Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная фишинговая кампания, нацеленная на высшее руководство крупных компаний разных стран.

Схема кампании:

1. Потенциальная жертва получает персонализированное уведомление об истечении срока действия пароля Office 365 и необходимости изменить пароль
2. Если адресат не хочет менять пароль, ему предлагается нажать ссылку в письме, которая приводит пользователя на фишинговую страницу.
3. Введённый на фишинговой странице пароль отправляется злоумышленникам, которые продают собранные логины и пароли на киберпреступных форумах:

Инфраструктура мошенников включала более 300 уникальных скомпрометированных URL-адресов и 70 адресов электронной почты, восемь взломанных сайтов и 40 мошеннических шаблонов электронных писем.

Другой вариант шаблона мошеннического письма.

Распределение «целей» по должностям.

Распределение целей по странам. Источник: Trend Micro

Обнаружена масштабная мошенническая кампания, направленная на владельцев крупных Telegram-каналов.

Схема действий мошенников:

1. Владельцу канала приходит предложение разместить в канале рекламу образовательной платформы GeekBrains по привлекательной цене.
2. Для ознакомления владелец канала получает архив, содержащий вредоносную программу.
3. Если жертва запустит приложение, мошенники получат доступ к каналу.

После этого действия мошенников могут быть направлены на перепродажу канала, шантаж доверчивого владельца или размещение в канале ссылок на фишинговые и вредоносные ресурсы.

Мобильная безопасность

Обнаружена вредоносная программа для Android, которая распространяется через автоответы WhatsApp.

Опция Quick Reply в WhatsApp позволяет автоматически отправлять типовые ответы на входящие сообщения. После заражения автоответ содержит ссылку на вредоносное приложение для смартфонов Huawei, загруженное на сайт, имитирующий Google Play.

При установке вредонос запрашивает разрешения на доступ к уведомлениям, на работу в фоновом режиме и на вывод своего окна поверх окон других приложений.

По данным экспертов вредонос используется для показа рекламы и мошенничества с подпиской на платные услуги.

Атаки и уязвимости

В приложении TikTok обнаружена уязвимость, открывавшая полный доступ к профилю пользователя.

Источником проблем стала функция «Найти друзей», основанной на синхронизации контактов. В связи с этим ошибка работала лишь у тех пользователей, которые привязали к учётной записи номер телефона или вошли в систему с помощью номера телефона.

Схема эксплуатации уязвимости:

1. Подготовить список устройств (идентификаторов устройств) для запросов к серверам TikTok.
2. Создать список токенов сеанса, которые будут использоваться для запросов к серверам TikTok: одни и те же файлы cookie использовались для входа в систему в течение нескольких недель.
3. Обойти механизм подписи HTTP-сообщений в TikTok, тем самым автоматизировав процесс загрузки и синхронизации контактов в любом масштабе.
4. О­бъединить все вышеописанное в цепочку, изменяя HTTP-запросы, и обходя электронную подпись.
5. Использовать различные токены сеанса и идентификаторы устройств, чтобы обмануть защитные механизмы TikTok и поставить сбор данных на поток.

Уязвимость в сервисе для видеоконференций Google Meet позволяет использовать его для перенаправления пользователей на мошеннические ресурсы.

Проблема кроется в преобразовании URL, которое производит сервис. Если такой URL разместить в чат Google Meet, он конвертируется в специальную ссылку, которая для удобства просмотра будет обрезана.

https://meet.google.com/linkredirect?dest=https://accounts-google.phishy.info/

При переходе по такой ссылке она перенаправит пользователя на адрес accounts-google.phishy[.]info. Проблема в том, что, как правило, пользователи смотрят только на начало URL, чтобы убедиться в его легитимности. Но поскольку все ссылки начинаются с meet.google.com, никто не усомнится в их безопасности. Особенно если ссылка настолько длинная, что её окончания не видно.

https://meet.google.com/linkredirect?token=ui2Mk5fz3dzi8zg5oz7K5AkGg3SDDmN2&id=bFSV0DH_IONRBSlW7hSH_nW_PRCYbku3AyNtTq7tJ88&dest=https://accounts-google.phishy.info/

Далее легко можно создать фишинговую страницу, которая будет похищать учётные данные пользователя, имитируя страницу логина Google:

Инциденты

В список жертв компрометации SolarWinds попали компании Mimecast, Palo Alto Networks, Qualys и Fidelis Cybersecurity.

• В январе 2021 года Mimecast сообщала, что в распоряжении неизвестного хакера оказался один из ее цифровых сертификатов. Злоумышленник злоупотребил им, чтобы получить доступ к некоторым учетным записям Microsoft 365 клиентов. Компрометация сертификата произошла из-за того, что Mimecast использовала зараженную версию ПО Orion, разработанного SolarWinds.
• В компании Palo Alto Networks произошло сразу два инцидента, связанных с программным обеспечением SolarWinds. По заявлению компании, SOC немедленно изолировал заражённый сервер, провёл расследование и выдал заключение о безопасности инфраструктуры.
• Компания Qualys попала в список потенциальных жертв из-за того, что среди 23 доменов, которые взломщики SolarWinds использовали для развертывания пейлоадов в сетях жертв, обнаружились два домена на corp.qualys.com, что говорит о том, что гигант ИБ-аудита, компания Qualys тоже мог стать жертвой злоумышленников. Однако специалисты Qualys заявили, что инженеры компании установили зараженную версию Orion в лабораторной среде, изолированной от основной сети, исключительно с целью проведения тестов, поэтому компания не была скомпрометирована.
• Еще одной крупной жертвой взлома SolarWinds стала компания Fidelis Cybersecurity. О компрометации. О компрометации в блоге компании сообщил ее глава Крис Кубич (Chris Kubic), пояснив, что в мае 2020 года Fidelis Cybersecurity установила зараженную версию Orion для проведения экспертной оценки.

Персональные данные 66 тыс. пользователей игрового сервиса VIPGames.com оказались в открытом доступе из-за неправильной конфигурации облачного хранилища.

База содержала 23 млн записей с информацией об учётных записях игроков и их действиях: имена и электронная почта, тип устройства, IP-адрес, хеш пароля, аккаунты в соцсетях, сведения о внутриигровых транзакций, размеры ставок и причины, блокировки для мошенников.

Киберпреступники могут использовать данные из утечки, для организации вымогательских или фишинговых кампаний.

В открытый доступ попали данные пользователей индийской криптовалютной биржи BuyUcoin.

Утечка содержит три дампа баз MongoDB, похищенных у биржи. Всего в утечке присутствуют данных 161 тысячи пользователей, включающие в себя

• банковские счета,
• адреса электронной почты,
• хеши паролей,
• номера мобильных телефонов,
• страна проживания,
• токены Google, если пользователь зарегистрировался через учётную запись на gmail.

Представители BuyUcoin заявляют, что компания расследует утечку, и пользователям не о чем волноваться:

«Каждый пользователь BuyUcoin с активным портфелем имеет торговые счета с трехфакторной аутентификацией. Все активы наших пользователей находятся в безопасности, в защищенной и зашифрованной среде. 95% средств пользователей хранятся в холодном хранилище, недоступном для любого взлома».

Ещё одной жертвы утечки стал американский сайт знакомств MeetMindful.

В опубликованной на хакерском форуме базе размером 1,2 Гб содержится 2,28 млн записей, включающих:

• настоящие имена;
• адреса электронной почты;
• сведения о городе, штате и почтовом индексе;
• информацию о физических данных;
• предпочтения на свиданиях;
• семейный статус;
• даты рождения;
• IP-адреса;
• хешированные пароли от аккаунтов;
• ID пользователей Facebook;
• токены аутентификации Facebook.

Несмотря на то, что хакерам не удалось похитить личную переписку пользователей, инцидент опасен тем, что по профилям MeetMindful можно легко вычислить реальных людей. Это превращает их в потенциальную цель для вымогателей, фишеров и шантажистов.

Компания SonicWall стала жертвой кибератаки, для проведения которой хакеры воспользовались уязвимостями нулевого дня в её собственных продуктах.

Продукты, уязвимости в которых использовались для атаки:

• NetExtender VPN-клиент версий 10.x (вышел в 2020 году), используется для подключения к SMA 100 и файрволам SonicWall;
• Secure Mobile Access (SMA) версии 10.x, на которой работают SMA 200, SMA 210, SMA 400, SMA 410 и SMA 500v.

Представители компании не сообщают никаких подробностей ни об атаке, ни о найденных уязвимостях, но призывает своих клиентов включить двухфакторную аутентификацию для учетных записей администраторов, использовать брандмауэры и ограничить круг лиц, которые могут взаимодействовать с устройствами SMA.

Злоумышленники похитили сведения о финансовых результатах корпорации Intel за 2020 год.

Украденные данные являются частью ещё не опубликованного Intel отчёта о своих доходах. Производитель процессоров планировал направить эти сведения в Комиссию по ценным бумагам и биржам США.

Из-за инцидента руководство Intel было вынуждено опубликовать сведения о доходах раньше запланированного срока, чтобы предотвратить недобросовестное использование украденных сведений для получения преимущества на рынке.

Вредоносное ПО

Вредоносный инструментарий LogoKit позволяет создавать фишинговые страницы в режиме реального времени,

LogoKit умеет автоматически загружать оригинальные логотипы, иконки сайта (favicon), шрифты и текст легитимного сайта, создавая полную иллюзию настоящего ресурса. Если на оригинальном сайте имеется поле для ввода электронной почты, е-мейл жертвы будет помещён в него, добавляя пользователю уверенности, что он уже был здесь.

Если жертва всё-таки введёт свой пароль на мошенническом ресурсе, LogoKit выполнит AJAX-запрос, в котором отправит учётные данные злоумышленникам, а затем перенаправит её на официальный сайт.

В отличие от конкурирующих вредоносных наборов LogoKit построен на использовании JavaScript-функций, которые легко можно добавить к любой форме для ввода учётных данных или сложным HTML-страницам.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Неизвестные злоумышленники взломали форум разработчика ПО IObit и распространяли среди его пользователей шифровальщика-вымогателя.

Схема атаки:

1. Пользователи получали письмо, в котором сообщалось, что компания дарит им годовую бесплатную лицензию на ПО:

2. Ссылка на получение «бесплатной лицензии» в письме перенаправляла жертв на https://forums.iobit[.]com/promo.html, с которой распространялся файл free-iobit-license-promo.zip.

3. Этот архив содержал файлы легитимной программы IObit License Manager с настоящей цифровой подписью, однако вместо файла IObitUnlocker.dll в нём была неподписанная вредоносная версия.

4. При запуске IObit License Manager.exe вредоносная библиотека IObitUnlocker.dll запускалась, устанавливала вымогателя DeroHE в C:\Program Files (x86)\IObit\iobit.dll и запускала его:

5. За расшифровку файлов вымогатель требовал выкуп в размере 100 долларов США в криптовалюте DERO:

Телефонные мошенники атакуют не только клиентов российских банков, но и компании по всему миру. ФБР выпустило предупреждение о мошеннической кампании, в ходе которой преступники крадут учётные данные сотрудников с помощью голосового фишинга (вишинга).

Во время телефонных звонков сотрудников обманом заставляли перейти на фишинговую страницу и ввести логин и пароль, а затем использовали эти данные для повышения привилегий и перемещения по сети.

В других случаях киберпреступники сначала связывались с сотрудником через чат компании и обманом заставили его войти на поддельную страницу виртуальной частной сети (VPN). Используя перехваченные учетные данные, они затем получили доступ к сети компании. Для поиска цели использовался облачный сервис начисления заработной платы.

Похищенные в результате фишинговой кампании учётные данные пользователей попали в поисковую выдачу Google.

Схема атаки и её неожиданный итог

1. Жертва получала письмо, замаскированное под уведомление от центра сканирования Xerox:

2. Когда получатель открывал вложенный в письмо HTML-файл, ему демонстрировалась размытая картинка сканированного документа и предлагалось ввести пароль:

3. При вводе пароля пользователя встроенный в письмо код проверял его корректность через сайт Office 365:

4. Получив актуальные учётные данные, преступники сохраняли их на взломанных Wordpress-серверах, где они индексировались Google и оказывались доступны для всех желающих.

Обнаружена мошенническая кампания, разработчики которой используют для загрузки вредоносного содержимого Windows-команду finger.

Схема атаки

1. Злоумышленники рассылают фишинговые письма с вредоносными документами Word, замаскированными под резюме от соискателя:

2. Если пользователь нажимает кнопки «Разрешить редактирование» или «Разрешить содержимое», запускается защищенный паролем макрос для загрузки вредоносного ПО MineBridge:

3. Макрос использует команду Finger для загрузки сертификата в кодировке Base64 с удаленного сервера. Сертификат представляет собой исполняемый файл вредоносной программы-загрузчика в кодировке base64. Он декодируется с помощью команды certutil.exe, сохраняется как% AppData%\vUCooUr.exe, а затем выполняется.

4. После запуска вредонос загружает исполняемый файл TeamViewer и загружает вредоносную библиотеку MineBridge.

5. После загрузки MineBridge злоумышленники получают полный доступ к компьютеру и могут подслушивать жертву через микрофон зараженного устройства и выполнять другие вредоносные действия.

Атаки и уязвимости

В приложениях Signal, Google Duo, Facebook Messenger, JioChat и Mocha обнаружены уязвимости, позволявшие получать звук с микрофона и картинку с камеры устройства, и следить за тем, что происходит вокруг пользователей без их ведома.

I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ

— Natalie Silvanovich (@natashenka) January 19, 2021

Уязвимость в Signal, исправленная в сентябре 2019 года, позволяла производить аудиовызов, отправив сообщение о подключении с вызывающего устройства на вызываемое, а не наоборот. Причем это не требовало взаимодействия с пользователем.

Ошибка в Google Duo позволяла копировать у вызываемой стороны видеопакеты, используя непринятые вызовы. Уязвимость устранили в декабре 2020 года.

Аналогичные уязвимости обнаружились в мессенджерах JioChat и Mocha. Они позволяли подслушивать абонентов и подсматривать за ними. Эти уязвимости закрыли в июле-августе 2020 года.

В Telegram и Viber подобных проблем обнаружить не удалось.

В Windows 10 обнаружена ещё одна ошибка, эксплуатация которой приводит к появлению «синего экрана смерти» (Blue Screen Of Death, BSOD).

Смысл ошибки состоит в том, что из-за ошибки в одном из системных драйверов любое обращение к пути \\.\globalroot\device\condrv\kernelconnect вызывает критический сбой в работе ОС. При открытии этого пути различными способами даже от непривилегированного пользователя, как правило, возникает BSOD.

И хотя уязвимость нельзя использовать для удалённого выполнения кода или повышения привилегий, с её помощью вполне реально вызывать отказ в обслуживании. Например, можно создать URL-файл Windows (.url), в настройках которого указать путь \\.\globalroot\device\condrv\kernelconnect. При открытии такого файла Windows 10 пытается отобразить его иконку, что тут же вызовет сбой.

Инциденты

В открытом доступе обнаружена база пользователей приложения Nitro PDF, содержащая 77 млн записей.

Объём базы составляет 14 Гб. Записи в ней содержат:

• полные имена людей;
• хэши паролей;
• имена компаний;
• IP-адреса.

Загрузить БД бесплатно может любой желающий на хакерском форуме. Похищенные данные уже загружены в сервис проверки утечек Have I Been Pwned. Преступники могут использовать похищенные данные для фишинговых атак.

Ещё одной жертвой хакерской группировки, от которой пострадала Nitro PDF, стала компания Pixlr, разработчик популярного онлайн-аналога Photoshop.

Злоумышленники опубликовали на киберпреступном форуме базу данных пользователей Pixlr, содержащую 1,9 млн записей. Источником «слива» послужило небезопасно сконфигурированное хранилище Amazon AWS .

Записи содержат адреса электронной почты, логины, хешированные пароли и другую информацию.

Неизвестному злоумышленнику удалось получить доступ к аккаунту администратора официального форума OpenWRT, open-source проекта, который разрабатывает прошивки для маршрутизаторов.

По сообщению команды проекта злоумышленнику удалось скачать только список участников форума, включавший имена и адреса электронной почты пользователей форума. И хотя паролей среди похищенных данных не было, администраторы OpenWRT сбросили все пароли и ключи API.

Результатом утечки могут стать фишинговые атаки на участников форума. Их опасность состоит в том, что участниками форума являются разработчики из компаний, которые производят маршрутизаторы, поэтому взлом форума может стать частью атак на эти компании.

Небезопасные действия сотрудников, так называемый человеческий фактор — одна из главных проблем современной информационной безопасности. Особенно актуальна эта проблема стала в 2020 году, когда множество сотрудников начали работать в непривычных для себя условиях, вне офиса, удаленно.

В процессе эксплуатации платформа «Антифишинг» собирает статистику по обучению сотрудников, их действиям во время имитированных атак и наличию программных уязвимостей, которые могут способствовать успеху реальной цифровой атаки.

От наших клиентов мы получили обезличенные данные по 100 тысячам имитированных атак на 20 тысяч сотрудников из 48 организаций и собрали их в отчет, который поможет ответить на ключевые вопросы:

1. Почему обучающих курсов недостаточно для снижения рисков человеческого фактора в безопасности?
2. Считается, что бухгалтерия и административный персонал — самые легкомысленные сотрудник. А как на самом деле?
3. Какие технические и психологические факторы определяют успех цифровых атак на сотрудников?
4. Помогут ли рассылки раз в полгода сформировать навыки безопасной работы?
5. Можно ли эффективно вести процессы и защитить компанию при высокой текучести кадров?
Важные факты и полный текст отчёта — на сайте Антифишинга →