Обзор новостей информационной безопасности с 22 по 28 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакерская группировка Sticky Werewolf предприняла повторную попытку атаковать российскую фармацевтическую компанию.

Действия преступников

1. Злоумышленники отправили жертве фишинговое письмо от имени Министерства по чрезвычайным ситуациям РФ.

2. В письме говорилось о якобы вступившем в силу новом приказе ведомства, с просьбой проинструктировать сотрудников о порядке действий.

3. Письмо было отправлено с бесплатного почтового сервиса, а фамилия в адресе не совпадала с подписью исполнителя.

4. Злоумышленники планировали использовать вредоносную программу Darktrack RAT, позволяющую получить удаленный доступ к системе жертвы.

В новой фишинговой кампании киберпреступники используют документы Microsoft Word в качестве приманки, чтобы загрузить на устройство жертвы новый бэкдор, написанный на языке Nim.

Схема кампании

1. Злоумышленники рассылают фишинговые письма, к которым прикреплён документ Word.

2. При открытии этого файла пользователя просят включить макросы, с помощью которых в систему и просачивается Nim-вредонос.

3. После запуска бэкдор перебирает список запущенных процессов, пытаясь найти инструменты анализа. Если ему это удаётся, программа сразу завершает собственный процесс.

4. Если «всё чисто», зловред устанавливает соединение с сервером управления и ждёт инструкций.

Мобильная безопасность

Новый вредоносный бэкдор для Android, получивший название Xamalicious, разработан на основе открытой мобильной платформы Xamarin и использует разрешения доступа в операционной системе для достижения своих целей.

Xamalicious собирает метаданные о системе и связывается с командным сервером для получения вторичной вредоносной нагрузки. Программа проверяет, подходит ли устройство злоумышленникам для их мошеннических операций. Второй вредоносный модуль внедряется незаметно в виде DLL-библиотеки и позволяет хакерам получить полный доступ и контроль над зараженным смартфоном.

После захвата контроля бэкдор может тайно выполнять различные мошеннические действия: имитировать клики по рекламе, устанавливать приложения без ведома пользователя, собирать конфиденциальные данные и другие команды, позволяющие получать незаконную прибыль.

Специалисты выявили 25 приложений с активной угрозой Xamalicious. Некоторые из них распространялись через официальный магазин Google Play с середины 2020 года и были установлены более 327 000 раз. Среди зараженных программ есть как популярные приложения для гороскопов и гаданий, так и утилиты для настройки звука, калькуляторы, счетчики шагов и другие повседневные инструменты.

Для сокрытия своей активности преступники тщательно шифруют всю связь между зараженным устройством и командным сервером. Помимо HTTPS-шифрования, используется JSON Web Encryption с алгоритмом RSA-OAEP.

Инциденты

Немецкая сеть больниц Katholische Hospitalvereinigung Ostwestfalen (KHO) была атакована вымогателями Lockbit.

Согласно заявлению больниц, неизвестные лица получили доступ к их IT-инфраструктуре и зашифровали данные. Предварительный анализ показал, что это была кибератака с использованием программы-вымогателя Lockbit 3.0. Время восстановления систем пока неизвестно.

Сразу после обнаружения атаки все системы были отключены. Ведётся расследование, и ещё не установлено полный объем ущерба и были ли похищены данные.

Кибератакой были затронуты три больницы, входящие в сеть KHO. Лечение пациентов продолжается в обычном режиме, однако услуги скорой помощи в этих трёх больницах временно недоступны.

Хакеры, взломавшие сеть медучреждений Integris Health в Оклахоме, требуют выкуп с пациентов, данные которых они похитили.

В электронных письмах, отправленных пациентам 24 декабря, хакеры утверждают, что они украли личные данные более 2 млн пациентов Integris Health: номера социального страхования, даты рождения, адреса, номера телефонов, информацию о страховании и информацию о работодателе.

В письмах также содержится ссылка на сайт Tor, где перечислены украденные данные около 4 674 000 человек, включая их имена, номера социального страхования, даты рождения и информацию о посещениях больниц.

Tor-сайт содержит данные, добавленные в период с 19 октября по 24 декабря 2023 года. Сайт предлагает посетителям заплатить 50 долларов США за удаление записи данных или 3 доллара США за просмотр.

«Мы связались с Integris Health, но они отказываются решать проблему», — говорится в электронном письме пациентам. «Мы даем вам возможность удалить ваши личные данные из наших баз данных до того, как мы продадим всю базу данных брокерам данных 5 января 2024 года».

Пока не установлено, кто стоит за атакой на Integris Health, однако аналогичные электронные письма были отправлены пациентам Онкологического центра Фреда Хатчинсона (Fred Hutch) после того, как группа вымогателей Hunters International взломала системы больницы.

Кибератака нарушила работу информационных систем лотереи штата Огайо. Злоумышленники проникли в корпоративную сеть и зашифровали данные.

Несмотря на инцидент, игровая система и прием ставок в розничных точках функционируют в прежнем режиме. Однако работу мобильного приложения для получения выигрышей и выплату призов свыше 599 долларов США пришлось остановить. На сайте и в приложении временно недоступна информация о результатах популярных лотерей KENO, Lucky One и EZPLAY Progressive Jackpots.

Ответственность за атаку взяла на себя хакерская группировка DragonForce. Злоумышленники утверждают, что похитили конфиденциальные данные клиентов и сотрудников, в сообщении на своем сайте утечек:

«Более 3 000 000 записей, включающих имена, фамилии, адреса электронной почты, адреса проживания, суммы выигрышей! Номера социального страхования и даты рождения игроков и персонала. [..] Общий объем украденных данных после распаковки составит порядка 600+ гигабайт».

Хакеры взломали EasyPark Group, европейского оператора приложений для удаленной оплаты парковки. В список сервисов компании входят приложения RingGo и ParkMobile.

Злоумышленники получили доступ к архивам RingGo с именами, номерами телефонов, домашними адресами, адресами электронной почты и частично данными кредитных карт. По словам представителей EasyPark Group, похищенные фрагменты номеров карт не могут быть использованы для совершения платежей и кражи денег, однако есть риск фишинговых атак.

Компания, незамедлительно проинформировала о случившемся регулирующие органы ЕС, Великобритании, Швеции и Швейцарии. Отмечается, что американское приложение ParkMobile с 50 миллионами клиентов не пострадало. Проблемы возникли лишь у некоторых сервисов RingGo, интегрированных с технологиями EasyPark.

Компания не раскрыла точное количество жертв, однако известно, что большинство из них находятся в Европе.

Пока хакеры не предъявляли требований о выкупе. Также нет подтверждений того, что украденная информация использовалась в мошеннических кампаниях или была выложена в открытом доступе.

Французская компания Ubisoft, специализирующаяся на разработке и издании игр, расследует сообщения о возможной атаке из-за появившихся в сети скриншотов внутреннего софта компании и инструментов для разработчиков.

Эксперты сообщили, что неназванный злоумышленник якобы взломал Ubisoft 20 декабря 2023 года, планировал похитить у компании около 900 ГБ данных и данные пользователей Rainbow 6 Siege, однако лишился доступа раньше. Всё, что он успел — получить доступ к серверу SharePoint, Microsoft Teams, Confluence и панели MongoDB Atlas и поделиться скриншотами из перечисленных сервисов.

Обзор новостей информационной безопасности с 15 по 21 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новых атаках шпионской группы Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию эксплуатируются темы поддержки участников СВО и воинский учёт.

Схема действий преступников

1. Жертвы получают персонализированное письмо с вложением. В одном варианте злоумышленники от имени представителей «Московской городской организации Общероссийского профессионального союза работников государственных учреждений» предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные — их можно найти в свободном доступе.

2. В другой рассылке хакеры представлялись «Ассоциацией Учебных Центров» и использовали актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

3. В письмах содержатся вложения-приманки.

4. Если пользователь открывает документ-приманку из вложения электронного письма, происходит загрузка удаленного шаблона. Загружаемый по ссылке шаблон представляет собой RTF-файл, содержащим эксплойт уязвимости CVE-2017-11882.

5. В результате эксплуатации уязвимости происходит запуск шелл-кода, предназначенного для загрузки HTA-файла по ссылке и его последующего выполнения. Впоследствии в системе создается ряд VBS-скриптов, и следующая стадия атаки так же представляет собой VBS-код.

Обнаружена глобальная фишинговая кампания, нацеленная на сотрудников гостиниц по всему миру.

Схема действий преступников

1. Злоумышленники рассылают вредоносные письма от имени клиентов, якобы столкнувшихся с проблемами во время проживания. Это могут быть самые разнообразные жалобы — от подозрений в отравлении до обвинений в невнимательном отношении к людям с ограниченными возможностями.

2. Киберпреступники тщательно продумывают легенды, чтобы вызвать сочувствие у сотрудников и заручиться их доверием. Например, были обнаружены письма якобы от имени человека, который оставил в номере фотоаппарат с фотографиями умершего родственника.

3. Как только представитель отеля реагируют на такое сообщение, запрашивая дополнительные подробности, мошенники отвечают новым письмом. В нём содержатся ссылки на документы, подтверждающие их жалобу — договоры, чеки, медицинские заключения и т. д.

4. Ссылки ведут на облачные хранилища вроде Google Диска, Mega или Dropbox. В заархивированных файлах скрывается вредоносное ПО. В тексте письма также указывается пароль для доступа к этим архивам.

5. В архиве содержится исполняемый файл с именем типа «all the necessary information.scr». При его запуске на компьютер будет установлен RedLine Stealer или Vidar Stealer — шпионский софт, который собирает и отправляет пароли жертвы злоумышленнику.

Организаторы кампании по распространению загрузчика вредоносного ПО PikaBot отказались от фишинга в пользу рекламной кампании Google Ads, нацеленной на пользователей, ищущих в интернете программу AnyDesk.

Схема действий преступников

1. В качестве нового вектора атаки злоумышленники используют мошенническую рекламу AnyDesk в Google для AnyDesk, перенаправляющую жертв на поддельный сайт anadesky.ovmv[.]net.

2. С этого сайта загружается вредоносный установщик MSI, размещенный в Dropbox. Интересно, что перенаправление происходит только после анализа запроса (fingerprinting the request) и в случае, если он не исходит из виртуальной машины.

3. Злоумышленники обходят системы безопасности Google, используя отслеживающие URL через легитимные маркетинговые платформы, и перенаправляют на свои домены за Cloudflare. При этом на следующий этап переходят только запросы с «чистыми» IP-адресами.

4. Дополнительный этап анализа происходит при нажатии на кнопку загрузки на поддельном сайте, что, по-видимому, является попыткой убедиться, что доступ к сайту в виртуализированной среде закрыт.

Инциденты

Компания Comcast Cable Communications, крупный поставщик услуг кабельного телевидения и интернета, работающий под брендом Xfinity, сообщила, что злоумышленники взломали один из ее серверов Citrix с помощью уязвимости Citrix Bleed и похитили конфиденциальную информацию.

Администраторы Xfinity не установили исправления для критической ошибки Citrix Bleed. 25 октября, примерно через две недели после того, как Citrix выпустила патчи для Citrix Bleed, телекоммуникационная компания обнаружила признаки вредоносной активности в своей сети, произошедшей в период с 16 по 19 октября.

Расследование инцидента показало, что злоумышленники украли из систем компании данные 35 879 455 человек. В украденной информации содержались имена пользователей и хешированные пароли. Для некоторых клиентов также могли быть скомпрометированы имена, контактная информация, последние четыре цифры номеров социального страхования, даты рождения, секретные вопросы и ответы на них.

Вымогатели Rhysida опубликовали более 1,3 млн файлов с информацией студии Insomniac Games, принадлежащей Sony.

По словам злоумышленников, им удалось заполучить «эксклюзивные, уникальные и впечатляющие данные». Файлы общим объемом 1,67 Тб содержат финансовые документы, личные данные сотрудников, в том числе топ-менеджеров, а также материалы по разработке — скриншоты, концепт-арты, бюджетные планы.

Среди скомпрометированных сведений есть секретные материалы игр по вселенной Marvel: Spider-Man 3, Venom и X-Men. Сумма контракта Insomniac и Marvel на разработку игр по «Людям Икс» до 2035 года составляет 621 миллион долларов.

Хакеры выставили похищенные данные на теневом аукционе за 50 биткоинов (около 2 млн долларов США). Однако Sony проигнорировала требования и не стала платить выкуп.

В результате кибератаки на американский медицинский центр «Neurosurgical Associates of New Jersey» злоумышленник получил доступ к электронной почте одного из сотрудников компании, а затем похитил конфиденциальные данные пациентов.

Точное количество жертв неизвестно. По оценкам экспертов, оно исчисляется тысячами, поскольку медицинский центр управляет 11 клиниками по всему штату Нью Джерси.

Похищенная информация включает имена, адреса, номера социального страхования, номера полисов медицинского страхования, номера медицинских карт, номера учётных записей пациентов, медицинскую историю, а также полную информацию о лечении.

Сообщается, что 4 октября 2023 года, за 2 месяца до публичного раскрытия инцидента, компания обнаружила подозрительную активность в корпоративном электронном аккаунте. В ответ на это были предприняты меры по обеспечению безопасности системы и начато расследование в сотрудничестве со сторонними специалистами кибербезопасности.

Американская корпорация VF Corp, владелец брендов The North Face, Vans, Dickies и Timberland, стала жертвой кибератаки. Злоумышленники проникли в IT-инфраструктуру компании, зашифровали часть систем и похитили конфиденциальные данные, включая персональную информацию сотрудников и клиентов.

Розничные магазины VF Corp продолжают работать, однако пострадали офисные системы и инфраструктура электронной коммерции. Это серьезно нарушило бизнес-процессы и возможности компании выполнять заказы. По оценкам экспертов, финансовый ущерб может составить сотни миллионов долларов.

Пока неизвестно, какие именно данные были похищены и связан ли инцидент с активностью вымогательского ПО. Однако эксперты все же полагают, что позже злоумышленники заявят о себе и выдвинут требования.

Исследователи считают, что атака на VF Corp может стать одной из крупнейших в американской бизнес-сфере в 2023 году. Инцидент сравнили с киберинцидентами Clorox и MGM Resorts, ущерб от которых оценивается в сотни млн долларов США.

Кибератака нарушила работу почти 70% автозаправочных станций Ирана.

Возникновение неполадок на АЗС было вызвано «проблемой с программным обеспечением», и привело к образованию длинных очередей из автомобилей и возмущенных жителей. В Министерстве нефтяной промышленности Ирана заявили, что более 30% АЗС по-прежнему функционируют. В стране насчитывается около 33 тысяч заправочных станций.

Израильские СМИ связывают проблему с атакой хакерской группы Gonjeshke Darande (Predatory Sparrow,), которая предположительно связана с Израилем. Группа утверждает, что кибератака является ответом на «агрессию Исламской Республики».

Хакеры опубликовали скриншоты систем АЗС и указали, к чему они получили доступ:

• Индивидуальная информация об АЗС;
• Детали платежной системы;
• Система управления АЗС с центрального сервера каждой станции.

MongoDB уведомила клиентов, что на прошлой неделе ее корпоративные системы были взломаны, в результате чего данные клиентов были раскрыты и могли попасть в руки злоумышленников.

В письмах, разосланных клиентам MongoDB от имени CISO компании Лены Смарт (Lena Smart), говорится:

«MongoDB расследует инцидент безопасности, связанный с несанкционированным доступом к определенным корпоративным системам. Инцидент связан с раскрытием метаданных учетных записей и контактной информации клиентов. На данный момент нам не известно о каком-либо воздействии на данные, которые клиенты хранят в MongoDB Atlas.

Хотя в компании уверены, что атакующие не получили доступ к данным клиентов, хакеры могли сохранять доступ к взломанным системам на протяжении некоторого времени до обнаружения атаки.

В распоряжении злоумышленников могли оказаться следующие данные: имена клиентов, номера телефонов, адреса электронной почты, другие метаданные клиентских учетных записей, включая системные журналы как минимум для одного клиента.

Обзор новостей информационной безопасности с 8 по 14 декабря 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Мошенники рассылают компаниям счета за доставку несуществующих отправлений.

Схема действий преступников:

1. Мошенники регистрируют компанию или ИП.

2. Используя публичные базы адресов, рассылают счета за доставку.

3. Злоумышленники рассчитывают, что даже если счёт попадёт к сотруднику, не имеющему отношения к платежам, он перешлёт его в бухгалтерию.

4. В предпраздничный период сотрудники бухгалтерии перегружены работой, и в суете могут оплатить счёт, который переслал коллега, поскольку доверие к нему выше.

5. Чтобы не вызывать подозрений и повысить вероятность оплаты, счета выставляются на небольшие суммы.

6. Примечательная особенность схемы — крайне малая вероятность получить наказание. С юридической точки зрения оплаченная, но не оказанная услуга — это нарушение. Однако сумма ущерба настолько невелика, вряд ли компании будут тратить время на взыскание денег через суд.

Обнаружена новая фишинговая кампания, в которой под видом обновления Adobe Flash Player массово распространяется вредонос MrAnon Stealer.

MrAnon Stealer крадёт учётные данные, системную информацию, перехватывает браузерные сессии и данные из расширений для криптовалют.

Схема кампании

1. Преступники рассылают фишинговые письма, замаскированные под запросы о бронировании гостиничных номеров.

2. Вложенный в письмо PDF-файл при открытии предлагает получателю скачать якобы обновлённую версию Flash Player, что весьма забавно, так как поддержка этого ПО уже несколько лет официально прекращена самой компанией Adobe.

3. Если жертва соглашается, на компьютер скачивается и запускается несколько .NET-исполняемых файлов и PowerShell-скриптов, которые в итоге и запускают MrAnon Stealer, собирающий данные из различных приложений и передающий их злоумышленникам.

4. Вредоносное ПО умеет перехватывать информацию из мессенджеров, VPN-клиентов и выгружать файлы с определёнными расширениями.

5. Автор инфостилера открыто распространяет его на киберпреступных форумах за 500 долларов США в месяц.

Вредоносная кампания изначально распространяла вредонос Cstealer в июле и августе, но затем перешла к распространению MrAnon Stealer в октябре и ноябре. Тем не менее, канал распространения вредоносов остаётся неизменным — фишинговые электронные письма.

Инциденты

Личные данные пользователей девяти криптовалютных бирж находились в общем доступе более двух месяцев. Инцидент затронул более 500 000 клиентов.

Утечка произошла на следующих платформах:

• Sova[.]gg,
• coinstart[.]cc,
• pocket-exchange[.]com,
• onemoment[.]cc,
• cripta[.]cc,
• metka[.]cc,
• alt-coin[.]cc,
• ferma[.]cc,
• in-to[.]cc.

Собранные данные содержали следующую информацию:

• полные имена пользователей;
• номера банковских карт;
• email-адреса;
• IP-адреса;
• суммы для запросов на оплату или снятие средств;
• различные данные для аутентификации (например, user agent).

Всего утечка раскрыла более 615 000 запросов на платежи и более 28 000 запросов на вывод средств.

Вымогатели Rhysida взломали компанию Insomniac Games, разработчика популярных игр о Человеке-Пауке.

В результате взлома были получены некоторые подробности о новой игры про Росомаху, поскольку в опубликованных данных присутствует аннотированные скриншоты и изображения других персонажей, которые, вероятно, появятся в игре.

Злоумышленники также выложили в публичный доступ сканы паспортов сотрудников Insomniac Games, включая одного бывшего работника, который ушел в Disney после сокращения два месяца назад. Еще один личный документ принадлежит Юрию Лоуэнтала, актеру, озвучивающего Питера Паркера в играх про Человека-паука.

В качестве подтверждения взлома группировка представила также внутренние электронные письма и подписанные конфиденциальные документы Insomniac Games.

Rhysida установила срок в семь дней до публикации полного комплекта данных, одновременно запустив аукцион по продаже украденной информации. Начальная цена лота составляет 50 биткоинов, или более 2 млн долларов США.

На одном из теневых форумов продают базу данных клиентов интернет-магазина известного боксерского/бойцовского бренда «Everlast».

В базе около 400 тыс. строк, содержащих имена, телефоны, адреса эл. почты, адреса доставки и т. п.

Проверка случайных адресов эл. почты из предоставленного продавцом образца данных через функцию создания нового пользователя на сайте everlast.com показала, что они действительно содержатся в базе интернет-магазина.

Вымогательская кибератака на сеть клиник Norton Healthcare привела к утечке данных 2,5 млн человек.

В разосланном пострадавшим письме клиника сообщила, что хакеры имели доступ к «определённым сетевым устройствам хранения данных в период с 7 по 9 мая», но не имели доступа к системе медицинской документации Norton Healthcare.

Тем не менее, злоумышленники получили доступ к личным данным нынешних и бывших пациентов, сотрудников, а также их иждивенцев и льготополучателей. Среди похищенных данных оказались имена, контактная информация, даты рождения, номера социального страхования, медицинская информация, данные о страховках и медицинские идентификационные номера.

Кроме того, были украдены номера водительских прав или других государственных удостоверений личности, номера финансовых счетов и цифровые подписи.

Toyota Financial Services (TFS), дочерняя компания Toyota Motor Corporation, предупредила клиентов об утечке данных и сообщила, что в результате ноябрьской атаки группировки Medusa оказалась раскрыта конфиденциальная и финансовая информация.

Об атаке на компанию стало известно в начале ноября, когда TFS обнаружила несанкционированный доступ к своим системам в Европе и Африке. Тогда вымогатели Medusa опубликовали заявление о взломе TFS на своем «сайте утечек» в даркнете и потребовали 8 млн долларов США за удаление украденных данных. На принятие решения TFS дали 10 дней с возможностью продления срока за 10 000 долларов США в день.

Переговоры компании и вымогателей не увенчались успехом, так как в настоящее время все данные TFS опубликованы на сайте вымогателей Medusa в даркнете.

Одним из пострадавших в этой атаке подразделений стал Toyota Kreditbank GmbH в Германии, который признал, что хакеры получили доступ к личным данным клиентов.

Немецкое новостное издание Heise получило образец уведомления, разосланного немецким клиентам Toyota. В документе сообщается, что в руки злоумышленников попали следующие данные: полное имя; адрес проживания; информация о контракте; детали лизинга и покупки; IBAN (International Bank Account Number).

Неизвестные хакеры атаковали частную насосную станцию Binghamstown/Drum в ирландском графстве Майо, оставив без воды 180 домов.

Один из руководителей компании рассказал, что обычно они получают автоматические оповещения о технических неполадках, однако на этот раз предупреждений не было. Когда сторож прибыл на место, он обнаружил на экране системы управления предупреждающую надпись «Вы были взломаны». Рядом отображался лозунг — «Долой Израиль», указывающий на политические мотивы атаки, и название группировки.

Связь с Израилем объясняется тем фактом, что оборудование для этой системы водоснабжения было произведено израильской компанией Eurotronics. Системы этого производителя используются во многих районах Ирландии.