Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания против специалистов медицинских исследовательских организаций в США и Израиле, в рамках которой злоумышленники обманом заманивают медицинских экспертов на поддельные сайты, замаскированные под страницы облачного сервиса OneDrive, с целью кражи учетных данных.

Схема атаки:

1. Жертва получает письмо якобы от известного израильского физика с адреса zajfman.daniel[@]gmail.com. В теме сообщения написано: «Ядерное оружие с первого взгляда: Израиль». В тексте письма с помощью приёмов социальной инженерии жертву направляют на ресурс, содержащий сведения о ядерном потенциале Израиля.

2. Кликнув по ссылке в письме, жертва попадает на мошеннический сайт, имитирующий OneDrive. На странице имеется PDF-документ CBP-9075.pdf.

3. Попытавшись загрузить документ, жертва получает подделанный запрос на ввод учётных данных Microsoft.

4. После ввода учётных данных жертву переадресовывают на страницу с документом «Ядерное оружие с первого взгляда: Израиль»

5. Введённые учётные данные попадают к киберпреступникам.

Атаки и уязвимости

Два гражданина Китая с помощью технологии Deepfake обошли государственную биометрическую систему проверки личности ради налогового мошенничества и создания фальшивых счетов.

В стране уже несколько лет используется идентификация личности помощью распознавания лиц, и этот метод аутентификации используется для совершения розничных транзакций и для доступа к государственным услугам.

Как сообщает издание Синьхуа, чтобы обойти биометрическую проверку, понадобилось фото высокого разрешения и приложение, которое превращает фотографии в видео. Приложение обрабатывает фото таким образом, чтобы картинка «двигалась», создавая видео с  нужными действиями, включая кивание, качание головой, моргание и открывание рта. Полученную фальшивку обвиняемые залили на специально подготовленный смартфон с «захваченной камерой, и использовали фейк для обхода проверок и аутентификации по лицу.

Войдя в систему, мошенники выставляли фальшивые счета от имени подставной компании, надеясь, подлог не заметят, и счета будут оплачены. Таких счетов было создано примерно на 500 млн юаней — около 57,5 млн рублей.

Инциденты

Итальянский премиум-бренд мужской одежды Boggi Milano стал жертвой вымогательского ПО.

Представители компании подтвердили факт кибератаки и сообщили, что в настоящее время ведется расследование, подчеркнув, что инцидент не оказал заметного влияния на работу компании.

Киберпреступная группировка Ragnarok, в свою очередь, заявила, что ей удалось похитить 40 ГБ корпоративных данных, в том числе документы из отдела кадров и информация о зарплате сотрудников.

С помощью мошеннического сервиса, маскирующегося под мобильное приложение аппаратного кошелька Trezor, преступники похитили криптовалюту на сумму более 1,6 млн долларов США.

Один из пострадавших нашел приложение в App Store по названию «Trezor». После того, как он ввел данные криптокошелька для проверки баланса, с его счёта списали 17,1 ВТС. На момент хищения их стоимость была около 600 тыс. долларов США, а сегодня они подорожали почти до 1 млн долларов США,

В Apple пояснили, что часто разработчики мошеннических приложений отправляют изначально «безобидные» сервисы на проверку, а затем превращают их в фишинговые.

Фальшивое приложение Trezor попало в App Store обманным путем и изначально позиционировалось как «криптографический» сервис для шифрования файлов и хранения паролей, не связанный с криптовалютами.

В январе 2021 года поставщик облачных IoT-устройств Ubiquiti сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные его клиентов, однако через некоторое время выяснилось, что компания (https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/ сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций)), а заявление стороннего поставщика облачных услуг было сфабриковано.

В действительности злоумышленники получили доступ к привилегированным учетным данным, которые ранее хранились в учетной записи LastPass IT-сотрудника Ubiquiti, и получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS, включая все сегменты данных S3, журналы приложений, базы данных, и сведения, необходимые для создания cookie-файлов технологии единого входа (Single sign-on).

Используя эти сведения, злоумышленникам могли удаленно авторизоваться на любых облачных устройствах Ubiquiti по всему миру.

В даркнете выставлены на продажу персональные данные пользователей индийской платежной системы и криптокошелька Mobiwik.

Дамп содержит 8,2 Тб личных данных пользователей Mobikwik и включает в себя имена, номера телефонов, адреса электронной почты, адреса проживания, данные GPS, хэшированные пароли, список установленных приложений, журналы транзакций, номера банковских счетов и части номера платежных карт для 40 млн человек. Продавец оценил базу в 1,2 биткоина — около 70 тыс долларов США.

Продавец базы создал специальный поисковый портал, чтобы любой мог проверить, оказался ли он в числе пострадавших.

В результате атаки вымогательского ПО крупнейший трест лондонских школ Harris Federation был вынужден отключить IT-системы, почтовые серверы и телефонные линии в начальных и средних академиях по всему Лондону.

Инцидент произошел 27 марта 2021 года и является крупнейшей на сегодняшний день атакой программ-вымогателей против британских образовательных организаций. Чтобы предотвратить дальнейшее распространение вымогателя и шифрование данных специалисты школьного треста отключили даже устройства, предоставляемые ученикам, а также превентивно отключили почтовый сервер и телефонные системы треста. Входящие звонки перенаправлены на мобильные устройства.

О том, какое вымогательское ПО использовалось для атаки и как злоумышленники проникли в сеть школы, пока неизвестно.

На хакерском форуме выставлены на продажу данные 7,3 млн автовладельцев и их авто, собранные голландской компанией RDC. Компания предоставляет услуги гаражного хранения и технического обслуживания автомобилей.

В рекламе «лота» указано, что для  2,3 млн записей в базе есть адреса электронной почты, и они могут использоваться для фишинговых атак и рассылки спама.

Представители RDC подтвердили факт утечки, и сообщили, что злоумышленники, похоже, получили доступ примерно к 60% записей клиентов компании.

В образцах дампа содержатся детали, которые позволяют идентифицировать владельцев автомобилей, узнать, где они живут и какие именно авто водят: имена и названия компаний, домашние адреса, адреса электронной почты, номера телефонов, даты рождения, а также регистрационные номера транспортных средств, данные о марках и моделях автомобилей.

Страховая компания CNA подверглась кибератаке с использованием новой разновидности вымогателя Phoenix CryptoLocker. Из-за инцидента компания была вынуждена приостановить работу.

Сообщение о проблемах на сайте CNA.

Проникнув в сеть компании, злоумышленники запустили программу-вымогатель, которая зашифровала 15 тыс. устройств, включая подключенные через VPN компьютеры сотрудников, работающих удаленно. В процессе шифрования вымогатель добавил к зашифрованным файлам расширение .phoenix и создал записку с требованием выкупа PHOENIX-HELP.txt.

Вымогательское сообщение Phoenix CryptoLocker.

Пока неизвестно, были ли похищены в ходе атаки конфиденциальные данные.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Очередная мошенническая кампания использует фальшивые службы доставки для  хищения денег и данных банковских карт граждан.

Схема кампании:

1. Cоздание лота-приманки. Злоумышленники, используя новые или взломанные аккаунты на интернет-сервисах бесплатных объявлений, размещают объявления о продаже по заниженным ценам востребованных товаров: фотоаппаратов, игровых приставок, ноутбуков, смартфонов.

2. Контакт с жертвой. После того, как пользователи сервисов выходят на контакт со злоумышленниками с помощью внутреннего чата на самой интернет-платформе, им предлагается уйти в мессенджеры Whatsapp или Viber для дальнейшего обсуждения вопроса покупки и доставки.

3. Подготовка к сделке. В чатах мессенджеров злоумышленники запрашивают у жертвы ФИО, адрес и номер телефона якобы для заполнения формы доставки на ресурсах курьерской службы.

4. Оплата на фишинговом ресурсе. Далее пользователям предоставляют ссылки на фишинговые ресурсы, которые полностью копируют официальные страницы популярных курьерских служб. По ссылке будут представлены указанные ранее данные жертвы, которые она якобы должна сверить и после этого там же оплатить.

5. Возврат, которого нет. Часть жертв обманывают повторно — «разводят на возврат». Через некоторое время после оплаты товара покупателю сообщают, что на «почте» произошло ЧП. Легенда может быть любой, например, сотрудник почты якобы пойман на краже, а заказанный товар конфисковала полиция, поэтому для компенсации перечисленной суммы необходимо оформить «возврат средств». На самом деле с карты просто ещё раз списывают ту же сумму.

Обнаружена нацеленная на энтузиастов криптовалют кампания, которая использует для рассылки сообщений мессенджер Discord.

Схема кампании:

1. Все начинается с сообщения от имени Uniswap, которое мошенники рассылают участникам популярных криптовалютных серверов в Discord. В нем жертве сообщают, что она попала в число счастливчиков, которым полагаются подарочные монеты — якобы несколько бирж и сервисы криптокошельков Metamask и MyEtherWallet устроили акцию по розыгрышу подарка, и адресат оказался в числе получателей. Приз составляет 2,5 монеты Ethereum и сверх того 25000 ZKSwap — на момент написания в сумме это более 5 миллионов рублей.

2. Чтобы получить приз, нужно перейти по ссылке в сообщении. Поверившие в халяву увидят сайт, очень похожий на сайт Uniswap. Для получения приза нужно нажать кнопку «Claim accumulated rewards» («Получить накопленное вознаграждение»).

3. Нажав на кнопку, «счастливчик» попадет на экран с просьбой ввести приватный ключ или мнемоническую фразу от своего криптокошелька. Мнемоническая фраза — секретная последовательность слов для восстановления доступа к кошельку в случае технических сбоев или смены устройства. Получив любой из кодов, мошенники смогут обчистить её криптовалютные кошельки.

Инциденты

Операторы шифровальщика Clop опубликовали данные, украденные из сетей университетов Колорадо и Майами.

На сайте преступников размещены сведения об успеваемости и номерах социального страхования студентов, финансовые документы университета Колорадо, информация о зачислениях и биографические данные студентов, медицинские записи, демографические отчеты и электронная таблица с адресами электронной почты и номерами телефонов студентов университета Майами.

Атаки на учебные заведения были связаны с использованием устаревшего файлообменного решения Accellion FTA (File Transfer Application). В рамках этой кампании хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл и используют его для кражи файлов, хранящихся на FTA-устройствах жертв.

Любопытно, что хотя взлом произвели операторы шифровальщика, в сетях пострадавших учреждений не было зашифровано ни одной машины, по каким-то причинам преступники ограничились классическим вымогательством.

Компания Sierra Wireless, специализирующаяся на разработке и производстве оборудования для беспроводной связи, была вынуждена остановить производство из-за атаки шифровальщика.

Сообщение об инциденте на сайте компании.

Инцидент произошёл в субботу, 20 марта 2021 года. Неизвестный вымогатель зашифровал внутреннюю сеть компании, лишив сотрудников доступа к внутренним документам и системам, связанным с производством и планированием. В результате Sierra Wireless временно приостановила работу производственных площадок, поскольку для работу им нужен оперативный доступ к заказам клиентов и спецификациям продуктов. Сайт компании также пострадал в ходе атаки и пока не работает.

Ещё одной жертвой вымогательского ПО стал производитель отказоустойчивых серверов и программного обеспечения Stratus Technologies. В результате кибератаки компании пришлось отключить отдельные части своей сети и служб, чтобы изолировать ущерб.

Продукты Stratus обычно используются банками, поставщиками телекоммуникационных услуг, центрами экстренного вызова и здравоохранением, которым требуется безотказная работа на уровне 99,999%. На данный момент нет информации о том, какое вымогательское ПО использовалось в ходе кибератаки.

Очередной жертвой взлома с использованием уязвимостей устаревшего файлообменного сервиса Accellion FTA стала нефтегазовая компания Shell (Royal Dutch Shell), занимающая пятое место в рейтинге Fortune Global 500.

Представители компании уверяют, что инцидент затронул только устройство c Accellion FTA, которое использовалось для безопасной передачи больших файлов и подчёркивают, что «нет никаких признаков воздействия на основные ИТ-системы Shell, поскольку служба передачи файлов была изолирована от остальной инфраструктуры».

Shell уже уведомила о случившемся правоохранительные органы и регуляторов, поскольку злоумышленники получили доступ к файлам, переданным с помощью скомпрометированного устройства Accellion FTA. Часть этих данных принадлежала заинтересованным сторонам и дочерним предприятиям Shell.

Сенсацией этой недели стала атака шифровальщика REvil на тайваньскую компанию Acer, на долю которой приходится около 6% всех проданных в мире компьютеров.

Оценив масштабы бизнеса жертвы, злоумышленники запросили у Acer крупнейший в истории вымогательского бизнеса выкуп в размере 50 млн долларов США.

В качестве доказательства взлома хакеры опубликовали на своем сайте скриншоты якобы похищенных у компании файлов, среди которых документы, финансовые таблицы, бухгалтерские балансы и банковские сообщения.

По данным Bleeping Computer, некоторое время назад хак-группа REvil нацеливалась на сервер Microsoft Exchange в домене Acer, поэтому с высокой долей вероятности для взлома были использованы уязвимости ProxyLogon.

Сообщается, что атака повлияла только на работу офисной сети Acer, не нарушив производственные процессы.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы новой фишинговой кампании используют дефицит игровых приставок PlayStation 5 для хищения денег любителей игр.

Схема кампании

1. Жертва получает письмо на электронную почту с предложением: принять участие в розыгрыше PlayStation 5. Письмо оформлено стильно, в тексте нет грубых ошибок, однако в качестве отправителя указана компания India Pharma — фармацевтическая выставка в Индии, не имеющая никакого отношения к игровой индустрии.

2. В описании условий, написанном мелким шрифтом внизу письма, фигурирует уже компания: toleadoo GmbH., которая базируется в Германии. Чтобы испытать удачу, организаторы просят зарегистрировать свой адрес электронной почты.

3. «Зарегистрировавшись», пользователь попадает на фишинговый сайт с логотипом Amazon. Страница сообщает, что на этой неделе посетитель стал одним из десяти счастливчиков, получивших шанс выиграть заветную консоль, но до розыгрыша осталась всего 1 минута 18 секунд! За это время нужно успеть пройти короткий опрос.

4. После прохождения опроса и «проверки ответов» на странице появляется десяток одинаковых подарочных коробок. Участнику розыгрыша предлагают выбрать одну из них. Разумеется, именно в ней оказывается приз.

5. Чтобы забрать консоль, нужно заплатить один фунт стерлингов (около 100 рублей на момент публикации). Организаторы никак не объясняют цель платежа, ведь по сравнению со стоимостью приставки это сущая мелочь. Кроме того, они обещают взять на себя все почтовые расходы и доставить PlayStation 5 всего за неделю. Затем «победителю» предлагают перейти на сайт «сертифицированных дистрибьюторов» и оформить доставку.

6. Далее у жертвы запрашивают адрес доставки, индекс, телефон и еще раз электронную почту. Сумма платежа внезапно вырастает с 1 до 1,78 фунта.

7. Финальный штрих обмана — форма для указания данных банковской карты для оплаты, которые отправятся к мошенникам. Это и является конечной целью кампании.

Авторы новой мошеннической кампании угрожают жертвам уголовным преследованием за незаконное обогащение.

Схема кампании:

1. Жертвам получает SMS с уведомлением о получении денежной выплаты (бонуса) от государства.
2. Для подтверждения легитимности получения бонуса жертва должна перейти на сайт по ссылке в сообщении.
3. Сайт мошенников имитирует ресурс какого-либо государственного ведомства и предлагает посетителю ввести личную информацию и полные сведения о банковской карте для получения выплаты.
4. За несоблюдение требования о подтверждении легитимности получения «бонуса» преступники грозят судебным разбирательством и уголовным преследованием за незаконное обогащение.

В кампании по распространению трояна NanoCore в фишинговые электронные письма вложены фальшивые файлы .zipx, которые на самом деле представляют собой иконки с дополнительной информацией в формате .rar. Это усложняет обнаружение вредоноса и помогает обойти фильтры.

Схема кампании:

1. Письма злоумышленников, как правило, написаны от лица «менеджера по закупкам» некой организации, чаще всего, настоящего делового партнера жертвы. 2. В письмах содержат вложение с именем «NEW PURCHASE ORDER.pdf*.zipx», однако файл не соответствует спецификации .zipx.
2. На самом деле он представляет собой «файл icon с сюрпризом» — это двоичный файл изображения, к которому прикреплена дополнительная информация в формате .rar — вредоносный EXE-файл, содержащий полезную нагрузку.
3. Если жертва попадается на удочку мошенников и нажимает на вложение, а на ее машине установлен архиватор 7Zip, WinZip или WinRAR, исполняемый файл извлекается.
4. Проникнув в систему жертвы, NanoCore собирает адреса электронной почты и пароли, а также активирует веб-камеры зараженных устройств. Кроме того вредонос может выступать и в качестве дроппера для дополнительных вредоносных программ и использовать зараженные хосты для проведения DDoS-атак.

Атаки и уязвимости

Обнаружен способ перенаправить SMS на другой номер без уведомления владельца и получения его разрешения.

Для проведения атаки можно воспользоваться услугами компаний, которые помогают предприятиям проводить SMS-маркетинг и массовую рассылку сообщений, чтобы незаметно перенаправлять текстовые сообщения и получать доступ к кодам подтверждения транзакций и двухфакторной аутентификации через SMS.

Услуги по несанкционированному перенаправлению SMS в одной из подобных компаний стоят всего 16 долларов США в месяц.

Уязвимость в Twitter позволяет разместить в соцсети модифицированные при помощи стеганографии картинки, в которые встроено до 3 Мб данных.

I found a way to stuff up to ~3MB of data inside a PNG file on twitter. This is even better than my previous JPEG ICC technique, since the inserted data is contiguous.

The source code is available in the ZIP/PNG file attached: pic.twitter.com/zEOl2zJYRC

— Dаvіd Вucһаnаn (@David3141593) March 17, 2021

Оказалось, что хотя Twitter в большинстве случаев всё-таки сжимает изображения, удаляя из него лишние данные и метаданные, если добавлять данные в конец потока «DEFLATE» (часть файла, в котором хранятся сжатые данные пикселей), Twitter не будет их удалять.

Сохранение посторонней информации изображениях открывает злоумышленникам возможности для злоупотреблений платформой, например, для размещения в файлах PNG вредоносного кода или команд управления вредоносным ПО.

Инциденты

На хакерском ресурсе RaidForums был опубликован дамп с данными бывших клиентов WeLeakInfo, полученными благодаря компрометации Stripe-аккаунта закрытого в начале 2020 года сервиса.

Сервис за 2 доллара в день продавал доступ к паролям более чем 12,5 млрд учетных записей, собранных из 10 тыс. утечек.

Дамп включает в себя личные и корпоративные данные частных лиц и компаний, в том числе адреса электронной почты, имена, адреса для выставления счетов, последние четыре цифры и даты истечения срока действия банковских карт, IP-адреса, историю заказов и номера телефонов.

Автор публикации сообщает, что получил доступ к данным уже после ликвидации сервиса и ареста его операторов благодаря тому, что ФБР не продлило домен wli.design, который владельцы WeLeakInfo использовали для получения электронных писем от платежного сервиса Stripe. После регистрации домена ему удалось сбросить пароль для их учетной записи в Stripe и получить доступ ко всей информации о клиентах WeLeakInfo, которые платили за их услуги через Stripe»

Используя атаку с подменой DNS мошенники перенаправляли клиентов проекта Cream Finance и децентрализованной криптовалютной биржи PancakeSwap на фальшивые сайты, где пытались выведать их seed-фразы и приватные ключи, чтобы получить доступ к кошелькам и похитить средства.

don't do this pic.twitter.com/9tjUn0sdoh

— icebergy ❄️ (@icebergy_) March 15, 2021

Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, однако обе компании управляли своими записями DNS через хостинговую компанию GoDaddy. Существует вероятность, что атакующие могли скомпрометировать хостинговые аккаунты обеих компаний или атаковать сотрудников GoDaddy, как уже происходило в марте и ноябре 2020 года, когда злоумышленники проникли в систему с помощью фишинга и изменили DNS для ряда криптовалютных ресурсов.

Парламент Норвегии стал жертвой кибератаки через уязвимости ProxyLogon в Microsoft Exchange.

По заявлению представителя государственного органа, масштабы кибератаки пока неизвестны, однако были приняты все необходимые меры, и в настоящее время проводится расследование произошедшей в результате кибератаки утечки данных.

Точно известно, что данные были похищены, но пока полной картины случившегося пока нет.