Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В рамках новой гибридной вредоносной кампании киберпреступники используют комбинацию смишинга и фишинга для хищения у жертв данных банковских карт.

Предложение об установке фальшивого приложения Google Chrome.

Схема кампании:

1. Атака начинается со смишинга — мошеннического SMS с требованием уплатить таможенный сбор за доставку товара и ссылкой на некий ресурс.
2. Если пользователь переходит по ссылке в сообщении, появляется уведомление о необходимости обновить Google Chrome.
3. После принятия предложения обновить браузер пользователь переадресовывается на сайт с вредоносным приложением.
4. Когда «обновление» установится, жертва попадает на фишинговую страницу, где ей предлагается заплатить небольшую сумму таможенного сбора, обычно 1-2 доллара США.
5. При оплате этой суммы злоумышленники похищают данные банковской карты жертвы.
6. После установки на устройстве вредоносный Google Chrome еженедельно рассылает более 2 тыс. SMS по случайным номерам, которых нет в списке контактов жертвы.

Мобильная безопасность

Android-вредонос TeaBot похищает учетные данные и перехватывает SMS клиентов банков Испании, Германии, Италии, Бельгии и Нидерландов.

TeaBot маскируется под различные мультимедиа сервисы и службы доставки, включая TeaTV, VLC Media Player, DHL и UPS. Само приложение действует как дроппер, который загружает полезную нагрузку второго уровня и вынуждает жертву предоставить вредоносу все необходимые права.

Основная функция TeaBot — кража учетных данных и SMS-сообщений жертв для реализации мошенничества с заранее определенным списком банков. После успешной установки TeaBot на устройство злоумышленники могут получить прямую трансляцию экрана устройства и взаимодействовать с ним через Accessibility Services.

Используя Accessibility Services, преступники перехватывают нажатия клавиш, делают снимки экрана и внедряют вредоносные оверлеи поверх настоящих экранов логина банковских приложений для кражи учетных данных и данных банковских карт. TeaBot умеет отключать Google Play Protect, перехватывать SMS-сообщения и коды 2FA Google Authenticator. Собранная информация каждые 10 секунд передается на удаленный сервер злоумышленников.

Атаки и уязвимости

Новый набор уязвимостей Frag Attacks (Fragmentation and aggregation attacks) позволяет атаковать любые устройства с поддержкой Wi-Fi, выпущенные после 1997 года.

Одна из ошибок дизайна — уязвимость фрагментации кэша.

Frag Attacks позволяют злоумышленнику, находящемуся в радиусе действия Wi-Fi, собирать информацию о владельце устройства и выполнять вредоносный код. Проблема сохраняется даже при включённой защите WEP и WPA.

Три уязвимости из семейства являются следствием недостатков дизайна стандарта Wi-Fi 802.11 в части функций агрегирования и фрагментации фреймов. Остальные ошибки представляют собой ошибки программной реализации в различных Wi-Fi продуктах.

Большую часть этих уязвимостей трудно использовать, поскольку для этого потребуется взаимодействие с пользователем или нестандартные сетевые настройки.

Видео: атака Frag Attacks на Windows 7

В экосистеме DNS обнаружена уязвимость tsuNAME, которая позволяет усиливать трафик к авторитетным (authoritative) DNS-серверам для проведения на них атак на отказ в обслуживании.

Авторитетные DNS-серверы обычно принадлежат крупным компаниям: сетям доставки контента, техногигантам, интернет-провайдерам, регистраторам доменов и правительственным организациям. Именно они являются основным хранилищем распределённой базы DNS-записей.

Пользовательские DNS-запросы обычно обрабатываются другим типом DNS-серверов — рекурсивными. Они выступают в роли посредника между авторитетным сервером и пользователям. В нормальных условиях миллионы рекурсивных DNS-серверов ежедневно отправляют миллиарды DNS-запросов авторитетным DNS-серверам.

Из-за уязвимости в ПО рекурсивного DNS-сервера злоумышленник может создавать вредоносные DNS-запросы на авторитативные DNS-серверы в непрерывном цикле. Зарегистрировав достаточное количество рекурсивных DNS-серверов, он сможет осуществлять достаточно мощные DDoS-атаки на авторитетные DNS-серверы и нанести ущерб в масштабах целой страны.

Инциденты

Компания Colonial Pipeline стала жертвой вымогателя DarkSide, который зашифровал данные в сетях компании. В результате были отключены некоторые системы и остановлены все операции, связанные с трубопроводом.

Colonial Pipeline обеспечивает почти половину всего объема поставок топлива в штаты на Восточном побережье США. Ежедневно по обслуживаемым ею трубопроводам перекачивается более 454 млн л топлива. Из-за инцидента на многих автозаправочных станциях США закончился бензин.

Преступники не только зашифровали информацию, но и похитили более 100 Гб корпоративных данных. Однако эксперты, проводящие расследование инцидента, выяснили, куда были скопированы похищенные данные, и с помощью ФБР добились изоляции сервера. В результате киберпреступники потеряли доступ к серверу с похищенной у Colonial Pipeline информацией, а компания частично смягчила последствия утечки.

Компания продолжает восстановление. Основной проблемой остаётся система биллинга. Пока она не будет восстановлена, Colonial Pipeline не сможет автоматически выставлять счета своим клиентам.

Вредоносное ПО

Организаторы шпионской кампании TunnelSnake с 2018 года используют руткит Moriya для взлома систем под управлением Windows.

Архитектура руткита Moriya.

Руткит Moriya — бэкдор, который позволяет злоумышленникам перехватывать сетевой трафик жертв и отправлять команды на взломанные узлы.
Чтобы оставаться невидимым, руткит использует два приёма:

1. Перехват и анализ входящего сетевого трафика производится из адресного пространства ядра Windows, где обычно выполняется только привилегированный и доверенный код.
2. Moriya не отправляет никаких запросов на управляющий сервер, «вылавливая» команды из сетевого трафика жертвы.

Данная стратегия свидетельствует о том, что операторы TunnelSnake всеми способами стремятся скрыть своё присутствие.

Руткит был замечен в ходе атак против нескольких организаций по всему миру. Скомпрометированные системы азиатских и африканских дипломатических учреждений использовались, чтобы получить контроль над их сетями и сохранять присутствие в течение нескольких месяцев.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Для проведения масштабной мошеннической кампании кибергруппировка DarkPath Scammers создала распределенную сеть из 134 мошеннических сайтов, имитирующих Всемирную организацию здравоохранения (ВОЗ). Преступники обещали посетителям вознаграждение за прохождение фейкового опроса, посвященного Дню осведомленности о здоровье, однако вместо выплаты перенаправляли прошедших «опрос» на сайты знакомств, платных подписок и мошеннические ресурсы.

Схема кампании:

1. С помощью рекламы в соцсетях и на популярных форумах пользователей заманивали на один из входящих в мошенническую сеть сайт.
2. Там пользователям предлагали ответить на несколько простых вопросов и заработать 200 евро по случаю Всемирного дня здоровья, который ежегодно проводится 7 апреля под эгидой ВОЗ.
3. По завершении опроса пользователю предлагали поделиться ссылкой на сайт с друзьями и коллегами по базе контактов в WhatsApp.
4. Когда жертва нажимала на кнопку «Поделиться», вместо обещанного вознаграждения ее перенаправляли на сторонние мошеннические ресурсы, где предлагали принять участие в другом розыгрыше, установить расширение для браузера или подписаться на платные услуги. Некоторые пользователи попадали на вредоносный или фишинговый ресурс.
5. Особенностью схемы была персонализация: контент, который видели пользователи, менялся в зависимости от местоположения, браузера и настроек языка. Например, валюта вознаграждения соответствовала стране пользователя.

Атаки и уязвимости

Разработаны три новых варианта атак из семейства Spectre, которые позволяют похищать данные, когда процессор извлекает команды из своего кэша микроопераций.

Схема работы кэша микроопераций процессоров x86.

Чтобы улучшить производительность, процессоры Intel и AMD x86 разбивают сложные инструкции на элементарные и сохраняют их в кэше микроопераций, а затем извлекать в опережающем режиме целиком или частично до того, как станет ясно, нужно ли это выполнение. Такой режим исполнения команд называется спекулятивным.

Атаки Spectre подрывают процесс спекулятивного исполнения и позволяют злоумышленникам перехватить данные в процессе выполнения инструкций .

Поскольку спекулятивное исполнение реализуется на аппаратном уровне, исправить уязвимость без полного отключения функции практически невозможно. Как сообщил Аниш Венкат (Ashish Venkat), руководитель исследования, посвященного утечкам данных через кэши микроопераций процессоров, в настоящее время не имеется способов обхода уязвимости.

В чипах Qualcomm Mobile Station Modem обнаружена опасная уязвимость, с помощью которой атакующие могут получить доступ к текстовым сообщениям, истории вызовов и даже прослушивать разговоры владельцев смартфонов.

Qualcomm MSM — однокристальная система (System on a chip), которая используется в 40% смартфонов на сегодняшнем рынке. Qualcomm MSM поддерживает стандарты 2G, 3G, 4G и 5G.

Если злоумышленник задействует уязвимость, ему удастся использовать саму ОС Android в качестве точки входа для вредоносного кода.
Уязвимость, получившая идентификатор CVE-2020-11292, также позволяет атакующему получить доступ к информации, скрытой в сим-карте абонента путем эксплуатации переполнения буфера.

Инциденты

В результате DDoS-атаки была парализована работа бельгийского правительства: внутренние системы и публичные сайты оказались недоступными.

Door internetproblemen kunnen deze namiddag alleen de commissies Financiën en Buitenlandse Betrekkingen @DeKamerBE doorgaan. pic.twitter.com/umm7PMsaah

— NieuwsuitDeKamer (@DeKamerBE) May 4, 2021

Атака затронула государственного интернет-провайдера Belnet, обслуживающего правительственные организации, и вызвала сбои в работе более 200 организаций, в частности официального портала для подачи налоговых деклараций My Minfin и IT-системы, используемые школами и университетами для удаленного обучения.

Также оказался недоступен портал резервирования вакцины против COVID-19, были сорваны парламентские и другие правительственные мероприятия.

Как сообщили в Палате представителей Бельгии, только Комитет по финансам и международным отношениям смог провести одно заседание, но остальные пришлось отменить .

Помощница директора средней школы Tate High School Лора Роуз Кэрролл (Laura Rose Carroll) взломала школьную информационную систему, чтобы накрутить голоса и сделать дочь королевой красоты учебного заведения.

Королева с накрученными голосами.

Полиция начала расследование после того как был обнаружен несанкционированный доступ к школьной информационной системе FOCUS и изменение голосов в пользу дочери помощницы директора. Все 117 голосов были внесены за короткий период времени с IP-адреса домашней сети «королевы».

Мать и дочь были арестованы в марте 2021 года. Хотя на момент предположительного совершения преступления дочери еще не было 18 лет, ей предъявлены обвинения как совершеннолетней. В случае признания ее виновной девушка может получить 16 лет тюрьмы.

Правительственная китайская кибергруппировка атаковала российское оборонное предприятие, занимающееся разработкой атомных подводных лодок для военно-морского флота РФ.

Фишинговое письмо.

Злоумышленники отправили генеральному директору конструкторского бюро «Рубин» фишинговое письмо, подготовленное с помощью инструмента для создания RTF-эксплойтов Royal Road. Этот эксплойт доставляет на атакуемую систему ранее неизвестный Windows-бэкдор PortDoor.

Содержимое вредоносного RTF-документа.

PortDoor проводит разведку, профилирует цели, доставляет дополнительную полезную нагрузку, повышает привилегии, прячется от антивирусов, и использует разные виды шифрования.

По мнению экспертов, вектор заражения, стиль социальной инженерии, использование RoyalRoad в атаках на аналогичные цели и сходство между недавно обнаруженным бэкдором и другим известным вредоносным ПО китайских APT указывают на злоумышленников, действующих в государственных интересах Китая.

В результате атаки вымогателя американская некоммерческая организация Midwest Transplant Network стала жертвой утечки данных более 17 тыс. человек. Преступники взломали сеть организации и заблокировали доступ к системам.

Как сообщили представители Midwest Transplant Network, злоумышленники смогли получить доступ к конфиденциальной информации о здоровье умерших доноров и реципиентов органов, включающей имена, даты рождения и типы процедур донорства или трансплантации органов.

Представители компании не сообщили, был ли уплачен выкуп за восстановления доступа к файлам.

Вымогательская группировка REvil провела успешную атаку на инфраструктуру судебной системы бразильского штата Риу-Гранди-ду-Сул. Им удалось зашифровать файлы на компьютерах, и остановить работу судов.

⚠️ O TJRS informa que enfrenta instabilidade nos sistemas de informática. A equipe de segurança de sistemas orienta aos usuários internos a não acessarem os computadores de forma remota, nem se logarem nos computadores dentro da rede do TJ.#TJRS pic.twitter.com/2mnMwdMROI

— tjrsoficial (@TJRSoficial) April 28, 2021

Представители судебного ведомства Tribunal de Justiça do Estado do Rio Grande do Sul (TJRS) уведомили об инциденте и порекомендовали «внутренним пользователям не использовать удаленный доступ к компьютеру и не авторизовываться на компьютерах в сети TJRS».

Вымогательское сообщение, полученное судебным ведомством.

За восстановление доступа к данным вымогатель требуют 5 млн долларов США. Ведутся ли переговоры со злоумышленниками, не сообщается.

Институт биомолекулярных исследований стал жертвой вымогателя из-за установленного стажером пиратского ПО для виртуализации.

Студент не мог себе позволить приобрести нужное ему ПО, поскольку стоимость годовой подписки на него составляла сотни долларов. Он нашёл и скачал взломанную версию с одного из хакерских форумов.

Windows Defender заблокировал установку, поэтому молодой человек отключил его вместе с межсетевым экраном. Вместо желаемого ПО для виртуализации на его систему загрузился троян, похитивший учетные данные студента для доступа к сети института.

Через 13 дней после «установки» взломанного ПО институт зарегистрировал RDP-подключение к своей сети. Через 10 дней после этого подключения в сети было развернуто вымогательское ПО Ryuk.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Android-вредонос Flubot крадёт пароли, данные банковских приложений и другую конфиденциальную информацию.

⚠️SCAM TEXT ALERT ⚠️

If you receive a text message that looks like the one below:

IGNORE: Do not click any links.

REPORT: Report it by forwarding to 7726.

DELETE: Remove the text from your phone. pic.twitter.com/ailKcmXYh4

— Vodafone UK (@VodafoneUK) April 22, 2021

Для распространения вредоноса злоумышленники рассылают жертвам SMS, замаскированные под уведомления от курьеров. В уведомлении предлагается перейти по ссылке для отслеживания статуса доставки.

Пройдя по URL, пользователь видит предложение установить специальный софт, который необходим для отслеживания актуальной информации о посылке. Если пользователь соглашается, вместо трекера устанавливается Flubot. .

Для установки FluBot на устройстве должна быть включена возможность инсталлировать программы из сторонних источников. Злоумышленники даже подготовили для жертв инструкции, помогающие отключить защиту и установить вредонос.

После установки в системе FluBot пытается распространяться, рассылая SMS по списку контактов жертвы.

Умные устройства

Умные телевизоры Skyworth уличили в шпионаже. Аппарат раз в 10 минут ищет другие устройства в сети Wi-Fi, к которой подключен.

Сбор данных выполняет специальное ПО Gozen Data. Оно собирает IP-адреса, MAC-адреса и имена устройств подключённых к Wi-Fi, и передаёт их на платформу gz-data.com.

Эксперты считают, что операционная система Android Smart TV была специально доработана китайским правительством для наблюдения сельскими жителями:

В «умных» домашних сигнализациях ABUS Secvest обнаружены уязвимости, которые позволяют злоумышленникам удаленно отключать охранную систему перед совершением кражи и взлома с проникновением.

Умная сигнализация ABUS Secvest

Проблема обнаружена осенью 2020 года. Всего уязвимость содержалась в 11 000 сигнализаций. Разработчики ABUS исправили эту проблему в январе 2021, однако через четыре месяца более 90% (около 10 000) клиентов всё ещё не установили патчи.

Из-за ошибки в панели веб-администрирования ABUS Secvest многие команды могут быть выполнены без аутентификации. В результате злоумышленники могут, например, отправить сигнализации веб-запрос с командой включения сирены, причём этот процесс можно автоматизировать, спровоцировав срабатывание множества систем безопасности по всей Германии и Западной Европе.

Атакующий может использовать уязвимость, чтобы загрузить свой файл конфигурации ABUS Secvest, содержащий имена и пароли всех пользователей, зарегистрированных в системе. После этого у злоумышленника появятся учетные данные для подключения к сигнализации, и он сможет её деактивировать или отключить видеосъёмку или даже подменить видеопоток.

В системах предотвращения столкновений самолетов в воздухе (TCAS) Garmin обнаружены ошибки, вызывающие ложные срабатывания.

Проблема присутствует в серии устройств Garmin GTS 8000, установленных на многих частных самолетах, в том числе Cessna Citations, Learjet 45s, Embraer Phenoms, а также на пассажирских/грузовых самолетах Shorts 360.

Системы GTS 8000 вычисляли «неправильную дальность действия» и генерировали инструкции по набору высоты или снижению для «самолетов-нарушителей», находившихся на расстоянии более 10 морских миль, тогда как в нормальных условиях система должна генерировать подобные инструкции только если второй самолет находится в 40 секундах от столкновения. Таким образом, ошибка в Garmin GTS 8000 может привести к столкновению в воздухе.

Атаки и уязвимости

Киберпреступники взламывают корпоративные и правительственные компьютерные системы через уязвимости в популярном файлообменном сервере FileZen от японской компании Soliton. В числе пострадавших офис премьер-министра Японии.

Первая из уязвимостей позволяет загружать вредоносные файлы на устройство, а вторая — запускать команды с привилегиями администратора.

Кампания очень похожа на атаки через уязвимости в файлообменном ПО Accellion FTA, обнаруженные хакерами в декабре 2020 года. Оба продукта используются для хранения больших файлов, которые невозможно пересылать по электронной почте. Пользователи загружают файлы на сервер FileZen, а затем через web-панель получают ссылки на них, которыми могут обмениваться с коллегами по работе.

В системе защиты функции беспроводного обмена данными AirDrop для iPhone обнаружена уязвимость, которая позволяет перехватить передаваемые файлы. Проблема потенциально угрожает 1,5 млрд устройств.

AirDrop позволяет в разных направлениях передавать данные с устройств и определять номер телефона владельца одного из них в телефонной книжке другого. Гаджеты обмениваются пакетами AWDL, защищенными алгоритмом SHA256.

Из-за ошибки в реализации функции безопасности телефонный номер абонента и адрес электронной почты может стать известен злоумышленникам. Шифрование данных в AirDrop недостаточно сильное, поэтому мошенники могут перехватить передаваемые файлы и расшифровать их путём перебора ключей.

Операторы вымогателя Hello используют уязвимость CVE-2019-0604 для взлома серверов SharePoint и установки вредоносного ПО.

Атака группировки начинается с использования эксплойта для уже исправленной уязвимости, которая позволяет получить контроль над сервером SharePoint и установить веб-шелл, который затем используется для установки маяка Cobalt Strike (бэкдора) и запуска автоматизированных скриптов PowerShell, загружающих и устанавливающих в зараженную систему конечный пейлоад — вымогатель Hello.

Инциденты

Из-за ошибки в конфигурации облачного сервера Microsoft Azure в открытом доступе обнаружены более 3800 файлов с исходными кодами и внутренней информацией участников проектов Microsoft Dynamics. Данные общим объёмом 63 Гб были загружены на сервис в первом полугодии 2016 года

Одна из презентаций в утечке раскрывает подробности о партнёрстве Adobe и Microsoft.

Слабая защита облачного хранилища позволяла даже начинающему хакеру с легкостью получить доступ к содержимому сервера — заявкам на участие в проекте, описанию продуктов, исходным кодам и паролям. Многие из этих разработок уже запущены в производство.

Предварительное расследование показало, что это хранилище может принадлежать канадской консалтинговой компании Adoxio KPMG или самой Microsoft. Поскольку доступ к содержимому сервера открывал возможность для промышленного шпионажа и кражи интеллектуальной собственности, эксперты в срочном порядке связались с предполагаемыми владельцами.

Представители KPMG заявили, что не имеют отношения к данному Azure-аккаунту, и посоветовали обратиться в Microsoft. Microsoft долго отрицал свою причастность к инциденту, но к концу февраля 2021 года исследователи обнаружили, что защита хранилища усилена.

Из-за серии кибератак поставщик аппаратов лучевой терапии Elekta был вынужден отключить свои облачные сервисы, в результате чего его клиенты, в числе которых есть и онкологические больницы, до сих пор не могут восстановить нормальный режим работы

Как сообщили представители медучреждения Yale New Haven Health в Коннектикуте, на прошлой неделе им пришлось отключить оборудование для проведения радиотерапии из-за кибератак на компанию Elekta, предоставляющую больнице облачное ПО для аппаратов лучевой терапии. О таких же проблемах сообщают медучреждения в штатах Массачусетс и Род-Айленд, в том числе онкологические центры Southcoast Health и Lifespan Cancer Institute. Из-за недоступности облачных сервисов Elekta им пришлось приостановить радиотерапию для своих пациентов.

Никакой дополнительной информации об атаке не сообщается во избежание компрометации расследования.

Центральный полицейский департамент округа Колумбии сообщил о взломе и возможной утечке данных после того как на сайте вымогателя Babuk Locker были опубликованы скриншоты внутренних файлов с серверов департамента.

Операторы Babuk Locker заявляют, что взломали внутреннюю сеть правоохранителей и похитили 250 Гб данных. На своем сайте они опубликовали скриншоты различных папок, которые были похищены во время атаки. Судя по названиям, эти папки содержат множество файлов, связанных с полицейскими операциями, дисциплинарными записями и файлами, относящимися к членам банд и преступных группировок.

Крупнейшая в США буровая компания Gyrodata стала жертвой кибератаки вымогателя, в результате которой произошла утечка данных ее действующих и бывших сотрудников.

Как показало расследование, в период с 16 января по 22 февраля 2021 года неизвестные злоумышленники несколько раз получали неавторизованный доступ к некоторым системам и связанным с ними данным компании. Инцидент был обнаружен 21 февраля, но компания начала рассылку электронных уведомлений затронутым сотрудникам только 22 апреля.

В ходе атаки злоумышленники могли похитить списки бывших и настоящих сотрудников, включая имена, адреса, даты рождения, номера водительских удостоверений, номера социального страхования, номера паспортов, данные налоговых деклараций, а также информацию, связанную с планами медицинского страхования.

Ещё одной жертвой кибервымогателя Babuk стала испанская сеть магазинов мобильных телефонов Phone House. После того как руководство сети отказалось платить выкуп, операторы Babuk заявили о публикации в даркнете данных 13 млн клиентов Phone House.

Папка с похищенными данными о клиентах Phone House.

Опубликованные данные клиентов Phone House включают: полные имена, даты рождения, электронные адреса, контактные номера телефонов, домашние адреса, национальность, банковские реквизиты, паспортные данные и идентификатор IMEI купленных клиентами мобильных устройств.

Австралийская организация UnitingCare Queensland стала жертвой кибератаки, вызвавшей сбой в работе её компьютерных систем.

UnitingCare Queensland предоставляет услуги по уходу за пожилыми людьми, людьми с ограниченными возможностями и людьми, находящимися в трудной жизненной ситуации.

Из-за кибератаки некоторые сервисы организации стали недоступными, и ее сотрудники перешли на обработку данных вручную. В случае невозможности обработки данных вручную услуги либо перепоручались, либо переносились на другое время.