтобы избежать внимания инструментов для сетевого мониторинга.
4. В перечень возможностей этого трояна входят: сбор системной информации, составление списков папок и запущенных процессов, выполнение команд и файлов, полученных с управляющего сервера, загрузка, скачивание и удаление файлов на зараженных машинах, а также создание скриншотов. Кроме того, Woody Rat способен выполнять код .NET, команды и скрипты PowerShell, которые получает от своего управляющего сервера с помощью двух библиотек DLL (WoodySharpExecutor и WoodyPowerSession).

Обнаружена фишинговая кампания, похищающая seed-фразы владельцев криптокошельков MetaMask.

Пользователи получали мошенническое электронное письмо якобы от MetaMask, которое «может показаться настоящим, если прочитать письмо быстро и поверхностно» При анализе письма эксперты обнаружили поддельный домен (metamaks.auction), неверный адрес электронной почты (Metamaks Support) и несвязанный сервер (unicarpentry.onmicrosoft.com).

Фишинговое письмо создает ощущение срочности, требуя от пользователя подтвердить свой кошелек до 30 августа 2022 года, чтобы продолжать пользоваться сервисом.

Нажав на кнопку «Подтвердить свой кошелек», пользователь перенаправляется на вредоносный сайт, который предлагает жертве ввести seed-фразу. На сайте также есть SSL-сертификат, связанный с настоящим сайтом MetaMask, что добавляет правдоподобности кампании.

Обнаружена мошенническая кампания, в которой для продвижения фальшивых инвестиционных услуг использовалось более 11 000 доменов.

Схема кампании

1. Мошенники продвигают кампанию в соцсетях или используют скомпрометированные профили Facebook и YouTube, чтобы охватить как можно больше пользователей.
2. Жертвы, которые попадаются на уловку и нажимают на рекламу, перенаправляются на целевые страницы с поддельными историями успеха.
3. Затем мошенники запрашивают контактные данные. «Персональный менеджер клиента» из коллцентра связывается с жертвой и сообщает условия инвестирования.
4. Жертву убеждают внести депозит на 250 евро или больше, а данные, предоставленные на поддельном сайте, сохраняются и используются для будущих кампаний или перепродаются в дарквебе .
5. После внесения средств жертва получает доступ к панели управления, которая показывает пользователю поддельную прибыль. Это делается для того, чтобы увеличить правдоподобность сайта и побудить жертв вкладывать больше денег для получения большей прибыли.
6. Мошенничество раскрывается, когда пользователь пытается вывести с платформы деньги.

Инциденты

Пользователи платформы Solana пострадали от атаки, которая опустошила порядка 8000 кошельков с криптовалютой, содержавших миллионы долларов.

Предварительно сообщалось, что атака не связана с кодом, криптографией и блокчейном Solana, поскольку все транзакции были подписаны законными владельцами.

Согласно последнему обновлению, все пострадавшие адреса оказались так или иначе связаны (созданы, импортированы или использованы) с приложениями мобильных кошельков Slope. При этом разработчики Solana подчеркивают, что атака не затрагивала аппаратные кошельки.

Хотя расследование произошедшего пока не завершено, основная версия случившегося такова: информация о приватных ключах по ошибке передавалась службе мониторинга приложений Slope.

Хакеры украли пароли к облачным информационным панелям, используемым для удаленного управления 140 тыс. платежных терминалов Wiseasy.

Пароли для доступа к облачным панелям Wiseasy, включая учетную запись администратора, были обнаружены в даркнете. Одной из причин успешной атаки стало отсутствие двухфакторной аутентификации для защиты учетных записей в облачном сервисе.

Согласно информации, представленной на скриншотах аккаунта администратора Wiseasy, сервис может удаленно управлять платежными терминалами, имеет доступ к данным клиентов, способен добавлять пользователей, знает названия сетей Wi-Fi и открытые пароли подключенных платежных терминалов.

Пресс-секретарь президентской канцелярии Тайваня Чанг Тун-Хан сообщил о DDoS-атаке на официальный сайт президента страны.

Во время атаки на сайт поступало в 200 раз больше трафика, чем обычно. Нормальная работа сайта была возобновлена в течение 20 минут.

Кроме сайта президента Тайваня пострадали Министерство национальной обороны, Министерство иностранных дел и сайт аэропорта Тайвань-Таоюань. Все пострадавшие структуры были быстро восстановлены.

Немецкий производитель силового полупроводникового оборудования Semikron подвергся атаке программы-вымогателя LV, из-за чего сеть компании оказалась частично зашифрована.

Первичное расследование показало, что атака привела к шифрованию части IT-систем и файлов. Сейчас все системы производителя полупроводников подвергаются судебной экспертизе, а специалисты устраняют последствия кибератаки.

Записка с требованием выкупа, размещенная на одной из зашифрованных систем Semikron, указывает на то, что атака связана с шифровальщиком LV, а злоумышленники утверждают, что украли у компании документы общим объемом 2 Тб.

Мост Nomad, обеспечивающий переводы между блокчейнами Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda, стал жертвой атаки, в результате которой произошло первое в истории децентрализованное массовое ограбление на сумму в 190,7 млн долларов США.

Атака произошла из-за неправильной конфигурации основного смарт-контракта проекта, сделанной во время обновления. Ошибка позволяла любому, у кого есть хотя бы базовое понимание кода, разрешить самому себе вывод средств. Все, что нужно было сделать — найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать.

В данном случае сработал принцип домино, когда люди видели, что средства воруют с использованием вышеописанного метода, и подставляли свои собственные адреса, чтобы воспроизвести атаку.

OneTouchPoint сообщила о вымогательской атаке, в результате которой произошла утечка данных, затронувшая 34 медицинских компании.

Взломанные системы содержали следующие данные о клиентах:

• Имена;
• Адреса;
• Даты рождения;
• Даты оказания услуг;
• Коды диагнозов;
• Информация о состоянии здоровья;
• ID клиентов;
• Номера социального страхования.

OneTouchPoint сообщила, что начала диагностику и планирует найти жертву, которая первой подверглась атаке. Компания назвала 34 страховых компаний и поставщиков медицинских услуг, которые пострадали от этой утечки данных. Однако компания не сообщила, сколько клиентов пострадало от этого инцидента и не раскрыла подробности атаки, в том числе название вымогательского ПО, которое использовалось во время атаки.

Вымогательская группировка Hive требует 500 000 фунтов стерлингов (около 608 000 долларов США) от двух школ в Англии после взлома их IT-систем.

Учащиеся и родители старшей школы Вуттона (Wootton Upper School) и колледжа Кимберли (Kimberley College) получили email от хакеров, в котором утверждалось, что группа украла домашние адреса учащихся, банковскую информацию и медицинские данные. Злоумышленники угрожают опубликовать данные, если школа не заплатит выкуп и напоминают, что нашли в сети учреждения полис киберстрахования на сумму 500 тыс. фунтов стерлингов.

Образовательные учреждения работают со сторонними специалистами над восстановлением IT-систем, ведется расследование для выяснения обстоятельств взлома и того, какие именно данные были затронуты.

Хакеры BlackCat/ALPHV взяли на себя ответственность за взлом Creos Luxembourg, оператора газопровода и электросетей в Центральной Европе.

В результате инцидента клиентские порталы Encevo и Creos Luxembourg оказались недоступны, хотя задержек и перерывов в предоставлении услуг не возникло.

Компания заявила, что согласно предварительным результатами расследования, злоумышленники похитили «некоторый объем данных» из систем, к которым получили доступ.

Сообщалось, что Encevo пока не может оценить масштабы последствий инцидента. В компании просили клиентов подождать до завершения расследования, после чего каждый из них должен получить персональное уведомление. Пока всем клиентам рекомендуется сбросить пароли для своих учетных записей, которые использовались для взаимодействия с сервисами Encevo и Creos Luxembourg. Кроме того, если эти пароли использовались и для других сайтов, там их тоже следует изменить.

На сайте BlackCat появилась публикация, посвященная взлому Creos Luxembourg. Хакеры угрожают опубликовать 180 тыс. украденных у компании файлов общим объемом 150 Гб. Согласно заявлению злоумышленников, в этот дамп вошли контракты, соглашения, паспорта, счета и электронные письма.

В даркнете опубликован «пробник» на 10 млн строк, содержащий информацию из базы данных отправлений «Почты России». Представители «Почты России» уже подтвердили утечку и заявили, что неназванный подрядчик был скомпрометирован в результате хакерской атаки.

Специалисты Data Leakage & Breach Intelligence (DLBI) и Telegram-канал in4security сообщили, что в свободном доступе появилась часть базы данных отправлений «Почты России». Данные опубликовал тот же источник, который ранее «слил» в сеть информацию сервиса покупки билетов tutu.ru, службы доставки Delivery Club и образовательной платформы GeekBrains.

Опубликованный злоумышленником «пробник» из 10 млн строк содержит:

• номер отслеживания (трек-номер отправления);
• ФИО (или название компании) отправителя/получателя;
• телефон получателя;
• город/индекс отправителя/получателя;
• вес/статус отправления;
• дату/время отправления.

Выборочная проверка по трек-номерам через сайт pochta.ru показала, что информация в дампе подлинная, и по фрагменту базы можно предположить, что данные актуальны на 11 июня 2022 года.

Хакер утверждает, что кроме упомянутого списка ему удалось получить дамп таблицы с данными всех клиентов «Почты России».