Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Компания Group-IB обнаружила более 50 различных схем фальшивых инвестпроектов и более 8 000 доменов, связанных с мошеннической инфраструктурой.

Желающим быстро разбогатеть предлагают вкладываться в криптовалюты, покупку акций нефтегазовых компаний, золото, фармацевтику и другие «активы». На деле все оборачивается хищением денег свежеиспеченных инвесторов или данных их банковских карт. Большинство исследованных кейсов являются технически новыми «гибридными схемами». В них наряду с традиционным фишингом используются фейковые мобильные приложения-терминалы, а так же звонки «личных консультантов».

Схема кампании:

1. Массированная реклама в социальных сетях, в которой известные предприниматели, политики или амбассадоры брендов «предлагали» частным вкладчикам участие в сверхдоходных инвестиционных проектах. Чаще других в фальшивых постах фигурировал создатель Telegram Павел Дуров, который якобы «вопреки запретам» создал для россиян блочкейн-платформу «Gram Ton» — «оплот цифрового сопротивления».

2. В рекламных постах мошенники нелегально использовали изображения Дурова и три откровенно популистских сюжета мошенничества:

• «Альтернатива банкам» — о появлении новой финансовой платформы, позволяющей получать инвесторам невероятные доходы;
• «Недра — народу!» — о «нацпроектах» по освоению сверхдоходов от торговли нефтью и газом;
• «Финансы для людей» — о допуске к «закрытым» для большинства инвест-инструментам реальных финансовых организаций.

3. В качестве оформления лендингов и рекламных постов с призывами инвестировать в сомнительные проекты злоумышленники нелегально использовали стилистику популярных новостных ресурсов, таких как «Россия-24», Russia Today или РБК.

4. Как только начинающий инвестор клюет на «приманку», его направляют на сайт-опросник от «известного банка» или на красочные лендинги-одностраничники инвестпроекта. Как правило, все они связаны с торговлей «криптой», фиатными валютами, драгметаллами, полезными ископаемыми, природными ресурсами, фармацевтикой. Практически каждый из проектов обещает фантастические заработки — в 300 000 до 10 000 000 рублей в месяц. Задача мошенника — заставить жертву поверить в инвестпроект, чтоб та оставила свои контактные данные для связи с «личным консультантом».

5. Рассказав по телефону про уникальный проект, где якобы специальная программа-бот помогает зарабатывать деньги на торгах, «консультант» предлагает пользователю зарегистрироваться в системе и внести депозит от 250 долларов США. Если клиент сомневается, ему могут посоветовать забронировать место в проекте, внеся аванс, например, в размере 10 000 руб через популярный обменник криптовалют.

6. При подключении к системе в «личном кабинете» будущему инвестору демонстрируют успешные результаты торговли, рост его сбережений, но за красивыми цифрами скрывается пустота — все эти инвестпроекты не предполагают снятие средств, только зачисление.

7. В некоторых случаях менеджер просит сообщить данные банковской карты, с помощью которой потенциальный «участник» планирует делать инвестиции, и якобы отправляет запрос в банк на одобрение внесения депозита. На самом деле деньги просто списываются со счета.

Атаки и уязвимости

В модуле KCodes NetUSB, который используется в миллионах роутеров, обнаружена критическая уязвимость CVE-2021-45608, позволяющая злоумышленникам удалённо выполнить код на уровне ядра.

KCodes NetUSB представляет собой модуль ядра Linux, позволяющий устройствам в локальной сети получать доступ к подключённой к роутеру USB-периферии.

Уязвимости присвоен уровень опасности 9,8 из 10 по шкале CVSS.

Злоумышленники могут использовать уязвимость macOS CVE-2021-30970, чтобы обойти технологию Transparency, Consent, and Control (TCC) и получить доступ к защищенным пользовательским данным.

Уязвимость получила название powerdir и связана с технологией TCC, предназначенной для блокировки доступа приложений к конфиденциальным пользовательским данным. Это позволяет пользователям macOS настраивать параметры конфиденциальности для приложений и устройств, подключенных к их компьютерам Mac, включая камеры и микрофоны.

Хотя Apple разрешила доступ к TCC только приложениям с полным доступом к диску и настроила функции для автоматической блокировки неавторизованного выполнения кода, исследователи Microsoft обнаружили, что злоумышленники могут внедрить в систему вторую, специально созданную БД TCC, которая позволит им получить доступ к защищенной информации.

Разработана атака NoReboot, с помощью которой вредоносное ПО для iOS может закрепляться на зараженном устройстве, имитируя процесс его выключения. При этом невозможно опередить включен iPhone или нет, а вредонос получает возможность шпионить за жертвой.

Эксперты обнаружили, что могут заблокировать устройство, а затем имитировать перезапуск iOS, сохранив доступ для своего вредоносного ПО к зараженной системе.

NoReboot работает следующим образом: используется подключение к SpringBoard (приложение Apple iOS UI, оно же Home Screen) и Backboardd (демон, стоящий за SpringBoard) для обнаружения и перехвата команды перезагрузки телефона (например, посредством нажатия кнопки уменьшения громкости + кнопки питания). Затем происходит отключение SpringBoard UI вместо завершения работы ОС.

Это оставляет экран iPhone без пользовательского интерфейса, имитируя состояние выключенного устройства. Чтобы устройство не звонило и не вибрировало, NoReboot отключает обратную связь 3D Touch, светодиодные индикаторы камеры, а также вибрацию и звук для любых входящих вызовов или уведомлений.

Демонстрация атаки NoReboot

19-летний хакер из Германии, Дэвид Коломбо, получил доступ к некоторым функциям 25 автомобилей Tesla в 13 странах по всему миру.

Доступ был получен не из-за уязвимости в инфраструктуре Tesla, а из-за использования владельцами сторонних сервисов и ключей API.

Используя полученный доступ, хакер может отключить режим Sentry Mode, открыть двери, открыть окна и запустить силовой агрегат при помощи дистанционного управления без ведома водителя. Он также может видеть точное местоположение машины. Хакер подтвердил изданию Drive Tesla, что по крайней мере один из «захваченных» экземпляров находится в Китченере, Онтарио.

Хак-группа FIN7, управляющая шифровальщиками Darkside и BlackMatter, рассылала вредоносные USB-устройства американским компаниям в надежде заразить их системы и получить точку входа для атак.

Существует два варианта таких посылок:

• имитация сообщений от HHS (Министерство здравоохранения и социальных служб США), к которым приложены письма со ссылками на рекомендации по защите от COVID-19, указывающими обратиться к приложенной USB-флешке.
• имитация посылки от Amazon в подарочной упаковке с поддельным благодарственным письмом, фальшивой подарочной картой и USB-устройством.
  В обоих случаях отправления содержали USB-устройства марки LilyGO.

Если жертва подключала такой «подарок» к своим ПК, выполнялась атака типа BadUSB, в ходе которой устройство использовало HID, регистрировало себя как клавиатуру и передавало серию предварительно заданных нажатий клавиш машине пользователя.

Эти нажатия клавиш запускали команды PowerShell, которые уже загружали и устанавливали различные вредоносные программы, действовавшие как бэкдоры. Получив административный доступ, хак-группа атаковала другие локальные системы.

Инциденты

Кибервымогательская группировка Lapsus$ атаковала бразильскую фирму Localiza, которая предоставляет автомобили в аренду в Латинской Америке.

«Мы объявляем Localiza своей жертвой. Она была одной из крупнейших арендодателей автомобилей в Латинской Америке/мире. Теперь это порносайт», — сообщила Lapsus$ в своем Telegram-канале.

Во время атаки посетители сайта Localiza в течение полутора часов переадресовывались на порносайт. Компания восстановила доступ к домашней странице localiza.com в тот же день, однако часть функций по-прежнему оставалась недоступной.

Хакеры с помощью социальной инженерии заставили сотрудников техподдержки производителя видеоигр Electronic Arts передать им чужие учетные записи FIFA.

Представители компания сообщают, что похищено менее 50 учетных записей.
Судя по  опубликованным скриншотам учетные записи были похищены после того, как злоумышленники связались с техподдержкой EA через чат и, притворившись законными владельцами, заявили о смене привязанного электронного адреса. Мошенники продолжали настаивать на своём до тех пор, пока один сотрудник техподдержки не пренебрег формальными процедурами и не перепривязал электронные адреса без дополнительной проверки личности пользователей.

В связи со случившимся было решено провести повторное обучение сотрудников техподдержки «с уклоном в безопасность учетных записей и фишинговые техники, использовавшиеся конкретно в этом случае».

Арестован гражданин Италии, который более пяти лет занимался фишингом, с помощью которого выдавал себя за представителя издательского бизнеса и похищал у жертв рукописи неопубликованных книг.

С августа 2016 года преступник зарегистрировал более 160 доменов с именами, похожими на настоящие названия литературных агентств и издательств. После этого он создал email-адреса для этих доменов, имитировавшие ящики реальных людей, которые работают в вымышленных компаниях.

Фишеру удалось похитить рукописи и другие тексты у таких авторов, как Маргарет Этвуд, Стиг Ларссон, Салли Руни и актер Итан Хоук.

Хакеры взломали горячий кошелек зарегистрированной в Лихтенштейне биткоин-биржи LCX и похитили токены стандарта ERC-20 на 7 млн долларов США.

Взлом был впервые обнаружен PeckShield, компанией по обеспечению безопасности блокчейна, на основании подозрительной передачи токенов ERC-20 из LCX в неизвестный кошелек Ethereum (ETH).

Криптовалютная биржа LCX из Лихтенштейна подтвердила компрометацию одного из своих горячих кошельков после временной приостановки всех операций ввода и вывода средств на платформе.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена мошенническая схема с фальшивым новогодним розыгрышем денежных призов якобы от российских ретейлеров.

Чтобы получить вознаграждение, пользователь должен пройти небольшой опрос якобы для повышения качества обслуживания в магазинах.
В одних рассылках мошенники предлагают выиграть до 500 тысяч рублей, в других — до миллиона.

Чтобы стать участником «новогоднего розыгрыша», россиянам предлагают ответить на простые вопросы, а также разослать сообщение об акции нескольким контактам. Таким образом схема охватывает большее число людей.

На последнем этапе мошенники просят жертв перевести один рубль за доступ к базе данных розыгрыша. Так как сумма символическая, жертвы довольно часто идут на это, а у мошенников появляются данные их банковских карт, позволяющие им украсть намного больше.

Мобильная безопасность

В магазине приложений App Store были обнаружены вредоносные fleeceware-приложения, подвергающие миллионы пользователей опасности.

Программы замаскированы под редакторы изображений и платформы для просмотров трейлеров к фильмам. На самом же деле они представляют собой fleeceware-приложения, разработанные для скрытого хищения денежных средств.

В настоящее время приложения удалены из AppStore, однако Apple не сообщила, будет ли она возвращать средства пользователям, которых обманом заставили оформить платную подписку, и будет ли она возвращать прибыль, полученную от их продажи.

Приложения скачали более 2 млн раз и теперь они приносят своим создателям примерно 16 тыс. долларов США в день, или около 6 млн долларов США в год.

Атаки и уязвимости

Злоумышленники атакуют пользователей LastPass, пытаясь получить доступ к облачным хранилищам паролей.

Преступники пытаются провести атаку credential stuffing. В ходе таких атакимена пользователей и пароли похищаются с одних сайтов, а затем используются на других. То есть злоумышленники имеют уже готовую базу учетных данных, которая может быть приобретена в даркнете, собрана самостоятельно или получена каким-то ещё способом, а затем пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.

Разработчики LastPass подтвердили информацию о продолжающихся атаках после того как десятки пользователей рассказали в социальных сетях о получении писем с предупреждениями. Письма сообщали, что LastPass заблокировал попытку входа в систему с правильным мастер-паролем, однако с иностранного IP-адреса (как правило, из Бразилии).

Вредоносное ПО RedLine крадёт пароли, сохранённые в web-браузерах Google Chrome, Microsoft Edge и Opera.

RedLine представляет собой средство для кражи информации. Ее можно приобрести примерно за 200 долларов США на киберпреступных форумах. Установка и запуск ПО не требуют от оператора особых знаний.

В примере, описанном аналитиками, учетные данные VPN-аккаунта удаленного сотрудника были похищены операторами RedLine и затем использованы для взлома сети компании три месяца спустя.

Хотя на зараженной компьютерной системе было установлено защитное решение, оно не смогло обнаружить и удалить RedLine. Вредоносная программа крадёт файл данных, который есть во всех браузерах на основе Chromium — базу данных SQLite, в которой сохраняются имена пользователей и пароли.

Даже когда пользователи отказываются хранить свои учетные данные в браузере, система управления паролями все равно будет добавлять запись, указывающую, что конкретный сайт находится в «черном списке». Злоумышленники не могут украсть пароли, занесенные в черный список, но они получают информацию о том, что учетная запись существует. Это позволяет им осуществлять атаки с подстановкой учетных данных (credential stuffing) или применять социальную инженерию.

Обнаружено более 1,2 тыс. наборов фишинговых инструментов, позволяющих киберпреступникам обходить двухфакторную аутентификацию (2FA).

Фишинговые инструменты MitM (Man-in-the-Middle) стали чрезвычайно популярными в киберпреступном мире в последние годы после того, как крупные технологические компании начали делать 2FA функцией безопасности обязательной для своих пользователей. Злоумышленники, которым удалось обманом заставить пользователя ввести учетные данные на фишинговом сайте, обнаружили, что украденные учетные данные стали бесполезными, поскольку они не могли обойти процедуру 2FA.

В течение последних лет киберпреступники адаптируют свои старые фишинговые инструменты для обхода процедур 2FA с помощью двух методов:

• real-time phishing («фишинг в реальном времени»);
• наборов фишинговых инструментов MitM.

Первый способ полагается на оператора, сидящего перед web-панелью, в то время как пользователь перемещается и взаимодействует с фишинговым сайтом. Фишинговые инструменты MitM адаптированы для работы в качестве обратных прокси-серверов, которые ретранслируют трафик между жертвой, фишинговым сайтом и легитимным сервисом.

Инциденты

Операторы вымогателя AvosLocker отменили атаку после того, как узнали, что от их действий пострадало американское полицейское управление.

В ходе атаки вредоносная программа не только зашифровала устройства, но и утащила с собой внутренние файлы. Чуть позже исследователь в области кибербезопасности с ником pancak3 опубликовал скриншот, из которого видно, что операторы AvosLocker сразу поняли свою ошибку и предоставили бесплатный ключ для расшифровки пострадавших файлов.

Выдав ключ, злоумышленники отказались предоставить список украденных файлов и не стали отвечать на вопрос о том, как проникли в сеть отделения полиции.

В результате кибератаки на ведущую медиакомпанию Норвегии — Amedia, в стране прекращён выпуск ряда печатных изданий.

Amedia издаёт более 90 газет и другой печатной продукции и оценивает ежедневную аудиторию этих изданий в два миллиона человек. Компания также ведёт бизнес в России.

Атака вывела из строя систему подписки, содержащую такие данные, как имена и фамилии клиентов, номера их телефонов, адреса. Компания пока не знает, удалось ли хакерам украсть персональные данные подписчиков. Известно лишь, что злоумышленники не смогли получить доступ к паролям и финансовым сведениям о клиентах.

По состоянию на среду Amedia так и не устранила проблемы — на сайте компании соответствующая информация отсутствует.

Жители Сальвадора сообщили о пропаже части денежных средств из выданных государством криптокошельков Chivo.

По меньшей мере 50 сальвадорцев заявили об убытках на общую сумму более 96 тыс. долларов США после установки правительством биткойн-кошельков. Некоторые из этих финансовых транзакций обошлись жертвам в 61 доллар США, но другие потеряли тысячи или более.

Около 3 миллионов сальвадорцев пользуются кошельками Chivo, что составляет примерно половину от 6,5 миллиона жителей страны.

Один из пострадавших сообщил, что в кошельке, где пропали деньги и транзакции, есть уязвимость, причём он не может получить никакой техподдержки, остаётся только звонить и звонить, пытаясь выяснить, где деньги.

Логистический гигант D.W. Morgan стал жертвой утечки 100 ГБ данных.

Исследователи обнаружили некорректно сконфигурированное хранилище Amazon S3, принадлежащее американскому логистическому гиганту D.W. Morgan.

База данных содержит более 100 ГБ данных — более 2,5 млн файлов с финансовой информацией, данными по доставке и транспортировке, персональными и конфиденциальными записями сотрудников и клиентов D.W. Morgan по всему миру, включая компанию Ericsson из списка Global 500 и Cisco из Fortune 500.

Хранилище не было защищено паролем, поэтому любой мог получить доступ к следующим данным: подписям, полным именам, вложениям, телефонным номерам, заказанным товарам, сведениям о поврежденных грузах, фотографиям, адресам биллинга и доставки, датам накладных, штрих-кодам доставки, местоположению предприятий, стоимости оплаченных товаров, изображениям внутренних документов, а также планам и соглашениям о транспортировке.

Американская компания Shutterfly, предоставляющая услуги по созданию фото-подарков, подверглась атаке с использованием вымогательского ПО Conti. Злоумышленники зашифровали более 4 тыс. устройств и 120 серверов VMware ESXi, а также украли корпоративные данные.

Группировка ведет переговоры с компанией и требует в качестве выкупа миллионы долларов. В рамках тактики двойного вымогательства Conti создала закрытую страницу утечек данных Shutterfly, содержащую скриншоты данных, предположительно похищенных у компании. Злоумышленники угрожают сделать эту страницу общедоступной, если не будет уплачен выкуп.

На скриншотах — юридические соглашения, информацию о банках и торговых счетах, учетные данные для входа в корпоративные сервисы, электронные таблицы и информация о клиентах, включая последние четыре цифры кредитных карт.

Французская IT-компания Inetum Group стала жертвой вымогательской атаки, затронувшей бизнес и клиентов.

Кибератака затронула некоторые бизнес-операции компании во Франции, однако не повлияла на более крупные инфраструктуры, используемые клиентами.

Inetum Group не раскрыла название используемого вредоносного ПО, но, по словам главного редактора французского издания LeMagIt Валери Маркива (Valery Marchive), злоумышленники использовали программу-вымогатель BlackCat (также известную как ALPHV и Noberus).

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники научились обходить двухфакторную СМС-аутентификацию для подтверждения платежей в интернете с помощью одновременного проведения фейковой операции на фишинговом сайте, стилизованном под оплату ОСАГО, и реального перевода денег, инициированного злоумышленником.

Схема действий мошенников:

1. Гражданину направляют сообщение с предложением продлить ОСАГО: в нем указаны данные об авто, в том числе госномер, а при переходе по ссылке демонстрируется сумма страховки и другая ссылка для оплаты.
2. После перехода по ссылке и ввода данных карты пользователю показывается страница с надписью «Формируется СМС-код», которая демонстрируется по таймеру около 30 секунд, а затем перебрасывает на форму ввода кода.
3. В этот момент клиенту действительно поступает СМС от кредитной организации. Вероятнее всего, после того как пользователь указывает на ресурсе данные карты, злоумышленники инициируют не оплату, а запрос на списание денег с этой карты. На этом этапе у них есть всё необходимое для перевода, кроме проверочного кода. Когда пользователь находится на страничке ожидания «Формируется СМС», он получает сообщение. Ему кажется, что это СМС для оплаты полиса, хотя на самом деле это СМС для подтверждения перевода денег, который инициировали злоумышленники,
4. Когда пользователь вводит СМС-код на страничке, которая появилась после ожидания, злоумышленники завершают атаку, подтверждая перевод денег, который они инициировали на своей стороне.

Неизвестные злоумышленники скомпрометировали официальную группу «Яндекс Go» в VK и разослали 360 тыс. подписчиков сообщение о фальшивом розыгрыше призов.

Мошенники уведомляли пользователей о фиктивном конкурсе, в ходе которого будут разыграны «электронная техника, аксессуары и денежные призы» и предлагали перейти по ссылке.

На сайте злоумышленников, на который вела ссылка, жертва якобы выигрывала в конкурсе 3000 долларов, и ей предлагали вести банковские реквизиты для получения приза, а также оплатить конвертацию валюты.

Хотя специалисты VK быстро заметили случившееся и остановили рассылку, удалив мошеннические сообщения за считанные минуты, по ссылке успели перейти 332 человека.

Эксперты VK заявляют, что взлом произошел из-за компрометации учтенной записи одного из администраторов группы, у которого не была включена двухфакторная аутентификация. Взломанный аккаунт добавил в группу злоумышленника, который запустил рассылку фишингового сообщения.

СМИ сообщают, что аналогичным атакам подверглись сообщества Tez Tour, «Смольный» и TJ. Учетные записи их администраторов также были скомпрометированы с помощью фишинга и социальной инженерии.

Умные устройства

В программном обеспечении проходного металлоискателя Garrett обнаружено девять уязвимостей, эксплуатация которых позволяет отключить детекторы, прочитать или изменить данные или просто нарушить работу.

Четыре из девяти найденных уязвимостей — CVE-2021-21901, CVE-2021-21903 и CVE-2021-21905 и CVE-2021-21906, — представляют собой уязвимости переполнения буфера в стеке. Ими можно воспользоваться для выполнения удаленного кода, отправив на устройство специально созданный пакет.

Проблемы CVE-2021-21904, CVE-2021-21907, CVE-2021-21908 и CVE-2021-21909 представляют собой уязвимости обхода каталога и позволяют авторизованному злоумышленнику читать, записывать или удалять файлы на устройстве.

CVE-2021-21902 — уязвимость «состояния гонки» (race condition) на этапе аутентификации служебной программы командной строки. Успешная эксплуатация позволяет перехватить сеанс аутентифицированного пользователя. После этого злоумышленник может взаимодействовать с интерфейсом командной строки со всеми привилегиями данного пользователя.

С помощью уязвимостей злоумышленники могут удаленно отслеживать статистику по металлоискателю, например, узнать, сработала ли тревога или сколько посетителей прошло. Преступники также могут вносить изменения в конфигурацию, изменять уровень чувствительности устройства, ставя под угрозу безопасность пользователей.

Атаки и уязвимости

В домашней тест-системе производства Ellume обнаружена уязвимость, которая позволяла изменить и успешно сертифицировать результаты теста на COVID-19 путем перехвата и модифицирования Bluetooth-трафика устройства до того, как он достигнет приложения.

Процесс фальсификации результатов:

1. С помощью Android-устройства, на котором у него были права суперпользователя, исследователь подключился и проанализировал данные, отправляемые тестом приложению.
2. Это позволило ему определить, каким образом отправляются результаты и как проверяется их подлинность.
3. Затем эксперт написал два скрипта, которые смогли успешно изменить отрицательный результат теста на положительный.
4. Когда исследователь получил от Ellume электронное письмо с результатом, в нем было сказано, что он болен коронавирусом.

Новые уязвимости в механизме хендовер (handover), лежащем в основе современных сотовых сетей могут быть использованы для запуска атак типа «отказ в обслуживании» (DoS) и «человек посередине» (MitM) с помощью недорогого оборудования.

Хендовер, также известный как хендофф — процесс передачи обслуживания абонента во время вызова или сессии передачи данных от одной базовой станции к другой. Процесс происходит следующим образом: устройство пользователя отправляет сети данные о мощности сигнала с целью установить, нужен ли хендовер, и если нужен, инициирует переключение при обнаружении более подходящей базовой станции.

Хотя отчеты о мощности сигнала защищены шифрованием, их содержимое не проверяется, поэтому злоумышленник может заставить устройство подключиться к подконтрольной ему базовой станции. Особенность такого вектора атаки заключается в том, что базовая станция не может обрабатывать некорректные значения в отчётах об уровне сигнала, поэтому злонамеренный хэндовер не будет распознаваться.

В случае успешной эксплуатации уязвимостей злоумышленник сможет просматривать, модифицировать и перенаправлять сообщения, которыми обмениваются устройство жертвы и сеть.

В общей сложности выявлено шесть уязвимостей в хендовере:

• Небезопасные широковещательные сообщения (MIB, SIB);
• Непроверенные отчеты об измерениях мощности сигнала;
• Отсутствие перекрестной проверки на этапе подготовки;
• Инициация канала произвольного доступа (Random-access, RACH) без верификации;
• Отсутствие механизма восстановления;
• Сложность отличить сбои сети от атак.

В интернет-шлюзах Airangel HSMX, используемых в сотнях отелей по всему миру, выявлены уязвимости, позволяющие скомпрометировать данные постояльцев. Производитель получил уведомление, но патчи выпускать не планирует, поскольку срок поддержки продукта истек.

Платформа HSMX содержит пять уязвимостей, в том числе вшитые в код слабые пароли, открывающие доступ к настройкам и базе данных с записями об использовании гостевой сети Wi-Fi. Удаленный злоумышленник может использовать эту возможность для перенаправления пользователей на вредоносные страницы или массовой кражи ПДн.

В ноутбука Lenovo ThinkPad и Yoga обнаружены уязвимости в службе ImControllerService, которые позволяют злоумышленникам повысить привилегии и выполнять команды с правами администратора.

Уязвимости имеют идентификаторы CVE-2021-3922 и CVE-2021-3969 и влияют на компонент ImControllerService во всех версиях Lenovo System Interface Foundation ниже 1.1.20.3. В Windows эта служба отображается как System Interface Foundation Service.

Первая уязвимость — это проблема гонки между злоумышленником и родительским процессом, подключающимся к именованному каналу дочернего процесса. Злоумышленник, использующий процедуры синхронизации файловой системы, может гарантировано выиграть гонку за подключение к именованному каналу у родительского процесса.

Второй баг представляет собой уязвимость time-of-check к time-of-use (TOCTOU), которая позволяет злоумышленнику остановить процесс загрузки проверенного плагина ImControllerService и подменить его библиотекой DLL по своему выбору, что приводит к повышению привилегий.

Инциденты

Основатель компании SEO Scout, предлагающей инструменты для SEO, Джонни Платт стал жертвой майнеров, из-за действий которых ему выставлен счёт на 45 тыс. долларов США.

Преступники взломали учётную запись Платта в Amazon Web Services (AWS) и в течение нескольких недель майнили от его имени криптовалюту Monero.

Сам взлом оказался весьма тривиальным: злоумышленники запустили скрипт для майнинга на AWS Lambda, который каждые три минуты устанавливал себя на разных установках Lambda и майнил криптовалюту в течение 15 минут (максимальный промежуток времени, разрешенный Lambda). Всего злоумышленникам удалось сгенерировать лишь шесть монет Monero общей стоимостью около 800 долларов США.