Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 сентября по 1 октября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Мошенники используют официальный пресс-релиз Facebook для хищения учётных записей и персональной информации пользователей социальной сети.

Facebook выделил 100 млн долларов США на поддержку компаний, пострадавших от пандемии. Для получения поддержки достаточно подать заявку. Именно этим и воспользовались киберпреступники.

Этапы кампании:

1. Среди новостей пользователь натыкается на фальшивый пост якобы от CNBC, частично повторяющий официальный пресс-релиз Facebook.
2. В посте указано, что для подачи заявки на грант нужно перейти по ссылке.
3. Если пользователь перейдёт по ссылке, на мошенническом сайте у него запросят учётные данные от Facebook, а затем потребуют заполнить анкету для «верификации»
4. Анкета содержит множество обязательных для заполнения полей, в том числе номер социального страхования (для граждан США), фото паспорта и других документов с двух сторон
5. Заполнив анкету, жертва в перспективе лишается своего аккаунта в Facebook, а злоумышленники получают возможность для мошеннических действий от имени доверчивого гражданина.

Уязвимости

Многофакторную аутентификацию (MFA) TikTok можно обойти, поскольку функция включена только для мобильной версии приложения, но не работает в веб-версии сервиса.

Такая реализации MFA в TikTok позволяет злоумышленникам обойти функции безопасности, авторизовавшись в учетной записи с помощью скомпрометированных учетных данных на сайте, а не в приложении программу.

Однако из-за особенностей TikTok проблема не так опасна из-за ограниченных возможностей, доступных в web-панели, поскольку она не позволяет даже изменить пароль. Единственное, что может сделать злоумышленник — опубликовать видеоролик от имени жертвы или произвести мошеннические действия.

Умные устройства

Эксперт взломал умную кофемашину Smarter и заставил её требовать выкуп.

Чтобы просьба была более убедительной, устройство-вымогатель постоянно включало очень шумные нагреватель воды, кофемолку и зуммер:

Добиться такого результата позволило

• отсутствие шифрования во всех компонентах кофемашины,
• наличие в устройстве незащищённой точки доступа Wi-Fi, к которой мог подключиться любой желающий для первоначальной конфигурации устройства.

Изучив прошивку устройства, эксперт написал Python-скрипт, устанавливающий на устройство вредоносную прошивку. Первоначально он планировал заставить кофемашину майнить криптовалюту, но из-за слабости встроенного процессора отказался от этого и превратил её во вредоносного монстра.

Инциденты

Неизвестные злоумышленники взломали компьютерные системы Министерства иностранных дел Великобритании и похитили сотни секретных документов, относящихся к пропагандистским программам в Сирии.

Утечку обнаружили, когда в открытом доступе появились несколько документов, описывающих действия подрядчиков в рамках программы пропаганды: запуск радиостанций, англо- и арабоязычных журналов, газет и других печатных материалов для поддержки оппозиции в стране.

Британские власти заявляют, что сложность атаки и лёгкость, с которой она была проведена, может означать причастность к ней государственных хакеров.

Швейцарский производитель часов Swatch Group отключил свои IT-системы из-за кибератаки.

«Swatch Group немедленно оценила и проанализировала характер атаки, приняла соответствующие меры и внесла необходимые исправления. Ситуация вернется в норму как только будет возможно.»

Представители компании

Американская компания Universal Health Services (UHS) стала жертвой вымогателя Ryuk.

Spring Valley Hospital Las Vegas NV CANT TREAT PATIENCE EFFECTIVELY OR EFFICIENTLY because Computer System went Down about 11:00 pm 09/26/2020 Still down it’s 6:10 pm 09/27/2020 their excuse for not giving me Blood Transfusion I needed Yesterday Oh Lordy Please Say a Prayer

— Sassy Jacks (@jacks_sassy) September 28, 2020

Атака началась в ночь с 26 на 27 сентября. Компьютеры стали перезагружаться один за другим, на экранах зараженных машин появилось сообщение с требованием выкупа. ИТ-персонал медицинских учреждений попросил отключить компьютеры во избежание дальнейшего распространения угрозы.

По данным экспертов, системы UHS были инфицированы через фишинговые письма, содержащие троян Emotet, устанавливающий другой троян — TrickBot, который собирает информацию в скомпрометированных системах и используется операторами Ryuk для запуска обратной оболочки. Получив доступ к системе, злоумышленники с помощью PSExec или PowerShell Empireзапускают вымогательское ПО.

В результате инцидента многие больницы UHS были вынуждены перейти на работу без использования ИТ-систем. Некоторым пациентам пришлось отказать в помощи, а кого-то перенаправили в другие больницы, поскольку клиники UHS не могли выполнить лабораторные исследования.

Согласно официальному заявлению компании, больницы UHS пытаются вернуться в строй и восстановить данные из резервных копий. Отдельно подчеркивается, что сведения о пациентах и сотрудниках не были похищены.

Заражение затронуло больницы и медицинские центры UHS в Северной Каролине и Техасе. Также сообщается о проблемах в Аризоне, Флориде, Джорджии, Пенсильвании и Калифорнии.

Французская транспортная компания CMA CGM пострадала от атаки шифровальщика.

External access to CMA CGM IT applications are currently unavailable.
IT teams are working on resolving the incident to ensure business continuity.
For all bookings, please contact your local agency.
We will keep you posted regularly on the current situation.

— CMA CGM Group (@cmacgm) September 28, 2020

Атака затронула ряд периферийных серверов компании, из-за чего пришлось отключить внешний доступ к приложениям, чтобы остановить распространение угрозы. В настоящее время ведутся восстановительные работы и расследование инцидента. Клиентам рекомендуется связываться с местными отделениями CMA CGM напрямую, поскольку ИТ-системы могут не работать.

По сведениям ZDNet атака коснулась и китайских отделений CMA CGM в Шанхае, Шэньчжэне и Гуанчжоу. Журналисты указывают, что компания стала жертвой шифровальщика Ragnar Locker, хотя официальных подтверждений этому пока нет.

Неизвестные злоумышленники взломали криптовалютный обменник KuCoin и опустошили горячие кошельки ресурса, содержавшие Bitcoin и токены ERC-20 на общую сумму в 150 млн долларов США.

Kucoins hacker begins laundering his $150,000,000.

He started swapping his $OCEAN for ETH via Uniswap.

He already dragged the price down by around 4% in less than an hour and doesn't seem to be slowing down.

Due to low liquidity for this token, he is going to crash it hard. pic.twitter.com/gKcsgpUe3a

— Alon Gal (Under the Breach) (@UnderTheBreach) September 27, 2020

Инцидент произошёл 26 сентября 2020 года, когда сотрудники биржи заметили крупные транзакции по выводу средств с горячих кошельков. Проведенный аудит выявил кибератаку и недостачу средств. Компания заявляет, что холодные кошельки инцидент не затронул, и весь ущерб будет покрыт из страхового фонда биржи.

«Атака, скорее всего, была делом рук кого-то из сотрудников или партнеров биржи, так как злоумышленник каким-то образом заполучил приватные ключи от горячих кошельков.»

Джонни Лю (Johnny Lyu), глава KuCoin

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 18 по 24 сентября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Мошенники могут злоупотреблять службой хостинга сайтов и web-приложений Google App Engine для незаметного создания неограниченного количества фишинговых страниц.

Обычно мошенники размещают фишинговые страницы на поддомене облачного сервиса. Такие URL легко отслеживать, поэтому можно легко заблокировать трафик вредоносного приложения просто блокируя запросы к определенному поддомену и от него.

Однако в случае с Google App Engine ситуация иная. Домен appspot.com, на котором размещаются приложения, имеет другую структуру URL:
ВЕРСИЯ.СЕРВИС.ПРОЕКТ_ИД.РЕГИОН_ИД.r.appspot.com.
В этом случае поддомен содержит не только название приложения, но его версию, имя службы, идентификаторы проекта и региона. Если какое-либо из полей окажется неверным, Google App Engine покажет страницу приложения по умолчанию.
Если в URL содержится действительное поле «ПРОЕКТ_ИД», остальные поля могут быть любыми и вести к одному и тому же приложению:

• hххps[:]//random123-random123-random123-dot-bad-app-2020.ue.r.appspot
• hххps[:]//insertanythingyouwanthere-xyz123-xyz123-dot-bad-app-2020.ue.r.appspot

Таким образом, использовать блокировку по URL для вредоносных приложений, использующих хостинг Google App Engine, попросту невозможно.

Новый трюк спамеров позволяет обойти фильтры URL-адресов и другие защитные решения с помощью альтернативной записи IP-адресов.

В соответствии со стандартом RFC791 любой IP-адрес может записываться не только в виде четырех десятичных цифр, разделённых точками (192.168.0.1), но и в других форматах, например:

• восьмеричный IP-адрес: https://0330.0072.0307.0116;
• шестнадцатеричный IP-адрес: https://0xD83AC74E;
• целочисленный или DWORD IP-адрес:https://3627730766.

Эту особенность и используют спамеры, что приводит к тому, что многие спам-фильтры перестают обнаруживать опасные URL, например:

• hxxp://0[x]455e8c6f/0s19ef206s18s2f2s567s49a8s91f7s4s19fd61a
• hxxp://0[x]455e8c65/0s1598270s14s2eds562s498as9151s4s15a65b2
• hxxp://0[x]455e8c6c/0s4eb49s4s2e4s557s491fs904fs4s5ccfa
• hxxp://0[x]455e8c7a/0s30360s4s2f7s56cs49d2s9293s4s3e830

Обнаружена мошенническая СМС-кампания, авторы которой эксплуатируют тему скорого выхода iPhone 12.

Схема атаки:

1. Злоумышленники рассылают СМС от имени Apple Chatbot, приглашая бесплатно попробовать ещё не выпущенное Apple устройство.
2. В сообщении содержится ссылка, по которой нужно пройти, чтобы подписаться на бесплатный пробный период использования iPhone 12.

3. Ссылка замаскирована под промоадрес Apple.

4. При переходе по ссылке жертве после прохождения примитивного теста предлагается идентифицировать себя путём списания и возврата 1 € с карты. Для этого нужно ввести свои платёжные данные.

5. Если жертва сделает это, информация попадёт к мошенникам.

Атаки и уязвимости

В аппаратных видеокодерах IPTV/H.264/H.265, работающих на чипсете hi3520d от HiSilicon Technologies, обнаружен ряд критических уязвимостей, используя которые, злоумышленники могут удалённо раскрыть конфиденциальную информацию, вызвать отказ в обслуживании и удаленно выполнить кода, перехватив контроль над устройством.

Среди уязвимостей присутствуют:

• CVE-2020-24215 — встроенный пароль в административном интерфейсе,
• CVE-2020-24218 — доступ с правами суперпользователя через Telnet,
• CVE-2020-24217 — загрузка файлов без аутентификации,
• CVE-2020-24214 — переполнение буфера в стеке,
• CVE-2020-24214 — доступ к видеопотокам RTSP без авторизации.

В мобильных приложениях Instagram для Android и iOS обнаружена критическая уязвимость CVE-2020-1895, эксплуатация которой позволяет удаленным злоумышленникам перехватить контроль над целевым устройством путем отправки специально созданного изображения.

Уязвимость позволяла выполнять действия от имени пользователя Instagram, получить доступ к личным сообщениям жертвы, удалять или публиковать фото, а также выполнять произвольный код на устройстве.

Для эксплуатации уязвимости достаточно отправить вредоносное изображение в формате JPEG жертве по электронной почте или в WhatsApp. Как только получатель сохраняет изображение на устройстве и запускает Instagram, эксплуатация происходит автоматически, предоставляя злоумышленнику полный контроль над приложением.

Проблема получила оценку в 7,8 балла из 10 возможных по шкале CVSS и затрагивает все версии приложения Instagram до 128.0.0.26.128.

Инциденты

Cотрудники Microsoft по ошибке оставили в открытом доступе один из бэкэнд-серверов своего поисковика Bing. Сервер хранил более 6,5 Тб логов мобильный приложений, содержащих 13 млрд записей, полученных из поисковика.

Представители Microsoft исправили ошибку конфигурации сразу после уведомления и подчеркнули, что сервер содержал лишь технические детали: поисковые запросы, сведения о системе пользователя (устройство, ОС, браузер и так далее), сведения о географическом местоположении (если доступны), а также различные токены, хэши и коды купонов.

Итальянский производитель очков Luxottica и владелец бренда Ray-Ban остановил производство продукции в Италии и Китае из-за кибератаки. Сайты one.luxotrica.com и University.luxottica.com демонстрируют сообщения о техническом обслуживании сайтов:

«Портал OneLuxottica временно недоступен. Мы работаем над тем, чтобы запустить его как можно скорее».

Предположительно киберпреступники воспользовались критической уязвимостью CVE-2019-19781 в Citrix ADX для внедрения в сеть шифровальщика-вымогателя. Эксплуатация этой уязвимости позволяет похитить учетные данные для дальнейшего перемещения по сети.

Американская компания IPG Photonics стала жертвой вымогательского ПО RansomExx.

Кибератака остановила все производственные процессы компании. Руководству пришлось отключить компьютерные системы в своих представительствах по всему миру. В офисах были отключены телефоны и электронная почта, отсутствовала связь, на производстве остановились процессы изготовления деталей, не работала доставка.

Злоумышленники не только зашифровали все файлы в сети, но и похитили у IPG Photonics данные из репозиториев TFS и другую информацию.

Компания ArbiterSports, разработчик ПО для спортивных лиг, сообщила об утечке данных 540 тыс. спортивных судей и высокопоставленных представителей спортивных лиг и школ.

В июле нынешнего года компании удалось отразить атаку вымогательского ПО, и хотя злоумышленники не смогли зашифровать файлы, им удалось украсть резервные копии файлов, содержащие данные из web-приложений ArbiterGame, ArbiterOne и ArbiterWorks, которыми пользовались спортивные лиги и школы для управления расписаниями судей и официальных лиц. Похищенные данные содержали имена, пароли, домашние и электронные адреса, даты рождения и номера социального страхования.

Компания заплатила злоумышленникам выкуп за удаление похищенных файлов и получила подтверждение удаления.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 сентября 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Телефонные мошенники добавили в привычную схему обмана скан письма с номером «безопасного счета», на который следует перевести деньги.

Теперь после звонка якобы от службы безопасности банка с сообщением о попытке кражи денег с карты клиенту направляется «документ» с логотипом и штампом крупного банка. Обманы с использованием фальшивых писем от имени службы безопасности финансовой организации уже фиксировались в Сбербанке, Росбанке и Ак Барс Банке. Логотип известного банка повышает доверие граждан к злоумышленникам и, как следствие, эффективность мошеннической схемы.

Киберпреступная группировка Malsmoke атакует пользователей порнографических сайтов с помощью вредоносной рекламы. Кампания затрагивают практически всю рекламную сеть на порнографических ресурсах.

С помощью JavaScript вредоносная реклама переадресовывает пользователей ресурсов «для взрослых» на сайт, содержащий набор эксплойтов для уязвимостей в Adobe Flash Player и Internet Explorer, в результате чего на компьютеры жертв устанавливается вредоносное ПО: Smoke Loader, Raccoon Stealer и ZLoader.

Нацеленность кампании на пользователей Adobe Flash Player и Internet Explorer можно рассматривать как «лебединую песню» киберпреступников, поскольку IE и Flash Player в ближайшее время будут выведены из эксплуатации.

Умные устройства

«Невзламываемый» умный замок 360lock с механизмом безопасности на базе блокчейна можно взломать на программном и физическом уровне.

Замок 360lock управляется по Bluetooth Low Energy с помощью мобильного приложения. Разработчики заявляют о том, что реализовали в устройстве «максимальный уровень безопасности» благодаря использованию блокчейна.

Однако оказалось, что для открытия замка достаточно записать переданную по Bluetooth команду для разблокировки, а затем воспроизвести её. То есть никакой защиты от атаки повторного воспроизведения в замке не предусмотрено.

Вторая уязвимость замка проявляется уже на физическом уровне. Он изготовлен из цинкового сплава Zamak, который используется для изготовления молний и не отличается прочностью. В итоге для того, чтобы снять замок, достаточно одного удара молотком.

Атаки и уязвимости

Новая атака BLESA угрожает миллиардам смартфонов, планшетов, ноутбуков и IoT-устройств, использующие Bluetooth Low Energy (BLE).

Структурная схема атаки BLESA.

BLE — «облегченная» версия Bluetooth, созданная для экономии заряда аккумуляторов устройств. Подавляющее большинство проблем, выявленных в BLE, были связаны с механизмом сопряжения. Недавние исследования выявили ещё одну серьёзную уязвимость, связанную с реализацией повторного подключения (reconnection) устройств.

Повторное подключение выполняется после того, как два аутентифицированных BLE-устройства потеряли друг друга, а затем снова вернулись в зону доступности. При этом устройства должны повторно проверить криптографические ключи, уже согласованные во время первичного сопряжения, а затем подключиться и продолжать обмен данными. Однако из-за достаточно размытого описания повторного подключения в спецификации BLE выявились две системные проблемы:

1. Аутентификация во время повторного подключения оказывается необязательной;
2. Аутентификацию можно обойти, если одно из устройств отказывается от повторения процедуры.

Это делает возможным атаку BLESA — BLE Spoofing Attack, в ходе которой злоумышленник обходит проверки при повторном подключении и передает поддельные данные на BLE-устройство, подключаясь к нему под видом легитимного устройства, подключавшегося ранее.

Видео: демонстрация атаки BLESA.

Новая атака BlindSide использует уязвимости спекулятивного выполнения, чтобы обойти ASLR — Address Space Layout Randomization — механизм защиты от атак, который случайным образом меняет место выполнения приложения в адресном пространстве.

В общем случае для обхода ASLR злоумышленник должен найти уязвимость, способную привести к утечке участков памяти, либо исследовать память в поисках места, где запускается другое приложение, а затем изменить его код для атаки на это адресное пространство. Этот вариант очень сложен в реализации ,а техника BlindSide переводит атаку в сферу спекулятивного выполнения и позволяет обойти ASLR. В результате все неудачные попытки поиска адреса никак не влияют на процессор и стабильность его работы, и остаются незамеченными. Для реализации такой атаки хакеру понадобится лишь простая уязвимость, связанная с нарушением целостности информации в памяти, например, проблема переполнения буфера в ядре Linux.

Злоумышленники использовали голосовое меню банка для получения дополнительных сведений о его клиентах, чтобы впоследствии использовать эти сведения для мошенничества с применением методов социальной инженерии.

Номера телефонов клиентов и номера принадлежащих им банковских карт были ранее скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить в том числе из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе.

Схема мошенничества:

• Преступники звонили на номер интерактивного голосового меню банка, подменяя свой телефонный номер на номера реальных клиентов.
• Далее они запрашивали у системы сведения по остаткам на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
• После этого мошенники, используя методы социальной инженерии, звонили своим жертвам, представляясь сотрудниками банка. Для создания доверия и успешного применения иных методов социальной инженерии они использовали полученную в банке информацию об остатках денежных средств.

Инциденты

В открытом доступе обнаружена база данных Elasticsearch компании Mailfire, содержащие персональные данные и конфиденциальную информацию пользователей сайтов знакомств.

В базе хранились 882 ГБ лог-файлов с push-уведомлениями, которые отправляли сайты своим пользователям с помощью сервиса Mailfire. В общей сложности лог-файлы содержали 66 млн уведомлений, отправленных за последние 96 часов, с персональными сведениями сотен тысяч людей. Большая их часть относилась к сайтам знакомств, которые обещают мужчинам найти молодых женщин из Восточной Европы и Восточной Азии.

В «отладочной» области сервера хранились имена, сведения о возрасте и половой принадлежности, адреса электронной почты, общие географические данные о местоположении и IP-адреса. Также в уведомлениях были ссылки на профиль пользователя с ключами аутентификации. По этой ссылке любой мог получить доступ к профилю пользователя на сайте знакомств без пароля.

Китайская компания Zhenhua собрала базу данные с персональными сведениями о самых влиятельных людях по всему миру.

В числе собранных данных — дата рождения, адреса, семейное положение, фотографии, список родственников, аккаунты в соцсетях, образование, профессиональные достижения и список преступлений. По заявлению компании основная часть информации собрана из открытых источников, однако в базе присутствуют и конфиденциальные сведения — банковские выписки и заявления о приёме на работу.

Среди людей, на которых китайская компания собрала данные имеются высокопоставленные политики, члены королевской семьи и командующие армиями. В частности, в базе есть сведения 35 тысяч австралийцев, среди которых премьер-министр Австралии Скотт Моррисон. Вcего в утёкшей базе данных имеются досье на 24 млн человек.

База данных интернет-магазина компании Razer долгое время оставалась в открытом доступе, что могло привести к утечке данных 100 тыс покупателей.

БД содержала:

• имя клиента,
• е-мейл,
• номер телефона,
• номера и детали заказов,
• биллинговые адреса и адреса доставки.

Из-за хакерской атаки в университетской клинике в Дюссельдорфе умерла пациентка.

По имеющейся информации 11 сентября вымогатели нарушили работу серверов клиники. Отключение систем происходило постепенно, на восстановление работы клинике потребовалось шесть дней. Срочные операции и амбулаторное лечение больных были отложены, а «тяжелую» пациентку пришлось срочно перевести на лечение в другую больницу. Во время транспортировки состояние женщины ухудшилось, и она скончалась.

Представители больницы пока не раскрывают подробности инцидента.

I must say I really enjoyed my conversations with different reps of @Razer support team via email for the last couple of week, but it did not bring us closer to securing the data breach in their systems. pic.twitter.com/Z6YZ5wvejl

— Bob Diachenko (@MayhemDayOne) September 1, 2020

Хотя база и не содержала паролей и платежных сведений, злоумышленники могли использовать содержащиеся в ней сведения для проведения фишинговых атак.