Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Зафиксированная мошенническая кампания по распространению нового трояна удаленного доступа (RAT) Nerbian среди организаций Великобритании, Италии и Испании.

Как сообщают эксперты Proofpoint, троян написан на языке программирования Go, скомпилирован для 64-битных систем и использует несколько процедур шифрования для обхода сетевого анализа. Он может записывать нажатия клавиш, запускать произвольные команды, делать скриншоты и передавать данные на удаленный управляющий сервер.

Схема кампании

1. Nerbian распространяется с 26 апреля 2022 года через фишинговую рассылку якобы от Всемирной организации здравоохранения.

2. В письма вложен упакованный в RAR-архив документ MS Word с описанием мер безопасности во время пандемии COVID-19. После распаковки и открытия документа он предлагает разрешить выполнение макросов, чтобы просмотреть содержимое.

3. Если пользователь разрешает макросы, ему демонстрируются правила самоизоляции, а в фоновом режиме загружается полезная нагрузка —  64-битный исполняемый файл UpdateUAV.exe размером 3,5 МБ.

4. Получив управление, UpdateUAV загружает MoUsoCore.exe — исполняемый файл RAT, добавляет его в автозапуск и запускает.

Очередная мошенническая кампания по «раздаче биткоинов» использует отредактированные видео Илона Маска и Джека Дорси и обещает удвоить сумму любого «инвестиционного» перевода.

Схема кампании

1. Злоумышленники используют запись трансляцию выступлений Илона Маска, Джека Дорси и Кэти Вуд на конференции The ₿ Word. Ссылки на мошеннические сайты вмонтированы заставками в исходное видео конференции.

2. Видеоролики опубликованы на нескольких YouTube-каналах.

3. Ссылки в видео ведут на сайты, где жертв убеждают, что другие уже перевели криптовалюту и удвоили свои «инвестиции».

4. В качестве доказательств мошенники публикуют поддельные таблицы с недавними транзакциями, создаваемые с помощью JavaScript-кода, который генерирует списки произвольных криптовалютных кошельков и переведенных сумм.

Согласно отчету McAfee, совокупная сумма в кошельках, опубликованных на мошеннических сайтах, по состоянию на 5 мая составляла 280 тыс. долларов США в биткоинах, а уже на следующий день она достигла 1,3 млн долларов США. Наибольшая сумма в одном кошельке превышала 90 тыс. долларов США. Всего на этот кошелек деньги были переведены 13 раз.

Вредоносная кампания в Финляндии использует SMS и MMS для распространения вредоносного ПО FluBot.

Вредоносное ПО крадет учетные данные финансовых счетов своих жертв, накладывая фишинговые страницы поверх законных банковских и криптовалютных приложений. FluBot может получать доступ к SMS, совершать телефонные звонки и отслеживать входящие уведомления, похищая временные коды аутентификации, необходимые для входа в систему.

Схема кампании

1. Операторы FluBot используют SMS-сообщения, содержащие ссылки на голосовую почту, уведомления о пропущенных звонках или фальшивые предупреждения о денежном переводе.

2. Ссылки в этих сообщениях ведут на сайт с APK-файлом FluBot, который жертвам предлагается скачать и установить, чтобы узнать больше о пропущенных звонках, денежном переводе или прослушать голосовое сообщение

3. Приложение просит Android-пользователя предоставить опасные разрешения: доступ к SMS, управление телефонными звонками и чтение контактов.

4. Злоумышленники используют список контактов для второй волны SMS-рассылки с зараженных устройств. Поскольку сообщения приходят с номеров друзей и знакомых, другие пользователи с большей вероятностью откроют их и заразят свои устройства.

5. Если вредоносное SMS получает пользователь iPhone, мошенники перенаправляя жертву на фальшивые премиум-подписки и другие сомнительные предложения.

Инциденты

Частный университет Линкольн закрывается из-за атаки вымогательского ПО после 157 лет работы.

В последние годы колледж страдал от сокращения финансирования и значительного уменьшения количества поступающих из-за Covid-19.

В декабре 2021 года кибератака вымогателя сорвала приемные мероприятия и затруднила доступ ко всем институциональным данным. Атака злоумышленников создала неясную картину прогнозов поступления на осень 2022 года. Все системы, необходимые для набора студентов, удержания и сбора средств, стали неработоспособны. Заносить в систему заявки поступающих и набирать новых студентов стало невозможно. Атака вывела из строя приемную комиссию на полтора месяца.

Студенты университета пытались спасти учебное заведение, запустив сбор средств на GoFundMe, но из необходимых 20 миллионов долларов США им удалось собрать только 19 пожертвований на общую сумму 1 252 долларов США.

В результате кибератаки хакерской группировки Killnet были выведены из строя сайты Министерства обороны, Сената и Национального института здравоохранения Италии.

Доступ к соответствующим сайтам был восстановлен через несколько часов. Спикер Сената Элизабетта Казеллати заявила, что атака на «внешнюю сеть» верхней палаты парламента не нанесла никакого необратимого ущерба, но отметила, что «это серьезные инциденты, которые нельзя недооценивать».

Российский видеохостинг RuTube пострадал от кибератаки хакеров Anonymous.

Преступники заявили в Twitter 9 мая, что это они взломали сервис и нанесли серьезный ущерб платформе: якобы в ходе атаки пострадали или были уничтожены 75% баз и инфраструктуры основной версии сайта и 90% бэкапов и кластеров для восстановления БД.

Некоторые издания поспешили заявить, что «был полностью удален код сайта, а видеосервис теперь вообще не подлежит восстановлению».

Представители RuTube опровергли эти заявления, заверив, что исходный код не утерян:

«Информация относительно утери исходного кода сайта не соответствует действительности. Мы и правда столкнулись с самой сильной кибератакой за всю историю существования RUTUBE.
Важно понимать, что видеохостинг — это петабайты данных архивов и сотни серверов. Восстановление потребует больше времени, чем изначально предполагали инженеры. Однако мрачные прогнозы не имеют ничего общего с настоящим положением дел: исходный код доступен, библиотека цела. Сейчас идет процесс по восстановлению сегментов файловой системы удаленных сред и баз на части серверов».

11 мая 2022 года, видеохостинг заработал. По словам главы RuTube Александра Моисеева, сейчас «на платформе проводится нагрузочное тестирование и дополнительная проверка на уязвимость».

В одном из Telegram-каналов опубликована база данных, содержащая личные и учетные данные 21 миллиона пользователей популярных VPN-сервисов SuperVPN, GeckoVPN и ChatVPN.

Объём утечки составил 10 ГБ данных. Информация включала в себя:

• Полные имена пользователей;
• Никнеймы пользователей;
• Названия стран пользователей;
• Платежные данные;
• Адреса электронной почты;
• Случайно сгенерированные строки паролей;
• Данные о премиальном статусе и его сроке действия.

Исследование показало, что слитые пароли были случайными и устойчивыми к взлому. Около 99,5% адресов электронной почты принадлежали учетным записям Gmail.

Коста-Рика объявила чрезвычайное положение после атаки вымогательской группировки Conti.

Злоумышленники похитили более 670 Гб данных из государственных учреждений. Первым от атаки пострадало Министерство финансов. Это вызвало опасения, что хакеры завладели данными о налогоплательщиках.

Казначейство Коста-Рики работает без цифровых услуг с 18 апреля, из-за чего предприятиям и гражданам приходится заполнять формы вручную. Ранее Conti потребовала от министерства выкуп в размере 10 миллионов долларов США, который правительство отказалось платить.

Другие правительственные организации Коста-Рики, пострадавшие от атаки:

• Министерство труда и социального обеспечения (MTSS);
• Фонд социального развития и семейных пособий (FODESAF);
• Межвузовский штаб Алахуэлы (SIUA);
• Административный совет электрической службы провинции Картаго (JASEC);
• Министерство науки, инноваций, технологий и телекоммуникаций;
• Национальный метеорологический институт (IMN);
• Радиографическая служба Коста-Рики (Radiographic Costarricense, Racsa);
• Фонд социального обеспечения Коста-Рики (CCSS).

Ещё одной жертвой вымогателей Conti стало Главное управление разведки Перу (DIGIMIN).

Хакеры заявили о краже 9,41 ГБ секретных данных. Агентство отвечает за национальную, военную и полицейскую разведку, а также за контрразведку. На данный момент сайт перуанского DIGIMIN недоступен.

Эфир ряда российских телеканалов 9 мая подвергся хакерской атаке. В описании телеканалов, а также в программе передач появились сообщения провокационного содержания, касающиеся спецоперации на Украине.

Сообщается, что взломаны электронные программные гиды некоторых операторов платного телевидения, возможно, взломан «Сервис-ТВ», передающий EPG операторам платного ТВ.

В МТС подтвердили, что была совершена кибератака. Проблема возникла практически во всех регионах присутствия сотового оператора. Специалист МТС уточнил, что «проблема носит массовый характер», а «география случившегося весьма широка».

Крупнейший в США производитель сельскохозяйственной техники AGCO сообщил, что стал жертвой атаки с использованием вымогательского ПО.

Масштабы атаки пока устанавливаются, но уже понятно, что бизнес-операции будут сорваны, и на восстановление сервисов потребуется несколько дней.
О том, какое вымогательское ПО стало причиной инцидента, а также о сумме запрошенного выкупа не сообщается.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Организаторы мошеннической кампании против участников онлайн-сообществ Pixiv и DeviantArt заражали устройства художников вредоносным ПО и похищали личные данные.

Схема кампании

1. Злоумышленники рассылали письма от имени создателей проекта ограниченной NFT-коллекции Cyberpunk Ape Executives с предложением разработать новый набор персонажей для расширения коллекции новыми NFT, за вознаграждение в размере 350 долларов США в день.
2. Письма содержали ссылку на страницу загрузки MEGA с защищенным паролем RAR-архивом объемом 4,1 МБ с названием «Cyberpunk Ape Exemples (pass 111).rar», содержащим образцы работ Cyberpunk Ape Executives.
3. Внутри архива среди GIF-файлов Cyberpunk Ape был спрятан исполняемый exe-файл в виде другого GIF-изображения.
4. Исполняемый файл при запуске устанавливал вредоносное ПО для хищения информации с возможностью обойти AV-детектирование на основе текущих VirusTotal-обнаружений.
5. Похититель мог украсть пароли учетных записей, криптокошельки, кредитные карты или даже файлы на диске. После взлома учетной записи с большим количеством подписчиков, хакер мог использовать профиль для продвижения аферы среди еще большего количества пользователей. По заявлениям художников, бот-аккаунты продолжали отправлять предложения каждые несколько минут, и в некоторых случаях сообщения были на японском языке.

Обнаружена целевая фишинговая кампания группировки APT29, направленная на дипломатов и правительственные организации.

Схема действий преступников

1. Инструментом атаки стали фишинговые сообщения, отправленные со взломанных электронных ящиков посольств разных стран. Хакеры использовали Atlassian Trello, DropBox и облачные сервисы как части своей управляющей инфраструктуры.

2. В фишинговых письмах использовался вредоносный HTML-дроппер ROOTSAW, применяющий прием HTML Smuggling для доставки зараженного IMG или ISO файла в систему жертвы.

3. После открытия вложенного в письмо файла ROOTSAW записывает на диск данные в IMG или ISO формате. Образ содержит ярлык Windows (LNK) и вредоносную DLL-библиотеку. При клике по LNK-файлу выполняется вредоносная DLL. Чтобы обмануть жертву и заставить запустить файл, злоумышленники используют поддельную иконку.

4. После выполнения DLL в память доставляется и запускается загрузчик BEATDROP, который использует Trello для создания командно-контрольного сервера. Запустившись, загрузчик создает копию своей библиотеки ntdll.dll в памяти устройства для выполнения шелл-кода внутри собственного процесса.

5. Загрузчик сканирует систему для получения имени пользователя, компьютера и IP-адреса. Из собранной информации создается ID жертвы, который BEATDROP использует для хранения данных жертвы и отправки вредоносных пакетов.

6. Создав ID, BEATDROP делает запрос в Trello и определяет, взламывался ли аккаунт жертвы раньше.

7. Закрепившись в сети, группировка пытается повысить привилегии. Иногда им удавалось получить права администратора домена менее чем за 12 часов после фишинговой атаки.

Кампании новой китайской киберпреступной группировки Moshen Dragon нацелены на телекоммуникационные сервисы в странах Центральной Азии.

Moshen Dragon использует такие вредоносные инструменты из арсенала группировок RedFoxtrot и Nomad Panda, как ShadowPad и PlugX, однако исследователи выявили достаточно доказательств того, что она является отдельной группировкой. По их словам, Moshen Dragon состоит из высококлассных хакеров, способных подстраивать свои техники в зависимости от используемых жертвами технологий безопасности.

Главной целью группировки является внедрение вредоносных DLL для Windows в антивирусные решения, похищение учетных данных для бокового перемещения по атакуемым сетям и кража информации с инфицированных машин. Хотя в настоящее время вектор заражения неизвестен, согласно отчету Sentinel Labs, оно начинается со взлома антивирусного решения, в частности от таких производителей, как TrendMicro, Bitdefender, McAfee, Symantec и «Лаборатория Касперского».

Поскольку на Windows-машинах вышеперечисленные антивирусы работают с высокими привилегиями, загрузка вредоносных DLL-библиотек в их процессы позволяет хакерам запускать код с минимальными ограничениями и потенциально обходить обнаружение.

Атаки и уязвимости

В антируткит-драйвере уровня ядра aswArPot.sys, который является частью антивирусных продуктов Avast и AVG, нашли опасные уязвимости, позволяющие атакующему повысить права, отключить установленные в системе антивирусы, перезаписать системные компоненты и даже повредить ОС.

Уязвимости, получившие идентификаторы CVE-2022-26522 и CVE-2022-26523, появились в версии Avast 12.1, которая была выпущена в июне 2016 года. Они присутствуют в обработчике соединения сокета антируткит-драйвера, позволяя запустить код на уровне ядра от пользователя с ограниченными правами.

ИБ-аналитики обнаружили, что Docker-образы, загруженные более 150 000 раз, использовались для проведения DDoS-атак против сайтов госорганов и новостных организаций в России и Беларуси.

Оказалось, что за атаками стоят проукраинские хактивисты, в числе которых движение «IT-армия Украины». В общей сложности организаторы этих атак нацеливались на 24 домена, включая сайты российских и белорусских госорганов, вооруженных сил и СМИ.

Атаки с помощью открытых API-интерфейсов Docker уже использовали майнеры и хак-группы Lemon_Duck и TeamTNT.

Вредоносная активность была обнаружена, когда honeypot’ы с незащищенными Docker Engine API оказались заражены двумя вредоносными образами, загруженными прямо из Docker Hub. Суммарно образы eriknkl/stoppropaganda и abagayev/stop-russia были загружены 50 и 100 тыс. раз.

Сначала цели для DDoS-атак выбирались случайным образом, но позже образы стали поставляться с синхронизируемым по времени жестко закодированным списком целей, которые подвергались одночасовым атакам.

По данным руководства для покупателей «Приватность в комплект не входит» (*Privacy Not Included) от компании Mozilla, 28 из 32 изученных специалистами приложений для психического здоровья продают данные своих пользователей.

Изученные приложения специалисты Mozilla расположили в порядке от самых безопасных (категория «Not creepy!») до очень опасных (категория «Super creepy!). Четыре приложения, Wysa, PTSD Coach, Headspace и Glorifywere, не были добавлены ни в одну из категорий.

Приложение для общения RAINN, где жертвы сексуального насилия и их близкие могут делиться своими историями, не обеспечивает анонимность пользователей. Приложение для медитации Calm использует данные пользователей для таргетированной рекламы на других платформах, а родительской компанией библейского приложения King James Bible является теневая фирма. Приложения Breathe, Think, Do with Sesame от Sesame Workshop попали в категорию „сомнительных“.

Приложения для общения с врачами Talkspace и BetterHelp собирают большие объемы персональной информации, чтобы связывать пациентов с нужными врачами. Прежде чем пользователь увидит уведомление о конфиденциальности данных, он сначала должен заполнить опросник. С кем приложения потом обмениваются полученными данными, неизвестно.

Предиктивный ввод слов может открыть злоумышленнику доступ к криптокошельку.

ИТ-специалист из Германии Андре обнаружил, что его телефон предсказывает всю начальную фразу восстановления после набора первого слова из BIP39- списка мнемонических слов (Bitcoin Improvement Proposal 39).

Это позволяет взять в руки телефон жертвы, запустить любой мессенджер, начать вводить любые слова из списка BIP39 и посмотреть предложенные телефоном слова.

Эксперименты подтвердили, что экранная клавиатура Google GBoard наименее уязвима, клавиатура не предсказала слова в правильном порядке. Однако, клавиатура Microsoft Swiftkey с первого использования подсказала начальную фразу. Samsung-клавиатура также может подсказать слова при включенных функциях автозамены и автокоррекции.

Инциденты

Во время первых майских праздников производители и дистрибуторы алкоголя не могли отгружать продукцию своим клиентам из-за DDoS-атакии на Единую государственную автоматизированную информсистему учета алкоголя (ЕГАИС).

Ответственность за эти атаки взяла на себя поддерживающая Украину группировка Disbalanser. Об атаках на сайты ЕГАИС 2 и 3 мая хактивисты сообщили в своем Telegram-канале. Кроме того, призывы совместно атаковать серверы ЕГАИС также появлялись на ресурсах движения «IT-армия Украины». Среди целей там были перечислены порталы egais.ru, service.egais.ru и check.egais.ru. По состоянию на вечер 4 мая первые два сайта периодически отвечали ошибками, а третий не работал.

Из-за масштабного сбоя заводы не могут принять цистерны со спиртом, а клиенты — магазины и дистрибуторы — получить готовую продукцию, которая уже к ним доставлена, пояснил сотрудник компании-производителя крепкого алкоголя. Около 11:00 4 мая ЕГАИС проинформировала участников рынка о прекращении атак, и для многих ситуация со сбоями действительно стабилизировалась.

В даркнете выставили на продажу базу данных клиентов медицинской лаборатории «Гемотест».

По заявлению продавца, база содержит 31 млн строк, включая такие данные, как ФИО, даты рождения, адреса, телефоны, email-адреса, серии и номера паспортов. В закрытом доступе и для узкого круга лиц эта база появилась еще начале весны 2022 года. Данных в дампе меньше, чем заявлено продавцом — около 30,5 млн строк, и они были получены «благодаря» некой уязвимости в ИТ-системе «Гемотеста».

На том же хак-форуме опубликовано еще одно объявление от другого пользователя, который продает базу заказов (анализов) лаборатории «Гемотест», а также информацию об уязвимости для доступа к серверу. По словам продавца, в базе содержится 554 млн заказов, включающих ФИО, год рождения, дату и состав заказа.

Сеть супермаркетов Massy Stores опубликовала заявление о возникших технических проблемах с системой оформления заказов в связи с кибератакой.

Сбой привел к невозможности приобретения продуктов в сети супермаркетов и аптеках. Компания предприняла немедленные действия, приостановив работу всех систем, ориентированных на клиентов, и работает со сторонними экспертами для решения проблемы. Резервные серверы не пострадали, и техническая команда активно работает со специалистами для восстановления системы.

«На данный момент компании не известно о каких-либо доказательствах того, что данные, поставщиков или сотрудников были скомпрометированы или неправильно использованы в результате сложившейся ситуации», — говорится в заявлении.

В субботу сеть открыла некоторые магазины, но система оплаты все еще не работала. Все филиалы полностью открылись в воскресенье, но система оформления заказов так не восстановилась. Несколько покупателей также сообщили о сбое кассовых систем, вынудившего посетителей покинуть магазин.

Платформы децентрализованных финансов (DeFi) Rari Capital и Fei Protocol пострадали от взлома на сумму более 80 миллионов долларов США.

Хакер воспользовался уязвимостью повторного входа в протокол кредитования Rari Fuse.

Поскольку Rari Capital предоставляет платформу для создания кредитных предложений, пользователи других, сторонних проектов также потеряли средства. Например, разработчики протокола Fei использовали платформу Rari Capital. Платформа Rari использовалась для депозитов пользователей Fei, а также для кредитования стейблкоинов.

Rari Capital признала взлом, приостановила операции заимствования по всему миру и заверила, что средства пользователей платформы больше не подвергаются риску. Команда Fei предложила злоумышленнику оставить 10 миллионов долларов украденных средств в качестве «награды», если оставшиеся средства будут возвращены.

Децентрализованная биржа стейблкоинов и обернутых активов Saddle Finance в результате взлома лишилась 10 млн долларов США в Ethereum.

Команда проекта заявила, что занимается расследованием инцидента. Вывод средств из некоторых пулов приостановлен.

Компания BlockSec, специализирующаяся на кибербезопасности в DeFi-секторе, обнаружила взлом и смогла спасти средства Saddle Finance на сумму $3,8 млн.

По данным PeckShield, с начала 2022 года потери DeFi-протоколов от взломов составили 1,57 млрд долларов США, что уже больше потерь от взломов за весь 2021 год (1,55 млрд долларов США).

Anonymous взломали российский коммерческий банк и компании энергетического сектора:

• Электроцентромонтаж — энергетическую организацию, которая занимается проектированием, испытаниями, строительством, монтажом и обслуживанием электротехнического оборудования объектов генерации и передачи электроэнергии более чем в 25 регионах России.
• ПСКБ — Петербургский социальный коммерческий банк входит в число 100 крупнейших российских банков по размеру чистых активов. Финансовое учреждение было взломано филиалом Anonymous Network Battalion 65, одной из самых активных хакерских групп с начала военной операции. Хакеры опубликовали через DDoSecrets архив объемом 542 ГБ, содержащий 229 000 писем и 630 000 файлов, похищенных из банка .
• АЛЭТ — таможенного брокера для компаний топливно-энергетического комплекса, осуществляющих экспорт и таможенное оформление угля, сырой нефти, сжиженных газов и нефтепродуктов. Хактивисты опубликовали через DDoSecrets архив объемом 1,1 ТБ, который содержит почти 1,1 млн писем.

Кибератака привела к сбоям в работе онлайн-библиотеки Onleihe.

Onleihe — сервис аренды электронных книг, журналов, видео- и аудиозаписей. Его используют многие университеты Европы, а в Германии на долю платформы приходится около 40% всего потребления электронных книг.

После атаки в электронных книгах стали отображаться только первая глава или страницы в случайном порядке. Также появились ошибки потоковой передачи мультимедиа. Кроме того, форумы на платформе в данный момент недоступны из-за неизвестной технической ошибки.

Onleihe предоставила список поврежденных материалов и порекомендовала пользователям удалить их с устройств и загрузить снова.

Сбои в работе библиотеки произошли из-за кибератаки на провайдера EKZ 18 апреля, отключившей работу сайтов EKZ и онлайн-библиотеки Divibib. Вчера компания заявила о восстановлении большинства систем, однако, наблюдаются задержки в выставлении счетов и обработке заказов.

Человеческий фактор остаётся одной из главных проблем современной информационной безопасности, а социальная инженерия — основным инструментом мошенников.

Многие организации к 2022 году приобрели лучшие средства защиты информации (и даже успели заменить их на отечественные аналоги), но для борьбы с современными цифровыми атаками и предотвращения инцидентов технических средств и стандартных процессов недостаточно. Требуется дополнительный уровень защиты, основу которого составляют люди — рядовые сотрудники, разработчики ПО и даже клиенты организации.

Мы изучили обезличенные данные о 40 000 имитированных фишинговых атак, проведённых в течение 2021 года в 37 компаниях на выборке более чем 21 000 сотрудников.

На основе этих данных, а также на базе открытых источников и собственных исследований компании Антифишинг мы подготовили отчёт о защищённости сотрудников, в котором постарались ответить на следующие вопросы:

1. Как именно реализация техник злоумышленников на этапе проникновения по классификации MITRE зависит от действий людей.
2. Какие инциденты происходили в 2021 году в компаниях из разных отраслей из-за небезопасных действий людей.
3. Как связана должность сотрудника и количество небезопасных действий.
4. Какие приемы фишинга были самыми действенными.
5. Как измерить защищенность сотрудников и киберустойчивость организации, и как системно улучшать эти показатели с помощью методологии Антифишинга.
6. Что сделать в первую очередь для повышения защищенности своих сотрудников и организации от цифровых атак в реалиях 2022 года.
   
   
   

Ключевые факты и полный текст отчёта — на сайте Антифишинга →