Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания, в рамках которой злоумышленники пытаются распространять вредоносное ПО для кражи данных, маскируя свою активность под уведомления о голосовых сообщениях в WhatsApp.

Схема действий мошенников

1. Фишинговая атака маскируется под уведомление о получении нового голосового сообщения в мессенджере. В электронном письме есть встроенная кнопка «Воспроизвести», а также сведения о продолжительности сообщения и времени его создания.

2. Отправитель, выдающий себя за службу Whatsapp Notifier, использует email-адрес, не имеющий никакого отношения к WhatsApp и принадлежащий Центру безопасности дорожного движения Московской области. Предположительно, таким образом хакеры стремятся избежать внимания защитных механизмов и фильтров

3. Если получатель такого письма нажимает кнопку «Воспроизвести», он будет перенаправлен сайт, который предложит разрешить или запретить установку трояна JS/Kryptic. Это сообщение тоже замаскировано: пользователю якобы предлагается подтвердить, что он не робот.

4. Нажатие на любую из кнопок подпишет пользователя на уведомления, которые будет приходить от мошеннических сайтов, сайтов для взрослых и могут содержать ссылки на вредоносное ПО. Также после нажатия кнопки «Разрешить», браузер предложит пользователю установить вредоносное ПО для кражи информации.

Выявлена шпионская кампания под названием Operation Bearded Barbie нацеленная на «тщательно отобранных» израильских граждан. Хакеры взламывают их компьютеры и мобильные устройства, следят за их действиями и крадут конфиденциальные данные.

Схема действий преступников

1. Социальная инженерия: после проведения разведки группировка создает поддельные учетные записи в социальных сетях Facebook, устанавливает контакт с потенциальной жертвой и пытается побудить ее загрузить троянизированные приложения для обмена сообщениями. В некоторых случаях поддельные профили созданы якобы от имени молодых женщин.
2. Преступники переносят общение из Facebook в WhatsApp, а уже в мессенджере предлагают более «личный» сервис обмена сообщениями. Еще одним вектором атаки является приманка в качестве видеоролика сексуального характера, упакованного во вредоносный архив .RAR.
3. Хакеры используют новые версии кибероружия: Barb(ie) Downloader и BarbWire Backdoor, а также новый вариант имплантата VolatileVenom.
4. Barb(ie) Downloader доставляется через видео-приманку и используется для установки бэкдора BarbWire.
5. Прежде чем приступить к установке бэкдора, вредоносная программа выполняет несколько антианалитических проверок, включая сканирование виртуальных машин (ВМ) или проверку на предмет песочниц. Barb(ie) также собирает базовую информацию об ОС и отправляет ее на командный сервер.
6. Бэкдор BarbWire — очень эффективный вид вредоносного ПО с высоким уровнем обфускации, достигаемым за счет шифрования строк, хеширования API и защиты процессов. BarbWire выполняет различные функции наблюдения, включая кейлоггинг, захват экрана, а также прослушивание и запись звука. Кроме того, он может сохраняться на зараженном устройстве, планировать задачи, шифровать содержимое, загружать дополнительные полезные нагрузки и похищать данные. Бэкдор будет специально искать документы Microsoft Office, файлы .PDF, архивы, изображения и видео на скомпрометированной системе и любых подключенных внешних дисках.

Неизвестные мошенники создали несколько фишинговых сайтов, на которых собирают криптовалютные пожертвования для пострадавшим от событий на Украине.

Эксперты обнаружили фишинговый сайт Ukrainehelp.world с просьбой о пожертвованиях для ЮНИСЕФ. Web-сайт содержит логотип BBC, за которым следует несколько адресов криптокошельков.

Один из кошельков насчитывает около 313 монет Ethereum (ETH) на сумму более 850 тыс. долларов США.

Еще один мошеннический сайт под названием Ukrainethereum был создан с большим вниманием к деталям. На мошенническом ресурсе есть поддельный чат и поддельный верификатор пожертвований.

Фишинговое письмо

Исследователи также обнаружили фишинговые электронные письма с запросами на пожертвования на адреса биткойн-кошельков, принадлежащие мошенникам.

Другие фишинговые электронные письма и web-сайты просят жертв ввести данные своей кредитной карты. После ввода информация отправляется мошенникам, которые либо продают ее в даркнете, либо используют в своих целях.

Мобильная безопасность

В нескольких моделях телефонов Samssung обнаружена серьезная уязвимость CVE-2022—22292.

Уязвимость присутствует в приложении «телефон». Ей подвержены смартфоны под управлением Android 9, 10, 11 и 12, в частности, флагманские смартфоны Samsung S21 Ultra 5G и S10 Plus и бюджетный Samsung A10e.

Обнаруженная проблема безопасности позволяет хакерам совершать телефонные звонки, управлять приложениями, сбрасывать настройки устройства, а также получать доступ к данным пользователя.

Графический процессор в некоторых Android-смартфонах может использоваться для прослушивания учетных данных пользователя, когда пользователь вводит учетные данные с помощью экранной клавиатуры смартфона.

Эксперименты показывают, что атака может правильно определить вводимые пользователем имя и пароль, не требуя каких-либо системных привилегий или вызывая какие-либо заметные изменения в работе или производительности устройства. Пользователи не смогут определить, когда их атакуют

В ходе эксперимента исследователи смогли правильно определить, какие буквы или цифры были нажаты, в 80% случаях, основываясь только на данных, полученных из графического процессора.

Обнаружен вредоносный APK Process Manager, играющий роль шпионского ПО для Android-устройств.

Каким образом происходит заражение, пока неясно. Как правило, группировка Turla, предположительно создавшая мобильный шпион, распространяет свои вредоносные инструменты с помощью фишинговых атак, социальной инженерии, атак watering hole (заражение вредоносным ПО через взломанные сайты, посещаемые жертвой) и пр.

После установки Process Manager пытается скрыть свое присутствие на устройстве с помощью иконки в виде шестеренки, выдавая себя за системный компонент.

После первого запуска шпионская программа получает 18 разрешений, а затем удаляет свою иконку и запускается в фоновом режиме. Однако о ее присутствии свидетельствует постоянное уведомление, что нехарактерно для шпионского ПО, .

Инциденты

Крупный американский производитель гидравлического оборудования Parker Hannifin стал жертвой кибервымогателей Conti, похитивших у него гигабайты данных.

Компания обнаружила взлом 14 марта 2022 года, после чего отключила некоторые свои системы и начала расследование. В настоящее время расследование еще продолжается, но производитель подтвердил, что злоумышленникам удалось получить доступ и похитить некоторые данные, включая персональную информацию сотрудников.

По предварительной оценке и имеющейся на данный момент информации, инцидент не оказал существенного финансового или операционного влияния, и компания не считает, что инцидент окажет существенное влияние на ее деятельность, операции или финансовые результаты. Бизнес-системы компании полностью функционируют, и она поддерживает страхование с учетом определенных франшиз и ограничений полиса, характерных для ее размера и отрасли.

Кибервымогательская группировка Conti опубликовала на своем сайте утечек в даркнете более 5 ГБ заархивированных файлов Parker Hannifin и сообщила, что опубликованы только 3% от того, что ей удалось похитить.

Мобильный платежный сервис Cash App уведомил 8,2 млн нынешних и бывших клиентов в США об утечке данных.

Компания Block, владеющая Cash App, сообщила в форме 8-K SEC, что взлом произошел 10 декабря 2021 года после того, как бывший сотрудник загрузил внутренние отчеты Cash App. Отчеты включали полные имена клиентов Cash App и номера брокерских счетов, связанные с инвестиционной деятельностью в Cash App. В случае некоторых клиентов в отчетах была раскрыта дополнительная информация, включая авуары и торговую активность за один торговый день.

Утечка данных не включала конфиденциальную информацию, такую ​​как учетные данные, номера социального страхования, платежную информацию, какие-либо коды безопасности, коды доступа или пароли к учетным записям Cash App. Другие продукты, функции Cash App (кроме операций с акциями) и клиенты за пределами США не пострадали.

Неизвестные взломали YouTube-каналы звезд мирового шоу-бизнеса. Среди пострадавших Джастин Бибер, Дрейк, Эминем, Тэйлор Свифт, Ариана Гранде, Канье Уэст, Майкл Джексон.

На многие взломанные каналы злоумышленники загрузили странные видео, которые затем были удалены. Один из роликов был озаглавлен «Justin bieber — Free Paco Sanz (ft. Will Smith, Chris Rock, Skinny flex & Los Pelaos)».

Пако Санс (Paco Sanz) — испанский преступник, обманувший тысячи людей, выдавая себя за смертельно больного. В настоящее время Санс находится в тюрьме. В опубликованном видео он держит гитару и поет на испанском.

Еще один ролик, опубликованный на YouTube-канале английского певца и актера Гарри Стайлза, называлось «Daddy Yankee — SPEED IS THE BEST HACKED BY @LOSPELAOSBRO ON TWITTER». В нем была показана группа мужчин, одетых в толстовки с надписью «speed» и танцующих под адаптированную версию хита «Hit the Road Jack».

Ведущая британская сеть розничной торговли The Works была вынуждена закрыть несколько магазинов и частично остановить свою деятельность после кибератаки. Компания отключила доступ к компьютерным системам, включая электронную почту, в качестве меры предосторожности на время расследования.

По сообщению The Guardian, пополнение запасов в магазины временно остановлено, а обычное окно доставки для выполнения online-заказов продлено, но ожидается, что поставки в магазины возобновятся в ближайшее время.

Платежные данные не были скомпрометированы, однако в настоящее время компания не может установить, в какой степени могли быть затронуты любые другие данные.

Неизвестные киберпреступники взломали индийский банк Andhra Pradesh Mahesh Co-Operative Urban Bank и похитили несколько миллионов долларов.

Кибератака началась с отправки более 200 фишинговых писем сотрудникам банка в ноябре 2021 года. Как минимум одно из этих писем смогло обмануть сотрудника банка и привело к установке трояна для удаленного доступа (RAT).

Банк не использовал разделение локальной сети на изолированные сегменты, поэтому, как только RAT заработал, злоумышленники получили доступ ко всем системам и смогли перемещаться по сети и даже в основном банковском приложении.

Как показали результаты расследования, Mahesh Bank допустил увеличение количества суперпользователей до десяти, при чем некоторые имели одинаковые пароли. Злоумышленники взломали несколько учетных записей и получили доступ к базам данных, содержащим информацию о клиентах, включая балансы счетов. Хакеры также создали новые банковские счета и перевели на них деньги клиентов. Украденные средства на сумму более $1 млн были переведены на сотни других счетов в Mahesh Bank и других финансовых учреждениях. Киберпреступники затем сняли деньги в 938 банкоматах по всей Индии и скрылись с наличными.

По словам сотрудников городской полиции Хайдарабада, у банка не было действующей лицензии на использование межсетевого экрана, надлежащей защиты от фишинга, систем обнаружения вторжений и или какой-либо системы предотвращения кибератак.

Немецкий производитель ветрогенераторов Nordex был вынужден отключить свои IT-системы на заводах по всему миру в результате кибератаки 31 марта нынешнего года.

На прошлой неделе компания сообщила об обнаружении вторжения в свои сети «на ранней стадии» и принятии соответствующих мер. Из внутренних и внешних специалистов незамедлительно была собрана команда реагирования на инциденты безопасности для сдерживания атаки и предотвращения ее дальнейшего распространения, а также для оценки ее масштабов. Отключение некоторых IT-систем может затронуть клиентов, сотрудников и держателей акций Nordex Group.

Cервис для почтового маркетинга Mailchimp стал жертвой киберпреступников, которым удалось скомпрометировать внутренние системы и украсть данные более ста клиентов.

Для взлома MailChimp преступники использовали техники социальной инженерии, направленного на ее персонал. В результате им удалось получить учетные данные одного из сотрудников. Обнаружив взлом, компания отключила скомпрометированной учетной записи сотрудника доступ к корпоративной сети и приняла дополнительные меры для предотвращения распространения атаки на других сотрудников.

Злоумышленники скомпрометировали 319 учетных записей MailChimp и экспортировали «данные об аудитории» из 102 клиентских аккаунтов. Кроме того, они получили доступ к ключам API неизвестного количества пользователей, и компании пришлось их отключить, поскольку с помощью ключей API злоумышленники могли осуществлять фишинговые атаки даже без доступа к клиентскому порталу MailChimp.

Полученные сведения использовались для фишинговых атак с целью заполучить криптовалюту пользователей.

В результате кибератаки на испанскую энергетическую компанию Iberdrola были раскрыты личные данные 1,3 млн клиентов.

Злоумышленники получили доступ к информации об удостоверениях личности, домашних адресах, номерах телефонов, электронной почте. Сведения о банковских счетах или кредитных картах клиентов раскрыты не были.

Компания подтвердила взлом и оперативно предупредила пострадавших пользователей. Группа Iberdrola заверила, что принимает соответствующие меры для предотвращения подобных атак в будущем. Специалисты Iberdrola связывают данный инцидент с DDoS-атакой на сайт Конгресса депутатов.

В результате взлома у платформы децентрализованного кредитования Ola Finance было украдено около 4,67 млн долларов США в криптовалюте.

Ola Finance подтвердила сообщения аналитической компании PeckShield о том, что 216 964,18 USDC, 507 216,68 BUSD, 200 000,00 fUSD, 550,45 WETH, 26,25 WBTC и 1 240 000,00 FUSE были украдены в ходе атаки, которая включала использование уязвимости «повторного входа».

Атаки с повторным входом связаны с ошибками в контрактах, которые позволяют злоумышленнику неоднократно снимать средства до того, как исходная транзакция будет одобрена или отклонена, или средства должны быть возвращены.

Хакеры использовали собственные средства в качестве залога для получения первоначального кредита. Затем, благодаря уязвимости в смарт-контракте, они смогли вывести свои средства из обеспечения кредита. Повторив данное действие несколько раз, хакеры получили ничем не обеспеченный кредит.

Ещё одна система децентрализованного финансирования Inverse Finance была взломана. В результате инцидента была украдена криптовалюта на сумму около 15 млн долларов США.

Данные блокчейна показывают, что взлом был совершен сразу после 11:00 по Гринвичу. Потерянные средства были номинированы в ETH, WBTC и DAI. Дальнейшие данные блокчейна указывают на то, что некоторые из украденных ETH были отправлены в Tornado Cash, популярный миксер транзакций в сети Ethereum, в течение часа после атаки.

Согласно Inverse, злоумышленник нацелился на денежный рынок Anchor (ANC), искусственно манипулируя ценами на токены, что позволило ему взять кредиты под крайне низкий залог.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена вредоносная кампания, нацеленная на получение удаленного доступа к Windows-компьютерам российских граждан и госструктур.

Схема действий преступников

1. Злоумышленники от имени Минцифры, Минсвязи или Роскомнадзора призывают получателей к бдительности и предлагают ознакомиться со списком заблокированных интернет-сайтов и сервисов.

2. Фальшивки снабжены вредоносным вложением либо ссылкой на поддельный сайт digital-ministry[.]ru с таким файлом. Анализ показал, что используемые при этом RTF-документы нацелены на эксплойт CVE-2021-40444 в браузерном движке MSHTML, который используют приложения Microsoft Office. Иногда вложение выполнено в виде RAR-архива, содержащего целевой RTF.

3. В качестве приманки злоумышленники используют некий документ Минцифры или Минсвязи с электронной подписью; при попытке просмотра получателю предлагают включить режим редактирования и активный контент.

4. RTF-файлы содержат ссылку, по которой со стороннего сайта загружается вредоносный HTML со скриптом, который запускает на исполнение встроенный в RTF-документ WSF-сценарий.

5. В результате отработки эксплойта на машину с помощью PowerShell загружается маячок CobaltStrike (putty.exe).

Атаки и уязвимости

Обнаружен метод создания правдоподобных фишинговых сообщений в iMessage, WhatsApp, Signal и других мессенджерах.

Для атаки используются уязвимости, связанные с ошибкой рендеринга символов Unicode RTLO. При вставке символа RTLO в строку браузер или приложение для обмена сообщениями отображает строку справа налево, вместо обычного направления слева направо. Такие символы используются для отображения сообщений на арабском языке или иврите.

Например, URL-адрес «gepj.xyz» будет отображаться как безобидный файл изображения JPEG «zyx.jpeg», а созданный «kpa.li» будет отображаться как APK-файл «li.apk» и т. д.

Используя этот метод, можно создавать правдоподобные подделки в сообщениях и использовать их для фишинговых атак.

В некоторых моделях автомобилей Honda и Acura обнаружены уязвимости, которые позволяет находящемуся неподалеку атакующему разблокировать автомобиль и даже запустить его двигатель с помощью replay-атаки.

Идея атаки заключается в том, что хакер может перехватить сигналы, поступающие с брелока на автомобиль, а затем воспроизвести их, чтобы без ключа получить контроль над системой удаленного доступа к авто.

Проблеме в основном подвержены автомобили Honda Civic 2016—2020 годов (LX, EX, EX-L, Touring, Si, Type R). Оборудование, необходимое для атак совсем нельзя назвать сложным: эксперты использовали HackRF One SDR, ноутбук, учетную запись на FCCID.io, доступ к ПО Gqrx SDR и тулкит GNURadio.

Уязвимость, получившая идентификатор CVE-2022-27254, относится к типу replay-атак. В опубликованных на GitHub материалах есть видео, наглядно демонстрируется удаленный запуск двигателя.

Инциденты

Хактивисты из XakNet Team взломали сервера МИД Украины и похитили сотни тысяч писем, содержащих деловую переписку сотрудников министерства.

Письма большей частью касаются торговли оружием, совместных учений с НАТО и Великобританией, зарубежных поездок для ведения переговоров о помощи. Используя шаблонные запросы, украинские дипломаты требуют у всех денег, поддержки, суровых санкций против граждан России, а также пытаются через третьих лиц получить подробные сведения о российских ракетах.

В открытом доступе обнаружена база службы доставки еды «2 Берега» с персональными данными пользователей сервиса из 15 городов.

Данные были доступны любому неавторизованному пользователю на открытом сервере MongoDB. Посмотреть их можно было без авторизации. База содержит имена пользователей, их полные адреса и номера телефонов.

Данные были доступны для свободного скачивания как минимум неделю c 21 по 27 марта. Всего в базе содержалось около 10,7 млн строк. Размер базы — около 3.5 Гб. На то, что база активно используется, указывает тот факт, что с 21 по 27 марта в базе появилось около 400 тысяч новых записей.

В результате кибератаки вымогателя Conti произошла утечка данных компании Shutterfly, специализирующейся на фотопродукции и обмене изображениями.

В ходе атаки операторы программы-вымогателя получили доступ к корпоративной сети и украли файлы и данные, после чего зашифровали все устройства в сети.

В уведомлении компании сообщается: «Злоумышленники заблокировали наши системы и одновременно получили доступ к данным на этих системах. В числе скомпрометированных сведений есть персональные данные некоторых сотрудников».

Telegram-канал «Авиаторщина» сообщил о предполагаемой кибератаке на Росавиацию, в результате которой могли быть утеряны около 65 Тб данных.

По информации канала, от действий хакеров пострадал в первую очередь документооборот, а также электронная почта за последние полтора года. Авиаторщина утверждает, что хакеры удалили все файлы на серверах ведомства и заодно систему интеграции с госуслугами.

Telegram-канал также опубликовал скриншот сообщения руководителя Росавиации Александра Нерадько о том, что в связи с отсутствием доступа к интернету и сбоем в системе электронного документооборота ведомство переходит на бумажный документооборот, фельдъегерскую почту и «Почту России».

Издание «Коммерсант» пишет, что в Росавиации на их запросы не ответили, но два источника, близких к службе, подтвердили наличие проблем и факт хакерской атаки. Они уточнили, что сейчас специалисты работают над восстановлением доступа к серверам.

Вымогательская группировка Lapsus$ взломала люксембургскую консалтинговую компанию по разработке программного обеспечения Globant и получили доступ к 70 ГБ данных.

На снимках экрана, которые опубликовали хакеры, показаны папки с названиями Facebook, «apple-health-app», а также упоминаются мегакорпорации DHL, Citibank и BNP Paribas. Неизвестно, являются ли папки свидетельством раскрытия клиентских данных. Еще одна папка называется Arcserve и предположительно указывает на одноименного поставщика управления данными или, возможно, просто на резервные копии Globant.

Группа выложила и торрент-файл, содержащий 70 Гб исходного кода, украденного у Globant, а также пароли администраторов, связанные с Atlassian фирмы (в том числе Confluence, Jira и Crucible).

Неизвестные хакеры, похитившие у NFT-игры Axie Infinity более 600 млн долларов США — 173 600 ETH. В компании уверяют, что атака стала результатом социальной инженерии, а не какой-то уязвимости.

Axie Infinity — децентрализованная игра, созданная вьетнамской студией Sky Mavis. Игра позволяет пользователям разводить, продавать и коллекционировать цифровых питомцев, а оборот ее торговых операций превышает миллиард долларов в год. Ранее Axie Infinity уже стала настоящим феноменом на Филиппинах, где тысячи пользователей зарабатывают с ее помощью неплохие деньги.

В феврале 2021 года был запущен блокчейн Ronin, призванный сделать взаимодействие с Axie Infinity, базирующейся на Ethereum, менее затратным. Тогда как любые действия в Ethereum требуют немалых комиссий, Ronin позволяет совершать 100 бесплатных транзакций в день для каждого пользователя.

В блоге Ronin на этой неделе появилось сообщение о том, что проект стал жертвой кибератаки, в результате которой неизвестные, с помощью всего двух транзакций, похитил около 600 млн долларов США: 173 600 ETH (на сумму около 591 242 019 долларов США) и стейблкоин USDC на сумму 25,5 млн долларов США.

Разработчики рассказывают, что атака произошла еще 23 марта 2022 года, но ее обнаружили только теперь, когда пользователи заметили, что не могут вывести средства. Атака включала компрометацию узлов валидатора Sky Mavis Ronin и узлов валидатора Axie DAO, после чего злоумышленник смог использовать мост Ronin в своих целях.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакеры используют диспетчер пакетов Chocolatey для Windows в фишинговой кампании, направленной на установку бэкдора Serpent в системы французских правительственных учреждений и крупных строительных фирм.

Схема кампании:

1. Атака начинается с обычного фишингового письма, якобы связанного с GDPR. Письмо содержит вложенный документ Word, содержащий вредоносный макрос.

2. При открытии данного документа вредоносный макрос извлекает изображение лисы из мультсериала «Даша-путешественница».

3. В изображение с помощью стенографии встроен PowerShell-скрипта, который загружает и устанавливает диспетчер пакетов Windows Chocolatey. Этот диспетчер затем будет использован для установки Python и установщика пакетов PIP.

4. В итоге в систему жертвы загружается второе стеганографическое изображение для загрузки бэкдора Serpent, представляющего собой написанную на Python малварь

5. Serpent связывается с управляющим сервером хакеров, чтобы получать команды, которые нужно выполнить на зараженном устройстве. По данным аналитиков, бэкдор способен выполнить любую команду, позволяя загружать дополнительные вредоносные программы, открывать реверс-шеллы и получать полный доступ к устройству.

Мобильная безопасность

Фоторедактор из Google Play Store с более чем 1 млн загрузок оказался Android-трояном Facestealer, который обманом заставляет пользователей вводить свои учетные данные для авторизации в Facebook на специальной web-странице, передающей эти данные на подконтрольный злоумышленникам сервер.

После того, как жертва откроет поддельное приложение, появляется фишинговая страница авторизации в Facebook, запрашивающая учетные данные.

Если пользователь введет свои данные, создатели приложения получат полный доступ к его учетной записи Facebook, в том числе к платежной информации, диалогам и поиску.

Злоумышленники распространяют вредоносные программы среди пользователей iPhone и iPad через платформу Apple TestFlight.

Приложение TestFlight используется компанией Apple для распространения предварительных версий приложений и игр для бета-тестирования. Разработчики могут использовать TestFlight для рассылки приглашений об участии в бета-тестировании 10 тыс. пользователей.

Поскольку приложения и игры, которые распространяются через TestFlight, не проходят процесс проверки Apple App Store, вредоносная кампания CryptoRom воспользовалась этой лазейкой и распространяла поддельные и вредоносные криптовалютные приложения среди пользователей iOS и iPadOS.

Атаки и уязвимости

В Dell BIOS были обнаружены пять новых уязвимостей, которые могут привести к выполнению кода в уязвимых системах.

Новые уязвимости получили идентификаторы CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421. По шкале оценки уязвимостей CVSS они оцениваются в 8,2 балла из 10 . Эксперты подчеркивают, что системы мониторинга целостности прошивки вряд ли обнаружат эксплуатацию этих багов в силу ограниченности Trusted Platform Module (TPM).

Все уязвимости связаны с некорректной поверкой вводимых данных (input validation) и влияют на System Management Mode (SMM) прошивки, что позволяет авторизованному злоумышленнику использовать SMI для выполнения произвольного кода.

Компания HP сообщила о нескольких уязвимостях, затрагивающих сотни моделей принтеров LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet:

1. Уязвимость переполнения буфера CVE-2022-3942, которая может привести к удаленному выполнению кода на уязвимой машине. По шкале CVSS уязвимость оценивается на 8,4 балла из 10. Инженеры HP считают ее критической.
2. Две критических и одна серьезная уязвимости, которые могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Эти уязвимости имеют идентификаторы CVE-2022-24291 (7,5 балла по шкале CVSS), CVE-2022-24292 (9,8 балла по шкале CVSS) и CVE-2022-24293 (9,8 балла по шкале CVSS).

Разработана новая атака «браузер в браузере» (browser-in-the-browser, BitB), с помощью которой можно похитить учетные данные для входа в систему путём имитации всплывающих окон браузеров от Google, Microsoft и других поставщиков услуг аутентификации, которые запрашивают имя пользователя и пароль.

Такие службы, как Google Sign-In, будут отображать URL-адрес Google на панели навигации всплывающего окна, убеждая пользователя в безопасности процесса аутентификации. А обход данных средств защиты, встроенных в браузер пользователя, затруднен из-за отсутствия уязвимостей и наличия политик безопасности контента.

В ходе атаки BitB создаётся полностью поддельное окно браузера, включая сигналы доверия, такие как значок закрытого замка и известный (но поддельный) URL-адрес. Данный метод делает фишинг более эффективным.

Жертвам по-прежнему нужно будет посетить скомпрометированный или вредоносный web-сайт, чтобы появилось всплывающее окно, но после этого они с большей вероятностью предоставят мошеннику свои учетные данные.

Инциденты

Киберпреступная группировка Lapsus$ опубликовала скриншоты, подтверждающие получение доступа к серверным административным консолям Okta и данным клиентов компании.

Хакеры заявили, что им удалось получить доступ superuser/admin на Okta.com, а затем и к данным клиентов. На одном из обнародованных скриншотов был замечен URL-адрес с адресом электронной почты представителя службы поддержки Okta, который, судя по всему, и был скомпрометирован. Глава Okta Тодд Маккиннон вскоре подтвердил эту информацию в Twitter.

Участники Lapsus$ могли менять пароли клиентов через панель управления Okta. Это серьезно обеспокоило ИБ-экспертов, ведь хак-группа могла использовать этот доступ для взлома серверов клиентов, которые используют решения Okta для аутентификации.

Хак-группа Lapsus$ опубликовала исходные коды Bing, Cortana и других продуктов Microsoft, похищенные с внутреннего сервера Microsoft Azure DevOps.

Данные распространялись через торрент в виде архива 7zip размером 9 Гб. В архиве содержится исходный код более 250 проектов.

Исследователи, изучившие утечку, подтверждают, что файлы действительно представляют собой внутренние исходные коды Microsoft. Cообщается, что некоторые из проектов содержат электронные письма и документацию, которые явно использовались инженерами Microsoft внутри компании для публикации мобильных приложений.

Представители Microsoft подтвердили факт взлома и уточнили, что учетная запись одного из сотрудников была скомпрометирована хакерами, благодаря чему они получили ограниченный доступ к репозиториям с исходниками.

Хотя в Microsoft не сообщили, как именно была скомпрометирована учетная запись сотрудника, в блоге компании появился обзор тактик и методов, используемых Lapsus$ во время атак. По информации аналитиков, в основном хакеры сосредоточены на получении скомпрометированных учетных данных для первоначального доступа к корпоративным сетям. Логины и пароли они добывают с использованием следующих методов:

• развертывание малвари Redline, ворующей учетные данные и токены сеансов;
• покупка учетных данных и токенов на подпольных форумах;
• взятки сотрудникам целевых организаций (а также их поставщиков и деловых партнеров) за доступ к учетным данным и многофакторной аутентификации;
• поиск учетных данных в общедоступных репозиториях.

Национальная почтовая служба Греции (Hellenic Post, ELTA) сообщила о временном отключении своих коммерческих информационных систем во всех почтовых отделениях из-за кибератаки.

ELTA заявила, что «прошлой ночью столкнулась с кибератакой вредоносного ПО на свои информационные системы». В целях защиты и обеспечения безопасности до завершения всех соответствующих процессов было принято решение изолировать весь дата-центр полностью, поэтому компания предупредила клиентов о временном отключении коммерческих информационных систем во всех почтовых отделениях.

Позже IT-специалисты установили, что злоумышленники воспользовались неисправленной уязвимостью для загрузки вредоносного ПО, открывшего хакерам доступ к одной из рабочих станций с помощью обратной оболочки.

Главной целью кибератаки было зашифровать критические системы почтовой службы, однако о каких-либо требованиях выкупа ELTA не сообщила.

В настоящее время отделения ELTA по всей стране не могут предоставлять ни услуги почты, ни оплаты счетов, ни обработки заказов. У пользователей также возникают трудности с отслеживанием отправлений. Когда все заработает снова, пока неизвестно.

Хакерская группировка Anonymous взломала швейцарскую корпорацию Nestlé и похитила 10 ГБ конфиденциальных данных. По словам преступников, таким образом они наказали компанию за поддержание бизнеса в России.

В базу скомпрометированных данных попали переписки по электронной почте, пароли и сведения о партнёрах Nestlé. В качестве доказательства взлома хакеры выложили небольшой фрагмент базы, в котором содержится информация более чем о 50 тыс. деловых партнёров корпорации.

Несколько компаний агрохолдинга «Мираторг» стали жертвой шифровальщика Win32:Bitlocker/l!rsm.

Вредонос проникает в системы Microsoft с помощью известных уязвимостей, а затем шифрует все данных на дисках заражённых компьютеров и серверов. В

Пострадали следующие хозяйствующие субъекты, входящие в холдинг Мираторг:

• ООО «ФАТЕЖСКАЯ ЯГНЯТИНА» — ИНН — 4017006738
• ООО «БРЯНСКИЙ БРОЙЛЕР» — ИНН — 3250519281
• ООО «МИРАТОРГ-КУРСК» — ИНН — 4623004836
• ООО «БРЯНСКАЯ МЯСНАЯ КОМПАНИЯ» — ИНН — 3252005997
• ООО «СВИНОКОМПЛЕКС КУРАСОВСКИЙ» — ИНН — 3109003598
• ООО «ПРОДМИР» — ИНН — 5009074197
• ЗАО «СВИНОКОМПЛЕКС КОРОЧА» — ИНН — 3110009570
• ООО «ТРИО-ИНВЕСТ» — ИНН — 5009045076
• ООО «БЕЛГО ГЕН» — ИНН — 3115004381
• ООО «АГРОФИРМА „БЛАГОДАТЕНСКАЯ“ — ИНН — 4620009025
• ООО „МИРАТОРГ ЗАПАД“ — ИНН — 3906072585
• ООО „ТОРГОВАЯ КОМПАНИЯ „МИРАТОРГ“ — ИНН — 5009072150
• ООО „СВИНОКОМПЛЕКС САФОНОВСКИЙ“ — ИНН — 3109004344
• ООО „СВИНОКОМПЛЕКС ПРИСТЕНСКИЙ“ — ИНН — 4619004640
• ООО „МИРАТОРГ-БЕЛГОРОД“ — ИНН — 3109004317
• ООО „ВОЗРОЖДЕНИЕ“ — ИНН — 4623005325
• ООО „КАЛИНИНГРАДСКАЯ МЯСНАЯ КОМПАНИЯ“ — ИНН — 3921799103
• ООО „СВИНОКОМПЛЕКС КАЛИНОВСКИЙ“ — ИНН — 3115006318

Все перечисленные организации пока не смогут оформлять в электронном виде производственные и транспортные ветеринарные документы на продукцию. Работы по устранению последствий уже ведутся, но точной информации о времени восстановления пока нет.

Хакеры бразильской группировки N4ughtysecTU проникли в системы южноафриканского подразделения финансовой компании TransUnion.

Одна из учетных записей на сервере была защищена паролем «password», на подбор которого с помощью современных хакерских инструментов уходит около секунды. TransUnion сообщает, что учетная запись принадлежала одному из ее авторизованных клиентов.

Хотя TransUnion заявила, что атака не была связана с программами-вымогателями и затронула только один «изолированный сервер с ограниченным объемом данных», хакеры предположительно похитили около 4 ТБ данных и потребовали выкуп в размере 15 млн долларов США.