Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой фишинговой кампании создают убедительные электронные письма с использованием функций Google Документы и Google Диск для обхода фильтров безопасности.

Схема кампании:

1. Электронное письмо, получаемое потенциальной жертвой, содержит якобы легитимную ссылку на Google Документы.

2. При нажатии на ссылку пользователь попадает на страницу Google Документов с документом Microsoft Word.

3 . Злоумышленник обманом пытается заставить жертву нажать на ссылку якобы для загрузки документа.

4. Киберпреступник создает web-страницу, замаскированную под страницу совместного использования Google Документами, и загружает ее на Google Диск.

5. Пользователь перенаправляется ​​на вредоносный сайт, где его учетные данные могут быть похищены через окно авторизации.

Таким образом злоумышленники могут обойти сканеры статических ссылок, которые используются во многих устаревших продуктах безопасности.

Обнаружена новая мошенническая кампания с использованием социальной инженерии.

Схема кампании:

1. Жертве звонит мошенник и предлагает беспроцентный кредит, пособие по потере работы из-за пандемии или возврат налогов.
2. У заинтересованной потенциальной прибылью деньги выманиваются реквизиты банковской карты, которые якобы требуются для перечисления денег.
3. Полученные реквизиты преступники используют для кражи средств.

В новой мошеннической кампании против пользователей сервиса онлайн-знакомств Tinder злоумышленники использовали оригинальный способ для показа фишинговых ссылок в фото профилей.

Как правило, аватарки этих профилей демонстрировали весьма привлекательного человека, а следом шла написанная от руки ссылка на подозрительный домен.

Ссылки вели на сторонние сайты, специализирующиеся на онлайн-знакомствах, или же просто на сомнительные веб-ресурсы. Такая тактика позволяла привлечь больше интереса по сравнению с уже привычной массовой рассылкой вредоносных ссылок через личные сообщения.

В рамках новой кампании BazaCall операторы используют мошеннический call-центр для установки на системах жертв вымогательского ПО.

Варианты мошеннических писем.

Схема кампании:

1. Преступники рассылают электронные письма, предлагающие получателям позвонить по указанному номеру для отмены предполагаемой подписки на услугу.
2. Позвонив по номеру, пользователи попадают мошеннический call-центр , управляемый злоумышленниками.
3. Преступники рекомендуют жертвам посетить некий сайт и загрузить файл Microsoft Excel для завершения процедуры.
4. Файл, в свою очередь, содержит вредоносный макрос для загрузки вредоносного ПО.
5. С его помощью злоумышленники загружают на системы жертв агенты Cobalt Strike и похищают учетные данные, включая базу данных Active Directory.

Номера телефонов в электронных письмах злоумышленников меняются ежедневно. Иногда в день появлялось более двух номеров.

Атаки и уязвимости

Новая уязвимость iPhone нарушает работу беспроводной связи при подключении к точке доступа с определенным именем, причём Wi-Fi не заработает даже после перезагрузки устройства или переименования точки доступа.

Проблему обнаружил исследователь Карл Шу (Carl Schou) при попытке подключиться к своей точке доступа с оригинальным именем «%p%s%s%s%s%n».

Предположительно, источник проблемы связан с некорректной реализацией функции синтаксического анализа входных данных. Встретив строку с символами «%», iOS ошибочно интерпретирует буквы, следующие после «%», как спецификаторы формата функции printf языка C/С++, что приводит к неустранимому сбою.

Единственный способ снова включить Wi-Fi после этого сбоя — полностью сбросить настройки сети на устройстве.

Умные устройства

Новая атака позволяет «ослепить» беспилотные автомобили с помощью аудиосигналов так, что они перестанут замечать препятствия.

Источником проблемы стали внутренние датчики стабилизаторов изображений в беспилотных автомобилях. Выяснилось, что они уязвимы к акустическим манипуляциям, а алгоритмы распознавания объектов могут ошибочно интерпретировать некоторые «враждебные» картинки, полученные с камер.

Техника акустического ослепления беспилотников, получившая название Poltergeist, представляет собой атаку системы компьютерного зрения беспилотных авто. Используя аудиосигнал, Poltergeist включает функции стабилизации изображения датчика камеры и размывает изображения, позволяя обмануть систему машинного обучения авто и заставить ее игнорировать препятствия на дороге.

В зависимости от степени размытия автомобиль (а) неверно распознается как автобус (b), бутылка (c) и человек (d).

Размытие, возникающее из-за включившейся под воздействием аудиосигнала необязательной компенсации движения, может изменить контуры, размер и даже цвет существующего объекта или участок изображения без каких-либо объектов. Это позволит скрыть, модифицировать или создать несуществующий объект.

Инциденты

В Калининграде библиотекарь перевёл миллион рублей мошенникам, чтобы вычислить «крота» в банке.

Детали инцидента

1. Мужчине несколько раз звонили разные мошенницы, но он вешал трубку, поскольку знал о подобных инцидентах.
2. Очередная «сотрудница банка» позвонила мужчине и в форме ультиматума сообщила, что если он сейчас положит трубку, на него оформят кредит, который ему придётся его выплачивать всю оставшуюся жизнь.
3. Мужчина испугался и стал слушать указания собеседницы. Женщина сообщила, что в местном отделении банка обнаружен недобросовестный сотрудник, который заполучил его персональные данные и пытается оформить на его имя заём.
4. Чтобы предотвратить несанкционированную операцию, мужчине надо срочно самому оформить на себя кредит на указанную сумму, чтобы «опередить» мошенника и «перехватить» денежные средства.
5. Жертва через приложение оформил кредит на 1,1 млн рублей , снял их в банкомате, после чего перевёл суммами по 200 тысяч на продиктованные ему счета, чтобы «погасить» задолженность перед финансовой организацией.
6. Злоумышленницы были с ним на связи в течение всего времени, не отпуская ни на минуту, угрожали уголовным делом за «разглашение банковской тайны», если он кому-то расскажет об их звонках, потому что идёт расследование преступления.

В результате атаки вымогательского ПО была заблокирована работа IT-инфраструктуры и онлайн-сервисов муниципалитета бельгийского города Льеж.

Результатом стала отмена назначенных приемов, свадеб и похорон, а также была приостановлена выдача свидетельств о рождении. Онлайн-формы для подачи заявок на проведения массовых мероприятий и парковку также оказались недоступны.

Представители администрации Льежа сообщили, что ИТ-инфраструктура Льежа пострадала от «компьютерной атаки», но по данным бельгийских радиостанций и телеканалов, ответственность за инцидент лежит на группировке Ryuk. О планах муниципалитета по выплате выкупа пока не сообщается.

В Великобритании арестован мошенник, рассылавший фишинговые SMS тысячам людей, выманивая их банковские реквизиты.

В качестве штаб-квартиры для фишинговых операций мошенник снимал номер в гостинице. Используя SIM-карты на нескольких мобильных устройствах, преступник только в день ареста отправил около 26 000 текстовых сообщений. Задержали преступника благодаря бдительным сотрудникам отеля, обратившим внимание на то, что гость носил в сумке подозрительно много кабелей.

При обыске полицейские обнаружили оборудование, которое можно было использовать для SMS-фишинга. На изъятых устройствах хранилось более 44 000 контактов.

Текстовые сообщения, которые рассылал мошенник, были написаны от лица службы доставки посылок Hermes. Фальшивые уведомления гласили, что потенциальная жертва пропустила доставку, а чтобы повторить её, необходимо предоставить банковскую информацию.

Северокорейские хакеры проникли в сеть Научно-исследовательского института атомной энергии (KAERI), который занимается исследованиями в области ядерной энергетики и ядерного топлива.

На официальной пресс-конференции было объявлено, что инцидент произошел 14 мая 2021 года. Злоумышленники взломали KAERI через уязвимость в неназванном VPN-сервере. Доступ к сети организации получили тринадцать различных IP-адресов, один из которых связан с инфраструктурой, которую использует северокорейская хак-группа Kimsuky (она же Thallium, Black Banshee и Velvet Chollima).

Согласно отчёту Malwarebytes, Kimsuky недавно провели таргетированную фишинговую кампанию, нацеленную на несколько южнокорейских государственных структур, включая Министерство иностранных дел, Министерство торговли, а также на сотрудника Международного агентства по атомной энергии (МАГАТЭ).

Сотрудники южнокорейской компании по ремонту компьютеров разрабатывали и устанавливали программы-вымогатели на машины клиентов.

В мошеннической схеме были задействованы девять сотрудников из офиса в Сеуле. По информации властей подозреваемые «заработали» более 360 миллионов вон (около 321 тыс. долларов США), получив выкупы от 40 компаний, которые обслуживали в 2020 и 2021 году.

В процессе «работы» некоторые сотрудники сервиса не забывали о себе: в 17 инцидентах они «подправили» записки с требованием выкупа, увеличив его сумму, чтобы оставить разницу себе. В некоторых случаях суммы выкупа увеличивались в десять раз с 0,8 до 8 биткоинов, что позволяло мошенникам получать огромную прибыль, если жертва решала заплатить.

Когда схема доказала свою прибыльности, мошенники решили пойти еще дальше и создали собственного шифровальщика. Когда в сервис обращалась очередная компания, пострадавшая от атаки вымогателей, подозреваемые восстанавливали зараженные системы, но внедряли на машины бэкдор, который позже использовали для развертывания собственного шифровальщика. На этот раз всю прибыль «ремонтники» оставляли себе.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для распространения бэкдора SolarMarker (Jupyter) используются множество вредоносных PDF-файлов и техника отравления SEO.

Схема кампании:

1. Мошенники создают PDF-файлы, содержащие на первых 10 страницах популярные бизнес-термины и ключевые слова, такие как «шаблон», «счет-фактура», «квитанция», «анкета» и «резюме».

2. Файлы размещаются на различных хостингах, где индексируются поисковыми роботами.

3. Большое количество ключевых слов в документах выводит их на первые позиции в поиске.

4. Когда пользователь открывает найденный документ, ему предлагается выбрать формат .doc или .pdf.

5. Через цепочку редиректов жертва перенаправляется на Google Drive, где ему предлагают загрузить соответствующий файл.

6. Открыв загруженный «документ», жертва установит себе на компьютер вредоносное ПО для кражи паролей и учётных данных.

Владельцы аппаратных криптовалютных кошельков Ledger получают по почте посылки с фальшивыми устройствами Ledger Nano X якобы для замены старых устройств «в целях безопасности».

В сопроводительном письме от имени производителя указано, что устройство отправлено пользователю для замены текущего кошелька, который стал небезопасен из-за утечки информации о клиентах и её публикации на хакерском форуме RaidForum.

Фальшивое и оригинальное устройство.

Один из получивших фальшивку пользователей заподозрил подвох, разобрал присланный Ledger Nano X и опубликовал фотографии странного устройства на Reddit. Эксперты считают, что это просто флешка, прикрепленная к Ledger с целью доставки какого-то вредоносного ПО.

Руководство по использованию фальшивки.

В руководстве к фальшивке устройству жертве предлагали подключить его к компьютеру, открыть появившийся диск и запустить приложение, которое шло в комплекте. Затем человек должен был ввести фразу восстановления Ledger, чтобы импортировать кошелек на новое устройство.

Поэтому после ввода фразы восстановления она отправлялась злоумышленникам, которые с её помощью могли воровать чужие средства.

Атаки и уязвимости

В приложении для растровой графики и 3D-моделирования Microsoft Paint 3D обнаружена опасная уязвимость CVE-2021-31946, эксплуатация которой позволяет выполнить произвольный код.

Чтобы сделать это преступнику необходимо обманом заставить пользователя открыть специально созданный файл в формате STL, отправленный по электронной почте. Вредоносный файл также моно разместить на сайте и спровоцировать пользователя на его загрузку и открытие.

В Instagram обнаружена уязвимость, позволявшая позволяющую любому пользователю просматривать посты и сторис закрытых аккаунтов, причём для просмотра контента не нужно было быть подписчиком закрытого профиля.

Набор данных для POST-запроса.

Для эксплуатации уязвимости требовалось знать Media ID, связанный с фотографией, видео или альбомом, однако выяснить это можно было с помощью простого перебора идентификаторов с помощью POST-запросов.

Результат выполнения POST-запроса.

Результатом выполнения этих запросов становились соответствующие Media ID данные: лайки, комментарии, «сохраненное», display_url и image.uri, которые можно было извлечь даже без подписки на атакуемого пользователя.

Инциденты

Компания Alibaba Group Holding стала жертвой утечки данных 1,1 млрд пользовательских записей. Злоумышленником оказался консультант, помогавший продавцам в online-центре Taobao от Alibaba.

Преступник в течение восьми месяцев собирал данные с помощью разработанного им поискового робота, который смог добраться до скрытых от посторонних глаз данных сервиса Taobao.

Украденные данные включали идентификаторы пользователей, номера мобильных телефонов и комментарии клиентов.

Американская компания Sol Oriens, связанная с производством ядерного оружия, стала жертвой шифровальщика REvil. Во время атаки хакеры похитили важные данные, а затем выставили их на аукционе в DarkNet.

Объявление о продаже похищенных данных.

Похищенные данные включают счета-фактуры по контрактам NNSA, описания проектов исследований и разработок, управляемых оборонными и энергетическими подрядчиками за 2021 год, а также ведомости заработной платы с именами и номерами социального страхования сотрудников Sol Oriens.

Представители Sol Oriens заявляют, что «нет никаких свидетельств того, что преступники получили доступ к секретной информацией клиентов или важной информации, связанной с безопасностью», однако не сообщают, был ли выплачен выкуп злоумышленникам.

Американское подразделение концерна Volkswagen AG (Volkswagen Group of America, Inc., VWGoA) заявило об утечке данных, которую допустил один из сторонних вендоров, сотрудничающих с автопроизводителем. Утечка затронула более 3,3 млн клиентов, 97% из которых — владельцы автомобилей Audi.

Причиной утечки стала незащищённая система, доступ к которой в течение двух лет имели посторонние лица.

Утечка содержит следующие данные: имя и фамилия, личный или служебный почтовый адрес, email-адрес, номер телефона. В некоторых случаях к ним добавляется также информация о приобретенном, арендованном или интересующем клиента автомобиле, в том числе VIN, марка, модель, год выпуска, цвет и комплектация.

Киберпреступная группировка взломала сети Electronic Arts путем обмана одного из его сотрудников через корпоративный мессенджер Slack.

Схема атаки

1. Кампания началась с покупки украденных cookie-файлов в интернете за 10 долларов США. Их использовали для получения доступа к служебному каналу Slack для сотрудников EA. Cookie-файлы сохраняют данные для авторизации пользователей в систему и потенциально позволяют хакерам авторизоваться в службах от чужого имени. Именно это и проделали хакеры с помощью украденного cookie-файла.
2. Оказавшись в чате, хакеры отправили сообщение сотрудникам службы IT-поддержки и объяснили, что потеряли телефон на вечеринке вчера вечером.
3. Далее хакеры запросили токен мультифакторной аутентификации у IT-службы EA, с помощью которого вошли в корпоративную сеть EA.
4. Попав в сеть EA, хакеры получили доступ к сервису EA для компиляции игр. Они вошли в систему и создали виртуальную машину, дающую им больше информации о сети, а затем получили доступ к еще одной службе и загрузили исходный код игры FIFA 21.

Используя ошибку в системе обработки платежей, киберпреступники похитили у интернет-магазина Wildberries более 380 млн рублей.

Схема действий преступников:

1. Мошенники регистрировались на площадке в качестве продавцов и выставляли на продажу несуществующий товар.
2. Затем уже в роли покупателей пытались оплатить его по некорректным реквизитам.
3. Банк блокировал операцию по некорректным реквизитам, но из-за ошибки в системе интернет-магазин считал покупку успешной и отправлял деньги продавцам в лице мошенников.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы очередной киберкампании используют атаку на Colonial Pipeline, чтобы побудить получателей установить вредоносное обновление.

Схема кампании:

1. Жертва получает письмо, в котором говорится, что атака на Colonial Pipeline привела к разрушительным последствиям, чтобы избежать их, нужно перейти по ссылке и установить обновление системы, которое позволит обнаруживать и предотвращать новейшие разновидности программ-вымогателей. В письме указан крайний срок для применения обновления, чтобы побудить к немедленному действию.

2. Если жертва переходит по ссылке, она попадает на имитацию сайтов легитимных компаний на свежезарегистрированных доменах (ms-sysupdate [.] Com и selectedpatch [.] Com).

3. Нажав кнопку «Download», жертва загрузит за компьютер файл Ransomware_Update.exe, который представляет собой инструмент Cobalt Strike, используемый хакерами для различных целей.

Новый вариант Agent Tesla доставляется на компьютеры пользователей с помощью фишинговых электронных писем.

Схема кампании:

1. Фишинговые письма замаскированы под деловую переписку и содержат вложение в виде файла формата Microsoft Excel.

2. В документе есть вредоносный макрос, который при запуске скачивает и устанавливает в систему жертвы Agent Tesla.

3. Цепочка заражения состоит из множества ступеней: загрузки файлов PowerShell, запуск скрипта VBS и создания запланированного задания (позволяет маскировать мониторинг активности пользователя). Проанализированный специалистами образец пингует оператора каждые 20 минут.

4. Вредоносная программа обчищает Bitcoin-кошельки жертв и модифицирует адрес, по которому атакованный пользователь пытается перевести криптовалюту, а также похищает учётные данные Windows и записывает нажатия клавиш.

Инциденты

JBS, крупнейшая в мире мясоперерабатывающая компания, выплатила операторам программы-вымогателя часть выкупа, чтобы вернуть доступ к пострадавшим в ходе кибератаки системам.

Как следует из официального заявления компании, злоумышленникам была перечислена сумма в биткоинах, эквивалентная 11 млн долларов США. Это половина от первоначальной суммы выкупа.

После консультации с внутренними ИТ-специалистами и сторонними экспертами в области кибербезопасности компания пришла к выводу, что первым делом необходимо минимизировать последствия кибератаки.

В открытом доступе обнаружена база данных, собранная неизвестным вредоносным ПО на более чем 3 млн Windows-компьютерах.

База объемом в 1,2 ТБ содержала 6,6 млн файлов, 26 млн учетных данных и 2 млрд cookie-файлов для авторизации, причем на момент обнаружения БД 400 млн из них были действительными.

Неизвестный вредонос, собравший информацию распространялся с 2018 по 2020 годы через вредоносные версии Adobe Photoshop, пиратские игры и инструменты для взлома Windows.

Данные, содержащиеся в БД, включали:

• 1,1 млн уникальных адресов электронной почты, использовавшихся в качестве логинов для различных приложений и сервисов, в том числе соцсетей, сайтов по поиску работы, интернет-магазинов, финансовых сервисов;.
• учетные данные, информацию из полей автозаполнения и платежные данные, похищенные из 48 приложений, в основном браузеров и почтовых клиентов: Google Chrome (19,4 млн записей), Mozilla FireFox (3,3 млн записей), Opera (2 млн записей) Internet Explorer/Microsoft Edge (1,3 млн записей), Chromium (1 млн записей), CocCoc (451 962 записей), Outlook (111 732 записей), Яндекс (79 530 записей), Torch (57 427 записей), Thunderbird (42 057 записей).
• 6 млн файлов, похищенных вредоносом из папок загрузок и рабочего стола, в том числе 3 млн текстовых файлов, более 1 млн изображений и свыше 600 тыс. документов Microsoft Word и PDF.

В результате атаки вымогателя американская компания iConstituent, предоставляющая платформу электронной коммуникации между избирателями и политиками, была вынуждена приостановить работу. Из-за инцидента законодатели не могли отправлять электронные письма избирателям в течение нескольких дней.

Атака затронула офисы почти 60 депутатов Палаты представителей обеих партий Конгресса США, но не повлияла на систему обмена текстовыми сообщениями GovText компании. Об инциденте сообщил ресурс Punchbowl News.

Тайваньская компания Adata, занимающаяся производством различных типов компьютерной памяти и накопителей, пострадала от атаки шифровальщика Ragnar Locker.

Из-за атаки 23 мая 2021 года вендору пришлось отключить все пострадавшие системы. С тех пор все бизнес-операции компании уже были приведены в норму, а восстановление поврежденных устройств успешно продолжается.

Хакеры заявили, что перед шифрованием файлов украли у компании 1,5 Тб конфиденциальных данных. Судя по опубликованным злоумышленниками скриншотам, им удалось похитить бизнес-информацию, конфиденциальные файлы, чертежи, финансовые данные, исходные коды с Gitlab и SVN, юридические документы, информацию о сотрудниках, соглашения о неразглашении и ряд рабочих папок.

Конгрессмен Республиканской партии штата Алабама (США) Мо Брукс (Mo Brooks) случайно раскрыл пароль от своей электронной почты Gmail и PIN-код в социальной сети Twitter.

В опубликованном видеоролике Брукс обвинял команду демократического представителя Калифорнии Эрика Суалвелла (Eric Swalwell) в проникновении в его дом с целью передать иск жене. Однако кроме доказательств на видео присутствовало изображение рабочего стола ноутбука, под экраном которого можно было увидеть PIN-код Брукса, а также данные его учетной записи Gmail и пароль.