Андрей Жаркевич
редактор


Артемий Богданов
технический директор

О чем речь

1. В библиотеке Apache log4j обнаружена критическая уязвимость CVE-2021-44228, которой присвоен максимальный уровень опасности — 10 из 10 баллов по шкале CVSS.
2. Ее эксплуатация не требует выдающихся технических навыков и укладывается в одну строчку кода.
3. Выпущенное Apache Software Foundation экстренное обновление безопасности не исправило ситуацию.
4. CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java.
5. Тысячи компаний остаются уязвимы для атак Log4Shell прямо сейчас.

Как исключить влияние этой и аналогичных уязвимостей

— Это же 0-day уязвимость, что можно сделать заранее?
— А вот что:

Software Composition Analysis — это класс решений, позволяющий оценивать риски, связанные с использованием стороннего и открытого программного обеспечения в ваших проектах. На момент применения данной практики ни о какой уязвимости в log4j не было известно, но при правильной реализации процесса компонентного анализа можно быстро выявить все ПО, имеющее уязвимые сторонние компоненты.

Для всего разрабатываемого в компании ПО должны применяться AppSec практики, а для этого лучше всего подходят решения Application security requirements and threat management (ASRTM):

1. С помощью ASRTM заранее формируются требования о необходимости подключения к инструменту компонентного анализа или другим актуальным инструментам и практикам для контроля компонентов.
2. После получения информации об уязвимости можно быстро описать шаги для устранения данной уязвимости и за одну минуту сформировать это как новое требование для всех команд, которые разрабатывают ПО с использованием log4j.
3. Далее автоматически сформируется задача в Jira с наивысшим приоритетом для каждой команды разработки.

Продукт Антифишинг. START относится к решениям ASRTM и позволяет не только управлять требованиями по ИБ, но и обучать ваши команды безопасной разработке.

Напишите нам на devsecops@antiphish.ru, мы поможем разобраться в основах AppSec практик и покажем, как наши продукты способствуют организации процессов безопасной разработки.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая фишинговая кампания, нацеленная на немецких пользователей электронного банкинга, использует QR-коды для получения учетных данных.

Особенности кампании:

1. Фишинговые письма преступников тщательно продуманы, содержат логотипы банков, структурированный контент и, как правило, хорошо написаны.

2. Темы таких посланий различаются: пользователя могут просить дать согласие на изменившуюся политику обработки данных, или прикрываться запросом на пересмотр процедур безопасности.

3. При нажатии встроенной в письмо кнопки жертва попадает на фишинговый сайт, пройдя через службу feed-прокси Google FeedBurner. Также для этих перенаправлений хакеры регистрируют и собственные домены. Исследователи говорят, что этот дополнительный шаг направлен на обман защитных решений, чтобы те не замечали переходов по подозрительным ссылкам и самих ссылок. Как правило, такие домены недавно зарегистрированы на REG.RU и имеют стандартную структуру URL (в зависимости от целевого банка).

4. В последних фишинговых кампаниях злоумышленники стали использовать для перенаправления жертв на фишинговые сайты QR-коды вместо встроенных кнопок. Такие письма не содержат URL-адресов в виде открытого текста, что дополнительно затрудняет их обнаружение. Эксперты считают, что QR-коды более эффективны, поскольку нацелены на мобильных пользователей, которые с меньшей вероятностью защищены антивирусным ПО.

5. На фишинговом сайте мошенников пользователю предлагается сообщить местонахождение банка, код, имя пользователя и PIN-код.

6. Затем жертва какое-то время ожидает проверки, но вскоре ей предлагается ввести свои учетные данные снова, так как якобы в первый раз что-то пошло не так. Такое повторение является распространенной среди злоумышленников тактикой, и используется для выявления опечаток, которые пользователь мог допустить, вводя учетные данные в первый раз.

Авторы новой фишинговой кампании вредоносного ПО Agent Tesla рассылают корейским пользователям электронные письма, якобы содержащие подробности «заказа».

Особенности кампании:

• Письма содержат вредоносные документы Microsoft PowerPoint.
• При открытии файл не представляет никаких слайдов, а вместо этого запускает автоматическую функцию VBA для выполнения HTML-ресурса на удаленном сайте.
• После выполнения экранированного кода VBScript киберпреступник может использовать ряд скриптов, включая PowerShell, для незаметной установки Agent Tesla.

В презентации имеются следующие скрипты:

• VBScript-embedded-in-HTML — обновляет вредоносное ПО каждые два часа (если возможно), добавляя команду командной строки в планировщик задач.
• Автономный файл VBS — загружает новый VBS-файл в кодировке base64 и добавляет его в папку автозагрузки для обеспечения персистентности.
• Второй автономный файл VBS — загружает Agent Tesla и создает PowerShell-код.
• PowerShell-код — выполняется для вызова новой функции ClassLibrary3.Class1.Run (), которая выполняет очистку процесса, передавая полезную нагрузку Agent Tesla в памяти.

Вредоносная программа внедряется в легитимный исполняемый файл Microsoft .NET RegAsm.exe с помощью четырех функций Windows API. После этого Agent Tesla может работать на зараженной системе без отдельных файлов, поэтому шансы быть обнаруженными значительно снижаются.

Agent Tesla обладает функциями кейлоггера, может делать снимки экрана, способен похищать cookie-файлы браузера и сохраненные учетные данные, а также данные буфера обмена. Злоумышленник может выбрать, какие функции включить во время компиляции полезной нагрузки, тем самым выбирая между балансом мощности и скрытности.

В общей сложности Agent Tesla может получать данные из более чем 70 приложений. Отправку собранных данных, вредоносная программа может выполнить четырьмя способами: по протоколам HTTP, FTP, SMTP и через Telegram.

Как сообщает аудиторская компания PwC, атака на Национальную службу здравоохранения Ирландии (Health Service Executive, HSE), парализовавшая системы HSE в мае, началась с открытия одним-единственным сотрудником вредоносного файла в фишинговом письме.

Из-за кибератаки с использованием вымогательского ПО Conti Национальная служба здравоохранения Ирландии (Health Service Executive, HSE) была вынуждена временно отключить свои IT-системы. В результате инцидента в Сеть утекли медицинские и персональные данные пациентов ирландских медучреждений.

По подсчетам главы Управления по охране труда Великобритании Пола Рида (Paul Reid), кибератака может обойтись правительству в 100 млн евро. И все это потому, что один из сотрудников открыл пришедшее ему на электронную почту спам-письмо.

«Заражение вредоносным ПО стало результатом открытия пользователем рабочей станции, ставшей нулевым пациентом, вредоносного файла Microsoft Excel, прикрепленного к фишинговому письму, отправленному 16 марта 2021 года», — говорится в отчете.

Мобильная безопасность

Новая версия Android-банкера Anubis нацелена на пользователей 394 приложений, включая продукты финансовых учреждений, криптовалютные кошельки и виртуальные платежные платформы.

Anubis проверяет, включена ли на взломанном устройстве функция Google Play Protected, после чего отправляет поддельное системное предупреждение, чтобы обманом заставить пользователя отключить ее. Это дает трояну полный доступ к устройству и свободу отправлять и получать данные с управляющего сервера без каких-либо помех.

Возможности вредоноса:

• запись активности экрана и звука с микрофона;
• внедрение прокси-сервера SOCKS5 для скрытой связи и доставки пакетов;
• сохранение скриншотов;
• массовая рассылка SMS-сообщений с устройства указанным получателям;
• извлечение контактов, хранящихся на устройстве;
• отправка, чтение, удаление и блокировка уведомлений для SMS-сообщений, полученных устройством;
• сканирование устройства в поисках интересующих хакеров файлов для кражи;
• блокировка экрана устройства и отображение требования выкупа;
• отправка запросов USSD, чтобы узнать о состоянии счетов;
• сбор данных GPS и статистики шагомера;
• внедрение кейлоггера для кражи учетных данных;
• мониторинг активных приложений выполнения оверлейных атак;
• прекращение работы других вредоносных программ и удаление конкурирующей малвари с устройства.

Атаки и уязвимости

Разработана атака, которая позволяет с помощью измененных данных обмануть искусственный интеллект, проверяющий медицинские изображения на наличие признаков рака. Подделку не смогли выявить ни рентгенологи, ни инструмент на базе ИИ.

С помощью специальной компьютерной программы эксперты изменяли рентгеновские снимки груди, которые изначально не имели признаков рака, и превращали их в злокачественные, а снимки со злокачественными признаками превращали в нормальные. Далее эксперты проверили измененные изображения с помощью алгоритмов на базе ИИ, обученных выявлять признаки рака груди, а также предложили проанализировать снимки пятерым радиологам.

Около 70% обработанных изображений обманули ИИ, который в результате ошибочно определял здоровые и злокачественные снимки. Рентгенологи распознавали подделку с точностью от 29% до 71%.

Реальных случаев подобной компрометации рентгеновских снимков пока не зафиксировано. Однако технологию вполне могут использовать для атак на политиков или известных людей. Также технологией могут воспользоваться мошенники, чтобы подделать собственные снимки и получить страховку. Хакеры могут умышленно подделывать изображения и требовать выкуп у больницы за прекращение атак.

Обнаружена уязвимость в комбинированных Wi-Fi/Bluetooth-чипах, с помощью которой можно похищать пароли и управлять трафиком на микросхеме Wi-Fi.

Современные бытовые электронные устройства, такие как смартфоны, оснащены системой на кристалле (System-on-Chip, SoC) с отдельными компонентами Bluetooth, Wi-Fi и LTE, каждый из которых имеет собственную реализацию безопасности. Эти компоненты часто используют одни и те же ресурсы, такие как антенна или беспроводной спектр. Но именно такие общие ресурсы можно использовать в качестве мостов для осуществления атак повышения привилегий через границы беспроводных чипов.

Используя уязвимость, эксперты смогли вызвать состояние отказа в обслуживании устройства по воздуху (Over the Air, OTA), выполнить код, похитить сетевые пароли и конфиденциальные данные с наборов микросхем от Broadcom, Cypress и Silicon Labs.

Некоторые из выявленных проблем можно исправить только новой версией оборудования, поэтому обновления прошивки не помогут.

Разработан новый способ взлома физически изолированных систем с помощью лазера без какого-либо дополнительного оборудования.

Новый вектор атаки получил название LaserShark и позволяет обходит физическую изоляцию на больших расстояниях, обеспечивая высокую скорость передачи данных. Направляя лазеры на встроенные светодиоды и записывая их реакцию, эксперты добились двунаправленного, быстрого и скрытого канала связи на расстоянии до 25 м. Этот подход можно использовать против любого офисного устройства, которое управляет светодиодами на интерфейсе GPIO процессора.

Экспертам удалось осуществить атаку с помощью легко доступных мобильных компонентов, использующих бытовую электроэнергию. Длина волны лазерного луча имеет решающее значение для успеха атаки и должна соответствовать диапазону поглощения целевого светодиода.

Инциденты

Один из крупнейших поставщиков природного газа Superior Plus стал жертвой кибератаки с использованием вымогательского ПО.

В компании сообщили, что «Superior временно отключил некоторые компьютерные системы и приложения, поскольку проводит расследование инцидента и работает над возвращением этих систем online». Также Superior «принял меры по усилению безопасности своих систем и снижению влияния на данные и операции».

Какое влияние оказал инцидент на операции, не установлено. Компания призывает клиентов проявить терпение, пока она устраняет последствия кибератаки. Согласно заявлению Superior, для этого были наняты специалисты сторонней ИБ-фирмы.

Хакерская группировка MoneyTaker похитила более 500 млн рублей с корсчёта российского банка в Центробанке.

Атака была совершена через автоматизированное рабочее место банка в Центробанке (АРМ КБР), причем началась она еще в июне 2020-го, предположительно, через физическое устройство, установленное в аффилированной сети. Получив доступ к сети банка, хакеры на протяжении полугода исследовали ее, после чего в январе 2021-го получили доступ к системе межбанковских переводов и украли цифровые ключи.

Производитель решений для управления персоналом Kronos стал жертвой кибератаки вымогательского ПО, которая вывела из строя его облачные продукты.

Компания сообщает, что в субботу 11 декабря 2021 года была обнаружена непривычная активность, затронувшая решения UKG, использующие Kronos Private Cloud. Были приняли меры по расследованию и устранению проблемы и установлено, что атаке вымогательского ПО подвергся Kronos Private Cloud — часть бизнеса, где развернуты UKG Workforce Central, UKG TeleStaff, Healthcare Extensions и Banking Scheduling Solutions.

Решения UKG, не зависящие от Kronos Private Cloud, в том числе UKG Pro, UKG Ready и UKG Dimensions, не пострадали. Организации, использующие для решений UKG собственный хостинг, также не были затронуты инцидентом.

В результате кибератаки вымогателя на сайты Министерства здравоохранения Бразилии миллионы граждан лишись доступа к данным о вакцинации от COVID-19.

Атака началась в пятницу, 10 декабря. Перестали работать все сайты бразильского Минздрава, в том числе ConecteSUS, отслеживающий траекторию граждан в системе общественного здравоохранения. Пользователи лишились доступа к своим цифровым сертификатам о вакцинации от COVID-19 через приложение ConecteSUS.

Ответственность за инцидент взяла на себя группировка Lapsus$ Group. Они заявили, что похитили у Минздрава 50 ТБ данных и удалили их.

«Свяжитесь с нами, если хотите вернуть данные», — сообщила группировка, оставив свои контактные данные на взломанных сайтах. Через несколько часов сообщение было удалено, но сайты оставались недоступными.

Шведский автопроизводитель Volvo подтвердил, что стал жертвой кибератаки, в результате которой были похищены данные о его исследованиях и разработках.

Компания признала факт утечки не сразу. Поначалу она описывала инцидент как «потенциальную кибератаку», хотя утекшие данные стали появляться в открытом доступе ещё 30 ноября: на даркнет-портале хакерской группировки Snatch в списке атакованных жертв появилась Volvo Cars.

Через пять дней в качестве доказательства взлома на портале были опубликованы образцы похищенных у компании файлов. В них помимо прочего содержался исходный код нескольких внутренних приложений Volvo и компонентов прошивки, написанных на языке программирования Python.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В социальной сети «ВКонтакте» появилась новая мошенническая схема, в которой аферисты используют страх людей перед вакцинацией.

Схема кампании

1. Мошенники публикуют фейковые новости о новом штамме коронавируса в комментариях к постам в группах-миллионниках.

2. В таких сообщениях утверждается, что этот штамм якобы опасен для вакцинированных и скоро «страна вымрет», например: «2 дня до глобальной катастрофы! Академик Роднин обнародовал страшные факты! Привитые погибнут первыми!»

3. Комментарий сопровождает ссылка на клон сайта Минздрава с фальшивым интервью главы ведомства Михаила Мурашко. В интервью утверждается, что новая волна пандемии якобы уничтожит до 80% страны и первыми жертвами станут люди, получившими вакцину.

4. Через несколько секунд жертву с лже-сайта Минздрава перенаправляют на мошеннический сайт с розыгрышем или получением «крупного денежного перевода».

5. Чтобы вывести средства, жертве нужно предоставить данные банковской карты.

Выявлено более 2600 подобных комментариев с «сенсационными» заявлениями экспертов и мошенническими ссылками. Мошенники знают, что страх и паника отлично продвигают любой, даже самый сомнительный контент, потому и используют подобную схему вымогательства.

Новая тактика мошенников: безопасные фишинговые письма и фальшивые колл-центры.

Киберпреступники разрабатывают всё новые способы для обхода систем защиты. Одна из свежих тактик состоит в том, чтобы рассылать совершенно безопасные фишинговые послания, заманивая пользователей в другие каналы коммуникации.

Схема кампании

1. Жертвы получают электронные письма, уведомляющие, что с них скоро начнет взиматься плата за некую подписку, пробный период которой истекает.
2. Для отмены подписки нужно позвонить по определенному номеру телефона.
3. Если жертва попадалась на уловку и звонила по указанному номеру, то она попадала к подставному оператору мошеннического колл-центра, который давал необходимые инструкции по загрузке файла Excel, якобы для отмены подписки.
4. После открытия файла и активации макроса на устройство загружалось вредоносное ПО BazaLoader.

Отличием данного метода является то, что фишинговые письма не имеют в себе вредоносного вложения или ссылок, которые пользователи могли бы посмотреть или открыть. Отсутствие типичных вредоносных атрибутов усложняет обнаружение таких писем средствами защиты, а пользователи не всегда знают о нетиповых приемах социальной инженерии.

Ещё одна серия вредоносных кампаний использует мошенническую рекламу, чтобы под видом популярных приложений заставить пользователей загрузить бэкдор и вредоносное расширение для браузера Google Chrome.

Схема кампании

1. Киберпреступники используют мошенническую рекламу, чтобы привлечь пользователей, которые ищут популярное программное обеспечение, например, Viber, WeChat и т. п. в поисковых системах.
2. Злоумышленники предоставляют им ссылки для загрузки якобы легитимных установщиков, на самом деле устанавливающих программу для кражи паролей RedLine Stealer, расширение Chrome под названием MagnatExtension для регистрации нажатий клавиш и снимков экрана, а также бэкдор на основе AutoIt для удаленного доступа к устройству.
3. MagnatExtension маскируется под легитимный сервис «Google Безопасный просмотр» и включает функции кражи данных форм, сбора cookie-файлов и выполнения произвольного JavaScript-кода.

Мошенники рассылают владельцам криптовалютных кошельков бесплатную криптовалюту и заманивают на фишинговые сайты, чтобы похитить криптовалюту из этих самых кошельков.

Мошенническая схема:

1. Жертве отправляются бесполезные токены, которые она не может не принять из-за особенности блокчейна. Бесплатная рассылка токенов или монет называется airdrop и часто используется разработчиками новых криптовалют для привлечения аудитории.
2. В названии полученных Shegenerates токенов содержалось доменное имя.
3. Сайт оказался фишинговым — запрашивал у пользователей разрешение на доступ к их криптовалютным кошелькам MetaMask.
4. Если жертва давала разрешение, мошенники выводили все средства из кошелька.

Авторы ещё одной киберкампании используют формы обратной связи на сайтах для распространения вредоносных ссылок.

Схема кампании:

1. Через контактные формы и мошеннических сообщений с предложением продать рекламное место, ознакомиться с деталями платежа или порядком получения подарочной карты.

2. Ссылка ведет на страницу загрузки, отдающую файл XLL — расширение для Excel, позволяющее создавать высокопроизводительные функции.

3. Эта DLL-библиотека содержит функцию xlAutoOpen, которую Microsoft Excel выполняет при активации XLL.

4. При выполнении этой функции на компьютер жертвы загружается вредоносное ПО RedLine, которое добавляется в автозапуск и начинает воровать информацию из браузеров, мессенджеров, FTP-, VPN- и почтовых клиентов.

При открытии файла Excel XLL на Windows-машину загружается троянская программа RedLine, предназначенная для кражи конфиденциальной информации из приложений.

Инциденты

Около 330 супермаркетов SPAR на севере Англии испытывают проблемы из-за кибератаки. В результате инцидента супермаркеты стали принимать только наличные, а некоторые и вовсе закрылись.

«Сбой в IT» затронул кассовые аппараты, системы обработки платежей кредитными картами и электронную почту.

Хотя инцидент имеет явные признаки вымогательской атаки, заблокировавшей критические IT-системы, никаких подробностей пока официально не раскрывается.

В результате вымогательской кибератаки электроэнергетическая компания Delta-Montrose Electric Association (DMEA) потеряла все данные за последние 25 лет.

Атака затронула все системы поддержки, инструменты обработки платежей, платформы биллинга и другие предоставляемые клиентам инструменты. Хакеры атаковали определенные сегменты внутренней сети и повредили документы, таблицы и формы.

Инцидент также затронул телефонные системы и электронную почту, но электростанции и волоконно-оптическая сеть не пострадали. Персональные данные клиентов или сотрудников DMEA скомпрометированы не были.

Умные устройства

Преступники используют Apple AirTag, чтобы «пометить» и отследить автомобиль для угона.

Преступники крепят AirTag к интересующему их автомобилю на общественной парковке, отслеживают его до дома, а затем угоняют прямиком с подъездной дорожки. Такой способ угона намного безопаснее, чем угонять машину с общественной парковки.

Отследив автомобиль до дома, угонщики вскрывают его с помощью отвертки, а затем через порт для диагностики перепрограммируют машину таким образом, чтобы ее можно было завести с помощью ключа зажигания, который преступники взяли с собой. После этого угонщики заводят автомобиль и скрываются из виду.