Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Операторы кибервымогателя LockBit 2.0 используют новую тактику для повышения эффективности атак: они вербует инсайдеров, которые должны помочь проникнуть в сеть организации и зашифровать её файлы.

За содействие в преступной схеме инсайдерам обещают вознаграждение в миллионы долларов.

Многие группировки, работающие по схеме «вымогатель как услуга», состоят из основной группы разработчиков, которые поддерживают программы-вымогатели и платежные сайты, а также привлечённых партнеров, которые взламывают сети жертв и шифруют устройства.

Выкуп, который платят жертвы делится между основной группой и привлечёнными партнёрами ,которые обычно получают 70-80% от всей суммы. Часто доступ к сетям компаний приобретается у сторонних пентестеров в рамках услуги «.доступ-как-сервис» (access-as-a-service).

Подсчитав затраты, операторы Lockbit 2.0 решили оптимизировать схему путём устранения посредников и получать доступ к корпоративным сетям «из первых рук» — от штатных системных администраторов потенциальных жертв.

Впервые обнаружена киберкампания хакерской группировки АРТ31 против российских организаций.

С весны 2021 года АРТ31 стала расширять географию атак и применять новый способ взлома и заражения гаджетов. Хакеры отправляют фишинговые письма, в которых содержится ссылка на домен inst.rsnet-devel[.]com, который полностью имитирует сайт госорганов.

При открытии ссылки в компьютер пользователя попадает так называемый дроппер (троян удаленного доступа), который создает на зараженном устройстве вредоносную библиотеку и устанавливает специальное приложение. Далее приложение запускает одну из функций загруженной вредоносной библиотеки, и управление компьютером переходит в руки злоумышленника.

По данным Positive Technologies, в первом полугодии 2021 года группировка АРТ31, помимо действий в России, провела около десяти вредоносных рассылок в Монголии, США, Канаде и Белоруссии.

Обнаружена вредоносная рекламная кампания, с помощью которой мошенники заманивали пользователей на поддельный сайт браузера Brave.

Чтобы привлечь трафик на поддельный сайт, мошенники покупали в Google рекламу, которая отображалась в том случае, если люди искали что-то, связанное с браузерами.

Сайт мошенников располагался по адресу bravė.com, где слово «Brave» было написано с литовской буквой «ė», вместо обычного латинского «e» .В современных браузерах вредоносный домен bravė.com отображался как xn—brav-epa.com, однако многие пользователи просто не обращают внимания на адресную строку.

Сайт полностью имитировал официальный сайт Brave, но вместо обычного дистрибутива пользователям предлагали загрузить ISO-образ размером 303 Мб, якобы содержащий установщик Brave. Браузер в этом образе тоже присутствовал, но вместе с ним распространялась малварь ArechClient (SectopRAT), основная задача которой — кража данных из браузеров и криптовалютных кошельков.

Атаки и уязвимости

В системе пневмопочты TransLogic PTS компании SwissLog, которая используется в тысячах больниц по всему миру, обнаружено 9 критических уязвимостей.

Пневмопочта Translogic используется в медицинских учреждениях для быстрого перемещения медицинских материалов — лабораторных образцов и лекарств по специальным трубкам, которые соединяют отделения в крупных больницах.

Уязвимости позволяют неавторизованному злоумышленнику, захватить станции Translogic PTS и получить полный контроль над сетью пневмопочты целевой больницы. Благодаря этому становятся возможными сложные и опасные атаки программ-вымогателей, и хищение конфиденциальной медицинской информации.

В домашних зарядных устройствах Wallbox и Project EV для электромобилей обнаружены опасные уязвимости, эксплуатация которых позволяет включить или выключить зарядные устройства, запретить владельцу доступ к ним или взломать домашнюю сеть пользователя.

Из-за небезопасной реализации механизма аутентификации в Project EV злоумышленнику мог легко получить права администратора и изменить прошивку всех зарядных устройств.

Кроме того, киберпреступники могли получить доступ к домашним сетям пользователей, если зарядные устройства были подключены к домашней сети через Wi-Fi. Это позволяло перехватить контроль над трафиком или похитить финансовые данные.

Разработан удаленный сервер печати, позволяющий любому пользователю Windows с ограниченными правами получить полный контроль над устройством путем простой установки драйвера печати.

Сервер использует уязвимость PrintNightmare и доступен в интернете по адресу

\\printnightmare[.]Gentilkiwi[.]com

При подключению к серверу происходит установка драйвера печати, после чего запускается DLL-библиотеку с привилегиями SYSTEM.

Изначально DLL-библиотека записывала файл журнала в папку C:\Windows\System32, которая должна быть доступна для записи только пользователям с повышенными привилегиями. Но из-за того, что не все верили, что в оригинальной версии драйвер печати может повышать привилегии, автор сервера модифицировал драйвер для запуска командной строки SYSTEM.

Новый метод позволяет получить административные права путем установки драйвера печати с удалённого сервера. Вместе с правами администратора преступники получают полный контроль над устройством и могут запускать любую команду, добавлять пользователей или устанавливать любое программное обеспечение.

Опубликованы подробности о критической уязвимости CVE-2021-28476 в гипервизоре Hyper-V, которую Microsoft исправила в мае 2021 года.

Уязвимость получила оценку в 9,9 балла по шкале CVSS и содержится в драйвере виртуального сетевого коммутатора Hyper-V vmswitch.sys. Используя её, можно добиться удаленного выполнения кода или состояния отказа в обслуживании.

Уязвимость присутствует в Windows 7, 8.1 и 10, а также Windows Server 2008, 2012, 2016 и 2019. Для эксплуатации уязвимости достаточно отправить специально созданный пакет с виртуальной машины Azure на узел Hyper-V.

Инциденты

Венчурная компания Advanced Technology Ventures (ATV) стала жертвой кибератаки шифровальщика, в результате которой была похищена личная информация некоторых частных инвесторов.

Хакеры зашифровали и похитили данные на двух серверах ATV, на которых хранится финансовая информация. Скомпрометированные данные включают персональную информацию около 300 инвесторов, в том числе имена, адреса электронной почты, номера телефонов и номера социального страхования.

Итальянская энергетическая компания ERG сообщила о кибератаке вымогателя, в результате которой была нарушена работа её информационно-коммуникационной инфраструктуры.

По заявлению руководства ERG, инцидент привел лишь к незначительным сбоям в ее инфраструктуре. Все заводы компании находятся в рабочем состоянии и не пострадали..

Обнаружены крайне опасные кибератаки, в ходе которых злоумышленники с помощью автоматической идентификационной системы (АИС) подделывают местоположение и даже весь курс военных кораблей.

Автоматическая идентификационная система используется в судоходстве для предотвращения столкновений в море. Служит для идентификации судов, их габаритов, курса и других данных с помощью радиоволн диапазона УКВ.

По данным некоммерческих организаций SkyTruth и Global Fishing Watch, с августа 2020 года более ста военных кораблей из 14 европейских стран, России и США стали жертвами подобных атак. В некоторых случаях суда якобы направлялись в сторону иностранных военных баз или заплывали в спорные воды, что могло привести к усилению конфликтов в горячих точках, таких как Черное или Балтийское море.

Неизвестно, кто стоит за подделкой данных АИС. По словам экспертов, все поддельные данные отображались как исходящие от береговых АИС-приемников, и ни одни из них не были обнаружены спутниками. Поскольку настоящие АИС-сигналы гражданских кораблей вблизи предполагаемых путей военного корабля были получены спутниками, поддельные сообщения предположительно не были сгенерированы реальной злонамеренной передачей, а были созданы в программном обеспечении АИС-симулятора, а затем скопированы в поступающий на сайты мониторинга судов поток данных.

Из-за атаки кибервымогателей на IT-системы итальянской области Лацио, власти региона приостановили запись населения на прививку от коронавируса.

В результате инцидента заблокирован почти каждый файл в дата-центре. Вакцинация среди тех, кто уже оставил заявку на процедуру, продолжится в обычном режиме. Приём новых заявок приостановлен на несколько дней. Система отключена для проведения внутренней проверки и предотвращения дальнейшего распространения вируса.

Ответственной за нападение называют группировку RansomEXX, которая известна атаками на департамент транспорта Техаса (Texas Department of Transportation, TxDOT) и компанию Konica Minolta.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена таргетированная атака на подрядчиков министерства обороны США, в рамках которой хакеры выдавали себя за инструктора по аэробике.

Схема атаки:

1. В 2019 году хакеры создали в Facebook и Instagram профиль некой Марселлы Флорес, которая якобы была инструктором по аэробике.
2. Для установления контакта со своими целями хакеры в течение нескольких месяцев переписываясь с ними по почте и в личных сообщениях.
3. В начале 2021 года злоумышленники с почтового ящика «Флорес» в рамках давно длившейся переписки оправляли жертвам ссылки на OneDrive, которые вели на документ с опросом, касающимся диеты, или видеофайл. Приманка использовалась для распространения обновленной версии малвари Lideric, которую исследователи называют Lempo.

4. Lempo тайно закрепляется в системе жертвы, позволяя злоумышленникам искать и похищать конфиденциальную информацию, включая имена пользователей и пароли.

Новая версия вымогательского ПО LockBit 2.0 автоматизирует шифрование доменов Windows с помощью групповых политик Active Directory.

Особенности новой версии:

1. Вымогатель автоматически распространяется по домену Windows без использования скриптов: после проникновения в сеть и получения контроля над контроллером домена с помощью стороннего ПО злоумышленники развертывают скрипты, отключающие антивирусные решения, а затем запускают LockBit 2.0 на всех машинах в сети.
2. При выполнении LockBit 2.0 создает новые групповые политики на контроллере домена, которые затем передаются на каждое устройство в сети. Эти политики отключают защиту в реальном времени Microsoft Defender, предупреждения, отправку образцов Microsoft и действия по умолчанию при обнаружении вредоносных файлов.
3. Создаются групповые политики для создания запланированной задачи на устройствах Windows, запускающих исполняемый файл вымогателя. LockBit 2.0 также использует API Windows Active Directory для запросов LDAP к ADS контроллера домена для получения списка компьютеров.
4. С помощью этого списка исполняемый файл вымогателя будет копируется на рабочий стол каждого устройства, а запланированная задача, настроенная групповыми политиками, запускает LockBit 2.0.
5. Подобно вымогателю Egregor LockBit 2.0 распечатывает вымогательскую записку на всех доступных принтерах.

Новое семейство банковских троянов Coper атакует колумбийских пользователей Android-смартфонов.

Особенности кампании:

1. Coper распространяется под видом официального ПО банка Bancolombia — приложения Bancolombia Personas.

2. Для большей убедительности их иконки были оформлены в том же стиле, что и у настоящих программ банка.

3. Сначала на устройство устанавливается программа-приманка, основная задача которого — загрузка основного вредоносного модуля

4. В процессе установки банкер получает доступа к специальным возможностям (Accessibility Services), чтобы полностью контролировать зараженное устройство и имитировать действия пользователя. Для этого он запрашивает у жертвы соответствующее разрешение, а получив его, пытается отключить встроенную в операционную систему защиту Google Play Protect, разрешить установку приложений из неизвестных источников, установить и запустить основной вредоносный модуль и тоже предоставить ему доступ к специальным возможностям.

5. Главный троянский модуль, выполняющий основные вредоносные действия, устанавливается под видом системного приложения с именем Cache plugin, использующего стандартный для некоторых системных Android-программ значок шестеренки. Такие имя и значок увеличивают вероятность того, что пользователи не увидят в программе угрозу.

6. При запуске этот модуль запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно. Кроме того, троян становится администратором устройства, а также получает доступ к управлению телефонными звонками и SMS-сообщениями.

7. Далее этот модуль скрывает свой значок из списка приложений на главном экране, «прячась» от пользователя, после чего сообщает управляющему серверу об успешном заражении установки и ждет дальнейших указаний, ежеминутно отправляя запросы.

8. Троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, поступающих на устройство.

9. Для демонстрации фишингового окна Coper загружает его содержимое с удаленного сервера и помещает в WebView, который имитирует внешний вид целевой программы для обмана жертвы.

По команде операторов Coper умеет:

• выполнять USSD-запросы;
• отправлять SMS;
• заблокировать/разблокировать экран устройства;
• начать/прекратить перехват SMS;
• демонстрировать Push-уведомления;
• повторно отобразить фишинговое окно поверх заданного приложения;
• запустить/остановить кейлоггер;
• удалить указанные в команде приложения;
• удалить себя, а также дроппер с устройства.

Новая спам-кампания использует технику HTML smuggling для обхода систем безопасности электронной почты и доставки вредоносного ПО на устройства жертв.

HTML smuggling предполагает использование различных атрибутов HTML, таких как «href» и «download» совместно с JavaScript-кодом для сборки вредоносного файла в браузере жертвы после нажатия на ссылку. Подготовленные таким способом вредоносные ссылки во вложениях в письма не вызывают подозрений у систем безопасности.

Атаки и уязвимости

В корпоративном почтовом клиенте Zimbra обнаружены уязвимости, которые дают злоумышленнику неограниченный доступ к отправленным и полученным сообщениям:

• CVE-2021-35208 — уязвимость межсайтового выполнения сценариев (XSS) на основе программного интерфейса DOM. Уязвимость может быть использована, когда жертва просматривает входящее письмо со специальным JavaScript-кодом.
• CVE-2021-35209 — уязвимость подделки запросов на стороне сервера. С её помощью злоумышленник может похитить токены и учетные данные пользователей.

В приложении для наблюдения за воздушными судами Sunhillo SureLine обнаружена критическая уязвимость CVE-2021-36380, которая позволяет злоумышленнику выполнять произвольные команды с привилегиями суперпользователя.

Проблема позволяет злоумышленнику установить интерактивный канал с уязвимым устройством и перехватив над ним контроль. Успешное использование уязвимости может привести к полной компрометации системы. Имея полный контроль над устройством, злоумышленник может вызвать состояние «отказа в обслуживании» или закрепиться в системе.

Источником проблемы оказался сценарий /cgi/networkDiag.cgi, который напрямую включал управляемые пользователем параметры в команду оболочки, позволяя злоумышленнику манипулировать полученной командой с помощью действительных команд ОС.

В ОС Windows обнаружена уязвимость PetitPotam, эксплуатация которой заставить удаленные Windows-серверы аутентифицировать злоумышленника и поделиться с ним данными аутентификации NTLM или сертификатами аутентификации.

Проблема возникает в ходе злоупотребления функцией EfsRpcOpenFileRaw протокола MS-EFSRPC, с помощью которого Windows-машины выполняют операции с зашифрованными данными, хранящимися в удаленных системах.

Разработанный код для эксплуатации уязвимости позволяет отправлять SMB-запросы MS-EFSRPC удаленной системе, вынуждая её инициировать процедуру аутентификации, в ходе которой данные аутентификации отправляются к злоумышленнику. Далее атакующий может использовать эти сведения для атаки типа NTLM relay, чтобы получить доступ к удаленным системам в той же внутренней сети.

PetitPotam работает только внутри локальной сети, поэтому актуальна только для крупных корпоративных сетей, где злоумышленники могут заставить контроллеры домена раскрыть хэши паролей NTLM или сертификаты аутентификации. Это может привести к полному захвату внутренней сети компании.

Китайские исследователи разработали способ скрытия и доставки вредоносного кода путём внедрения его в модель нейронной сети.

Оказалось, что в модели можно безболезненно подменить до половины искусственных нейронов. Потери производительности при этом составят менее 7%.

В 178-мегабайтнуюмодель AlexNet удалось внедрить до 36,9 мегабайт стороннего кода с потерей производительности менее 1%. Проверка результатов с помощью 58 антивирусов из коллекции VirusTotal не дала ни одного положительного срабатывания.

Схема возможной реализации атаки.

Для проведения атаки злоумышленникам придётся сначала построить нейросеть и обучить её на подготовленном наборе данных. Можно также приобрести уже обученный образец, внедрить вредоносный код и убедиться, что его присутствие не влечет неприемлемую потерю производительности. Далее подготовленная модель следует опубликовать в общедоступном хранилище и начать раздачу, например, в качестве обновления в рамках атаки на цепочку поставок.

Злоумышленники эксплуатировала уязвимость в инструменте для создания опросов Checkbox Survey для проведения атак на организации в США.

В ходе атак преступники эксплуатировали уязвимость десереализации CVE-2021-27852 в инструменте Checkbox Survey. Ошибка может использоваться удаленно без аутентификации и затрагивает Checkbox Survey версии 6. Новая версия 7.0, выпущенная в 2019 году, свободна от этой ошибки.

Вредоносное ПО, используемое хакерами, включает инструменты, разработанные для взлома IIS-серверов, бэкдор, а также несколько модулей, которые позволяют проводить разведку, повышать привилегии и перемещаться по сети. После использования злоумышленники удаляли весь инструментарий с диска, отказавшись от обеспечения присутствия в системе в обмен на скрытность.

Инциденты

В результате кибератаки вышли из строя ИТ-системы южноафриканской компании Transnet.

Компания Transnet управляет крупными портами Южной Африки, включая Дурбан и Кейптаун, а также огромной железнодорожной сетью, перевозящей минералы и другие товары на экспорт. Первоначально руководство компании пыталось скрыть масштабы произошедшего, однако вскоре стало понятно, что это невозможно, поскольку для работы с ключевыми подразделениями пришлось перейти на ручное взаимодействие.

Представители компании сообщили, что атака привела к нарушению бизнес-процессов, а также к повреждению оборудования и данных.

Киберпреступники скомпрометировали учетные данные владельцев билетов на летние Олимпийские и Паралимпийские игры-2020 в Токио, а также данные волонтеров мероприятия.

Украденные учетные данные могут быть использованы для авторизации волонтеров и владельцев билетов на сайтах мероприятия, что может привести к хищению имен, адресов и номеров банковских счетов.

По словам властей, утечки данных была «незначительной», и уже приняты меры для предотвращения дальнейшего распространения скомпрометированных данных.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Операторы вымогательского ПО Mespinoza атакуют организации по всему миру, ищут в их системах свидетельства незаконных действий жертв и используют эту информацию в качестве дополнительного средства давления.

Особенности кампании:

1. Mespinoza проникает в системы жертвы через RDP-подключения.
2. Для доступа используются учётные данные легитимных пользователей, полученные с помощью фишинговых атак или подписки «доступ-как-услуга». Это позволяет им дольше оставаться незамеченными.
3. Группировка устанавливает на системе жертвы бэкдор под названием Gasket, который обеспечивает удалённый доступ.
4. Жертвами атак Mespinoza стали компании по всему миру. Больше всего пострадавших находится в США, где в числе пострадавших производственные предприятия, компании в сфере розничной торговли, машиностроения, образовательные учреждения и правительственные организации.
5. Требование выкупа обычно превышает 1,5 млн долларов США, но группировка готова вести переговоры. Известно, что она получила много выплат в размере около 500 тыс. долларов США в обмен на ключ дешифрования, а также для предотвращения публикации украденной информации.

Атаки и уязвимости

Новая уязвимость CVE-2021-36932 позволяет локальному пользователю повысить свои привилегии и получить доступ к файлам реестра Windows 10 и Windows 11.

Проблема, получившая сразу два названия — SeriousSAM и HiveNightmare, — связана с тем, как Windows контролирует доступ к файлам SAM, SECURITY и SYSTEM, в которых хранятся хешированные пароли всех учетных записей пользователей Windows, параметры, связанные с безопасностью, данные о ключах шифрования и прочие важные сведения о конфигурации ядра ОС:

C:\Windows\System32\config\sam
C:\Windows\System32\config\security
C:\Windows\System32\config\system

Если потенциальный злоумышленник сможет прочитать файлы, полученная информация поможет ему получить доступ к паролям пользователей и критически важным настройкам системы.

Получение доступа к файлу конфигурации Security Account Manager (SAM) всегда представляет собой огромную проблему безопасности, поскольку позволяет похитить хешированные пароли, взломать эти хэши с помощью утилит Mimikatz или hashcat и захватить учетные записи. В файлах SYSTEM и SECURITY могут содержаться не менее опасные данные: ключи шифрования DPAPI и детали Machine Account, который используются для присоединения компьютеров к Active Directory.

Демонстрация атаки от автора утилиты Mimikatz:

Q: what can you do when you have #mimikatz🥝 & some Read access on Windows system files like SYSTEM, SAM and SECURITY?

A: Local Privilege Escalation 🥳

Thank you @jonasLyk for this Read access on default Windows😘 pic.twitter.com/6Y8kGmdCsp

— 🥝 Benjamin Delpy (@gentilkiwi) July 20, 2021

В популярном драйвере печати обнаружена уязвимость CVE-2021-3438, которая присутствует в коде с 2005 года и представляет угрозу для сотен миллионов принтеров, выпущенных и проданных за последние 16 лет.

Среди уязвимых моделей принтеров — более 380 различных моделей принтеров HP и Samsung, а также по меньшей мере 12 моделей устройств Xerox.

Причиной уязвимости является ошибка переполнения буфера в драйвере печати SSPORT.SYS. Используя её, злоумышленник может повысить привилегии в системе, что позволит вредоносному ПО получить доступ с правами администратора.

В системах некоторых пользователей Windows уязвимый драйвер уже может быть установлен без их ведома, если пользователь использует уязвимую модель принтера, а драйвер установился автоматически через Центр обновления Windows.

Уязвимость ОС Linux CVE-2021-33909 позволяет получить права суперпользователя на большинстве дистрибутивов, среди которых Ubuntu, Debian и Fedora.

Проблема, получившая название Sequoia, представляет собой уязвимость чтения за пределами буфера (out-of-bounds read) и связана с некорректной обработкой длины имени файла. С ее помощью непривилегированный локальный пользователь может запустить код с правами суперпользователя.

Опасная уязвимость CVE-2021-32589 в решениях для управления сетью FortiManager и FortiAnalyzer позволяет выполнить произвольный код с наивысшими привилегиями.

Уязвимость использования памяти после освобождения в демоне fgfmsd продуктов FortiManager и FortiAnalyzer вызвана тем, что код программы пытается использовать раздел памяти, некорректно помеченный как свободный. В результате специально созданный запрос на порт FGFM устройства может позволить удаленному неавторизованному злоумышленнику выполнить неавторизованный код с правами суперпользователя.

Cистему биометрической аутентификации Windows Hello удалось обойти с помощью инфракрасного изображения владельца устройства.

Схема атаки на Windows Hello.

Обман стал возможным благодаря особенностям обработки данных с USB-веб-камер. Хотя большинство пользователей знают, что они могут использовать веб-камеру для аутентификации и распознавания лица на машине под управлением Windows 10,оказалось, что Windows Hello поддерживает ввод с веб-камеры только с помощью инфракрасного порта. А проверка инфракрасного входа недостаточна или сопоставима с проверкой для обычных (RGB) камер.

В результате злоумышленник может подключить к компьютеру вредоносное устройство, имитирующее USB-камеру, а затем использовать его для передачи инфракрасного изображения лица владельца. Хотя при нормальных обстоятельствах передать статическое изображение Windows Hello нельзя, эти ограничения не работают для инфракрасного входа.

Демонстрация атаки.

Инциденты

Хакеры группировки ZeroX взломали сеть нефтяной компании Saudi Aramco и похитили 1 Тб конфиденциальных данных. Украденная информация продаётся на киберфоруме за 5 млн долларов США.

Чтобы привлечь внимание потенциальных покупателей, злоумышленники опубликовали в открытом доступе некоторые чертежи и патентные документы Aramco с отредактированными личными данными. После этого на сайте утечки заработал обратный отсчет, равный 662 часам (примерно 28 дней), по окончании которого начнется продажа данных. ZeroX говорят, что «662 часа» — загадка и намек, который поймут только в Saudi Aramco.

В утечке содержатся документы по нефтеперерабатывающим заводам Saudi Aramco, расположенным в нескольких городах Саудовской Аравии, а также следующие данные:

• полная информация о 14 254 сотрудниках компании: имя, фото, копия паспорта, адрес электронной почты, номер телефона, номер вида на жительство (карта Iqama), должность, номера ID, информация о семье и так далее;
• проектные спецификации систем, связанных с электроэнергетикой, архитектурой, строительством, менеджментом, охраной окружающей среды, телекоммуникациями;
• внутренние аналитические отчеты, соглашения, письма, прайс-листы;
• схема сети, содержащая IP-адреса, точки Scada, точки доступа Wi-Fi, IP-камеры и устройства IoT;
• карты с точными координатами;
• список клиентов Saudi Aramco вместе со счетами и контрактами.

В свободном доступе в мессенджере Telegram появился архив с информацией о транзакциях сервиса анонимной верификации sms-activate.ru.

Сервис sms-activate предоставляют мобильные номера во временное пользование клиентам. Это позволяет, например, анонимно пройти верификацию в Mail.ru, «ВКонтакте», Avito, Telegram, Twitter, «Яндексе» и других ресурсах.

Утекшая база содержит около 163 тыс. уникальных записей, из них около 50 тыс. валидных. Каждая запись состоит из имени, адреса электронной почты, IP-адреса, частичного номера платежной карты и суммы платежа.

Билетные автоматы британской государственной железнодорожной компании Northern Trains были выведены из строя в результате кибератаки вымогателя.

Инцидент произошёл всего через два месяца после установки 621 сенсорного устройства на 420 станциях на севере Англии стоимостью 17 млн. фунтов стерлингов.

Компания заявила, что приняла «оперативные меры» вместе со своим поставщиком, компанией Flowbird, данные клиентов и платежей не были скомпрометированы.

По словам Northern, от атаки пострадали только серверы, на которых работают билетные автоматы.

Вредоносное ПО

Новая версия инфостилера XLoader научилась похищать информацию с компьютеров под управлением macOS.

Объявление о продаже XLoader на киберфоруме.

XLoader распространяется через фишинговые электронные письма, содержащие вредоносный документ Microsoft Office. С декабря 2020 года по июнь 2021 зафиксированы случаи инфицирования XLoader в 69 странах мира. Большая часть заражений пришлась на США (53%), далее следуют с большим отрывом специальные административные районы Китая (9%), Мексика (5%), Германия (3%), Франция (3%), РФ (3%).

XLoader умеет обнаруживать запуск в песочнице и прячет свои командные серверы, поочередно запрашивая множество доменов. Изученный образец оперировал списком из почти 90 тыс. URL, однако лишь 1,3 тыс. из них указывали на реальные управляющие серверы, остальные оказались вполне добропорядочными сайтами.

Новый вредоносный загрузчик MosaicLoader распространяется под видом пиратского софта через поисковую рекламу.

Чтобы затруднить обнаружение вредоноса злоумышленники копируют оформление исполняемых файлов легитимных приложений: дают дропперу безобидное имя, привлекательную иконку, цифровую подпись — фальшивую или краденую. Код вредоноса обфусцирован.

Все образцы MosaicLoader нацелены на загрузку дополнительных вредоносных модулей со сторонних серверов, список которых загружается из центра управления. Характер полезной нагрузки при этом довольно обширен — от криптомайнеров и похитителей куки до троянов удалённого доступа и бэкдоров: