Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 июня 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Организаторы фишинговой кибершпионской кампании против предприятий аэрокосмической и оборонной промышленности в Европе и на Среднем Востоке используют LinkedIn для взаимодействия с потенциальными жертвами.

Атака начинается с сообщения в LinkedIn. Отправитель — HR-руководитель из известной в аэрокосмической отрасли компании, — пишет, что его компания хотела бы видеть жертву в числе своих сотрудников.

Получив от жертвы ответ, атакующий завязывает общение и отвечает на вопросы:

Когда дело доходит до должности и условий, атакующий отправляет жертве запароленный архив rar. В архиве содержится lnk-файл. При его открытии на компьютер жертвы скачивается и открывается с удалённого сервера pdf-документ, содержащий список вакансий с окладами:

Одновременно с открытием документа в фоне выполняется процесс, который добавляет в расписание задач на компьютере жертвы запуск вредоносного сценария с удалённого сервера с помощью системной утилиты wmic.exe.

Получив доступ к компьютеру жертвы, преступники скачивают сведения об учётных записях и другую конфиденциальную информацию, которую используют для целевых мошеннических кампаний типа «компрометация деловой переписки»:

Атаки и уязвимости

Используя уязвимости Ripple 20, злоумышленники могут удалённо получить полный контроль над миллиардами IoT-устройств, причём атаки можно полностью автоматизировать.

Всего обнаружено 19 уязвимостей. Их источник — написанная в 1997 году библиотека Treck, содержащая TCP/IP-функции для «умных» устройств. Четыре из обнаруженных уязвимостей относятся к критическим:

• CVE-2020-11896 — 10 баллов по шкале CVSS v.3 — допускает удаленное выполнение произвольного кода;
• CVE-2020-11897 — 10 баллов по шкале CVSS v.3 — допускает out-of-bounds запись;
• CVE-2020-11898 — 9,8 балла по шкале CVSS v.3 — может привести к раскрытию конфиденциальной информации;
• CVE-2020-11899 — 9,8 баллов по шкале CVSS v.3 — может привести к раскрытию конфиденциальной информации.

Даже этих четырёх уязвимостей достаточно, чтобы захватить контроль над «умными» устройствами или промышленным и медицинским оборудованием, причём атаковать можно как через интернет, так и из локальной сети.

Критическая уязвимость CVE-2020-13428 в VLC Media Player позволяла злоумышленникам удалённо выполнять команды и аварийно завершать работу плеера на уязвимом компьютере.

Проблема связана с переполнением буфера в упаковщике H26X. Для её использования нужно убедить жертву открыть специально сформированный вредоносный видеофайл с помощью VLC.

Уязвимость может вызвать сбой в работе проигрывателя и привести к выполнению команд с привилегиями целевого пользователя. Технологии ASLR и DEP помогают снизить вероятность выполнения кода, но злоумышленники могут их обойти.

Атака Lamphone позволяет записывать разговоры в помещении, наблюдая за вибрациями в лампочках.

Схема атаки Lamphone

Когда лампочка вибрирует под действием звуковых волн, в ровном потоке света возникают вспышки. Эти вспышки можно обнаружить, а затем реконструировать звуковые волны, потревожившие поверхность лампочки.

Если использовать для атаки телескоп и электрооптический сенсор, отследить изменения освещённости можно на достаточно больших расстояниях. В ходе экспериментов удалось записать разговоры, происходившие в здании на расстоянии 25 метров, изучая колебания освещённости светодиодной лампочки:

Проверка работы атаки в реальных условиях

В отличие от подобных атак Lamphone полностью пассивен и не требует заражения устройства жертвы вредоносным ПО. Чтобы отслеживать разговоры в режиме реального времени с помощью Lamphone достаточно обычного ноутбука.

Видео: демонстрация атаки

Инциденты

В результате действий инсайдера, похитившего мастер-ключ в одном из центров обработки данных южноафриканскому Postbank придётся заменить более 12 млн банковских карт.

Мастер-ключ представляет собой строку кода из 36 символов и обеспечивает полный доступ к системам банка. Используя его, можно просматривать и менять данные (в том числе балансы счетов) любой из 12 млн выпущенных банком карт.

Один из сотрудников Postbank распечатал мастер-ключ на бумаге, а затем, используя его, совершил более 25 тысяч транзакций, похитив с клиентских счетов 56 млн рэндов (около 228 млн рублей).

Киберпреступные группировки Magecart, взломали online-магазины сетей розничной торговли — Claire и Intersport и внедрили в них вредоносный код (скиммер), похищающий данные банковских карт, которые покупатели вводят в формы заказа.

Another greedy #Magecart campaign found be #ESETresearch — this time in Balkans. Crooks were trying to skim credit cards of #Intersport e-shoppers in #Croatia, #Serbia, #Slovenia, #Montenegro, #BosniaandHerzegovina. @OndrashMachula 1/2 pic.twitter.com/m7leaNcgQN

— ESET research (@ESETresearch) June 15, 2020

Встроенный киберпреступниками код перехватывал все вводимые в формы пользовательские данные и отправлял на сервер claires-assets(.)com. Домен был зарегистрирован за четыре недели до начала атак специально для этой вредоносной кампании.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 июня 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Мошенники выманили у поклонников Илона Маска более 150 тыс. долларов США в криптовалюте, используя фальшивые YouTube-каналы.

Для проведения кампании преступники

• захватили три YouTube-канала,
• переименовали их так, чтобы новые имена были связаны с компанией SpaceX,
• запустили якобы живые стримы с Илоном Маском, для которых использовались записи интервью и выступлений руководителя SpaceX,
• на стримах рекламировали фальшивые раздачи биткоинов и предлагали зрителям прислать им небольшое количество криптовалюты, чтобы поучаствовать в раздаче и получить обратно удвоенную сумму.

Зрители одного из каналов отправили «Илону» более 30 переводов на общую сумму 5,51 BTC — примерно 53 600 долларов США. Выручка другого составила 11,25 BTC — 109 606 долларов США, которые перечислили им 85 зрителей.

Атаки и уязвимости

В процессорах Intel обнаружены две новые уязвимости — SGAxe (CVE-2020-0549) и CrossTalk (CVE-2020-0543).

• SGAxe представляет собой усовершенствованный вариант атаки CacheOut (L1D Eviction Sampling), позволяет обходить Intel Software Guard eXtensions (SGX) и похищать данные из ЦП.
  Уязвимость стала результатом ошибок в процессе очистки в расширениях для кэша данных в некоторых процессорах Intel и позволяет авторизованному злоумышленнику с локальным доступом к атакуемой системе раскрыть важную информацию.

Видео: демонстрация атаки с использованием SGAxe

• CrossTalk позволяет выполнить код на одном ядре процессора для получения конфиденциальных данных из ПО, запущенном на другом ядре. Это ещё одна атака на механизм спекулятивного исполнения команд (MDS). К MDS-уязвимостям также относятся Meltdown и Spectre. CrossTalk атакует данные в процессе их обработки системой кэширования Line Fill Buffer (LBF). Оказалось, что в LBF есть недокументированный промежуточный буфер памяти доступный для всех ядер процессора.

Видео: демонстрация атаки CrossTalk

Уязвимости, связанные со спекулятивным выполнением команд, присутствуют не только в процессорах Intel. Обнаруженная в архитектуре процессора Armv8-A (Cortex-A) проблема SLS (Straight-Line Speculation) относится именно к этому типу.

Уязвимость SLS, получившая идентификатор CVE-2020-13844, представляет собой атаку по сторонним каналам со спекулятивным выполнением команд. Хотя вычислительные операции являются частью процесса спекулятивного выполнения, когда происходит изменение в потоке управления командами процессора Arm, ЦП реагирует, выполняя найденные в своей памяти команды уже после изменения потока управления.

В браузере Mozilla Firefox обнаружена критическая уязвимость CVE-2020-12405, эксплуатация которой позволяет злоумышленнику удаленно выполнить код.

Проблема получила оценку в 8,8 балла по шкале CVSS. Для её использования достаточно заманить пользователя на вредоносную страницу. Уязвимость затрагивает версию Firefox 76.0a1 x64 и содержится в компоненте SharedWorker и внутренних объектах, связанных с ним.

В командном интерпретаторе Windows cmd.exe обнаружена уязвимость, используя которую можно добиться исполнения произвольных команд.

Обнаруженную проблему можно охарактеризовать как смесь «несоответствия команды/аргумента с обходом каталога». Уязвимость потенциально позволяет запустить не только калькулятор, но вообще любую программу и тем самым вызвать отказ в обслуживании, раскрыть информацию и выполнить произвольный код. Тем не менее, Microsoft заявила, что обнаруженное исследователем «странное поведение» интерпретатора командной строки является предусмотренным функционалом и не может считаться уязвимостью.

В сетевом протоколе передачи данных Microsoft Server Message Block (SMB) обнаружена новая критическая уязвимость SMBleed (CVE-2020-1206), использование которой позволяет злоумышленникам удаленно получить из памяти ядра конфиденциальные данные. В сочетании с уязвимостью SMBGhost (CVE-2020-0796) проблема может быть использована для удаленного выполнения кода.

Уязвимость работает в Windows 10 1903 и 1909. Чтобы использовать её, неавторизованному злоумышленнику придётся настроить вредоносный сервер SMBv3 и убедить пользователя подключиться к нему.

Новая уязвимость CallStranger (CVE-2020-12695) позволяет злоумышленникам захватывать контроль над различными «умными» устройствами, использовать их для DDoS-атак, обхода защитных решений, сканирования внутренней сети жертвы и хищения данных.

Уязвимость связана с набором сетевых протоколов UPnP, которые используют многие «умные» устройства. Для её эксплуатации злоумышленнику нужно отправить на устройство TCP-пакеты, содержащие изменённое значение параметра callback в заголовке для функции SUBSCRIBE. Изменённый заголовок может быть использован для атак на любые устройства, подключенные к интернету и поддерживающие UPnP, включая камеры наблюдения, видеорегистраторы, принтеры, маршрутизаторы.

Проблема затрагивает ПК под управлением Windows, игровые приставки, телевизоры и маршрутизаторы производства Asus, Belkin, Broadcom, Cisco, Dell, D-Link, Huawei, Netgear, Samsung, TP-Link, ZTE и пр.

Критическая уязвимость CVE-2020-12493 обнаружена в контроллерах светофора CPU LS4000 от поставщика SWARCO TRAFFIC SYSTEMS. Эксплуатация уязвимости позволяет злоумышленникам нарушать работу светофоров.

Уязвимый контроллер SWARCO работает под управлением операционной системы реального времени BlackBerry QNX и позволяет управлять светофорами на одном перекрестке. Оказалось, что в системе был открыт отладочный порт, подключившись к которому, неавторизованный злоумышленник получал права суперпользователя на любом контроллере и мог произвольно управлять сигналами светофора, например, выключить их, переключить все на красный свет или заставить мигать желтым светом.

Инциденты

Компания Honda стала жертвой кибератаки с использованием вымогателя, которая привела к остановке некоторых производственных процессов.

At this time Honda Customer Service and Honda Financial Services are experiencing technical difficulties and are unavailable. We are working to resolve the issue as quickly as possible. We apologize for the inconvenience and thank you for your patience and understanding.

— Honda Automobile Customer Service (@HondaCustSvc) June 8, 2020

По предварительным данным один из серверов компании был заражен вымогательским ПО Snake (также известно как Ekans). Эта программа блокирует используемые на промышленных предприятиях АСУ ТП и требует выкуп за разблокировку.

Хотя сама компания не раскрывает никаких подробностей о характере инцидента, однако в VirusTotal обнаружен образец вредоноса Snake, подготовленный специально для атаки на Honda: он проверяет внутреннюю сеть mds.honda.com.

Вредоносное ПО

Мультиплатформенный вымогатель Tycoon, написанный на Java, прячется от защитных систем в файлах образов JIMAGE.

Для распространения вредонос использует уязвимые RDP-серверы, доступные из интернета. Затем злоумышленники

• используют инъекцию Image File Execution Options (IFEO) для закрепления в системе,
• запускают бэкдор вместе Microsoft Windows On-Screen Keyboard (OSK),
• отключают антивирусные продукты, используя ProcessHacker,
• запускают вымогательский модуль на Java, который шифрует все файловые серверы, подключенные к сети, включая системы резервного копирования.

Сам шифровальщик находится в ZIP-архиве c вредоносной сборкой Java Runtime Environment (JRE) и скомпилированным образом JIMAGE.
Формат JIMAGE используют для хранения кастомных образов JRE . Он был представлен вместе с Java 9, слабо документирован и редко используется.

Первая онлайн-конференция по OSINT для профессионалов и любителей

АНО ДПО ЦПК «АИС» приглашает всех желающих на мероприятие, посвящённое разведке по открытым источникам (OSINT).

Спикеры конференции — профессионалы в мире гражданских разведывательных технологий:

• гуру Конкурентной разведки в России, ведущий эксперт Андрей Масалович, АИС
• начальник кафедры специальных информационных технологий Университета МВД им В.Я. Кикотя Евгений Поликарпов,
• независимый исследователь даркнета Антон Ставер.

Дата: 16 июня
Время: с 14.00 до 18.00 (мск)
Стоимость участия: 2400 руб.

Участникам онлайн-конференции выдаются Свидетельства АИС.

Зарегистрироваться на мероприятие

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 мая по 4 июня 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошенничество

Обнаружена ещё одна COVID-брендированная фишинговая атака, ориентированная на посетителей сайта итальянского национального института социального обеспечения (ИНИСО).

ИНИСО — ведомство, которое занимается выплатой государственных пособий гражданам, пострадавшим от пандемии коронавируса.

Мошенники создали полную копию сайта ИНИСО на домене inps-it(.)top:

Гражданам, обратившимся за пособием, сайт предлагает загрузить «приложение для новой компенсации за COVID-19»

Под видом приложения на устройство загружается банковский Android-троян в виде файла «acrobatreader.apk». После запуска вредонос запрашивает права на сервисы для людей с ограниченными возможностями и доступ к другим системным функциями, а затем незаметно очищает банковские счета доверчивых граждан.

Italian version of the report

Мобильная безопасность

Вредоносная картинка может превратить Android-смартфон в бесполезный кирпич, если пользователь установит её в качестве обоев.

WARNING???
Never set this picture as wallpaper, especially for Samsung mobile phone users!
It will cause your phone to crash!
Don't try it!
If someone sends you this picture, please ignore it. pic.twitter.com/rVbozJdhkL

— Ice universe (@UniverseIce) May 31, 2020

Сразу после установки обоев смартфон впадает в бесконечный цикл включения-выключения дисплея, лишая владельца возможности использовать устройство. Сообщается, что перезагрузка не избавляет от проблемы.

Предположительно причина проблемы в содержащихся в картинке метаданных, обработка которых системным ПО смартфона вызывает такой эффект.

Атаки и уязвимости

В клиента Zoom обнаружены две уязвимости, которые можно использовать для размещения на компьютере произвольных файлов и удалённого выполнения вредоносного кода.

• CVE-2020-6109 — уязвимость, связанная с тем, как Zoom обрабатывает ссылки на сервис GIPHY, чтобы пользователи могли через чат обмениваться анимированными GIF-файлами.
  Выяснилось, что Zoom не проверял источник гифок, что давало злоумышленникам возможность вставить в чат GIF со своего сервера. Получив изображение, Zoom сохраняет его в специальной папке, но при этом не производит «обезвреживание» имени, что позволяет преступникам организовать обход каталогов и сохранить вредоносные файлы в любом месте целевой системы.

• CVE-2020-6110 — уязвимость, вызванная небезопасной обработкой фрагментов кода, передаваемых через чат. Чат Zoom базируется на стандарте XMPP и использует дополнительные расширения. Одно из таких расширений позволяет включить в чат фрагменты исходного кода с подсветкой синтаксиса. Перед отправкой такого кода Zoom упаковывает его в zip-архив, который распаковывается на системе получателя. Проблема состоит в том, что функция извлечения zip-архива Zoom не проверяет содержимое zip-архива перед его извлечением, что позволяет злоумышленнику установить на целевую систему произвольные двоичные файлы.

В ПО VMware Cloud Director обнаружена уязвимость CVE-2020-3956, эксплуатация которой позволяет злоумышленнику получить доступ к конфиденциальной информации, управлять частными облаками в рамках всей инфраструктуры, а также выполнить произвольный код.

Уязвимость связана с некорректной обработкой вводимой информации и позволяет авторизованному злоумышленнику отправить вредоносный трафик в Cloud Director через пользовательские интерфейсы на основе HTML5 и Flex, интерфейс API Explorer или через API, добившись в итоге выполнения произвольного кода.

Эксплуатация уязвимости даёт возможнсть:

• Просмотреть содержимое внутренней базы данных, включая хэши паролей всех клиентов, выделенных для этой инфраструктуры.
• Изменить системную базу данных для доступа к другим виртуальным машинам различных организаций в Cloud Director.
• Повысить привилегии от администратора до системного администратора с доступом ко всем облачным учетным записям, изменив пароль с помощью SQL-запроса.
• Изменить страницу авторизации в Cloud Director, чтобы перехватывать пароли другого клиента в виде открытого текста, включая учетные записи системного администратора.
• Читать полные имена клиентов, их адреса электронной почты или IP-адреса.

Обнаружен написанный на Java шифровальщик-вымогатель PonyFinal, который использует для распространения взломанные учётные записи.

PonyFinal is a Java-based ransomware that is deployed in human-operated ransomware attacks. While Java-based ransomware are not unheard of, they’re not as common as other threat file types. However, organizations should focus less on this payload and more on how it’s delivered. pic.twitter.com/Q3BMs7fSvx

— Microsoft Security Intelligence (@MsftSecIntel) May 27, 2020

Схема атаки:

• взлом учётной записи на сервере управления системами путём простого перебора, который начинается со слабых паролей.
• когда учётная запись взломана, злоумышленники активируют PowerShell-скрипт, который предоставляет преступникам удалённый доступ к системе и собирает необходимые для продолжения атаки данные.
• на сервере развёртываются компоненты, необходимые для работы вредоноса;
• PonyFinal упаковывается для распространения в MSI-файл, который содержит два пакетных файла и полезную нагрузку. UVNC_Install.bat создает запланированное задание с именем «Java Updater» и вызывает RunTask.bat, который запускает полезную нагрузку PonyFinal.JAR.

Вымогательское сообщение PonyFinal

Зашифрованные PonyFinal файлы имеют формат .enc. Пока способов или инструментов для расшифровки таких файлов не разработано.

Выявлена очередная уязвимость процессоров Intel и AMD перед атакой по сторонним каналам.

Видео: запись нажатий клавиш с помощью Dabangg

Получившая название Dabangg атака базируется на уже известных методах Flush+Reload и Flush+Flush, которые приводят к утечке данных из процессоров Intel. Однако в отличие от них Dabangg эффективен даже в системах с множеством ядер и работает в операционной системе macOS.

При удачном применении нового метода атакующий может перехватить ввод пользователя, извлечь закрытые ключи AES и другие данные с помощью канала между вредоносным процессом и жертвой. По принципу работы уязвимость можно сравнить со Spectre, которая также открывает доступ к данным в кэше.

Видео: атака на алгоритм шифрование AES с использованием Dabangg

Инциденты

Киберпреступная группировка Riviera Maya похитила более 1 млрд долларов США у туристов и жителей Мексики, организовав свою компанию по ремонту банкоматов.

Сотрудники принадлежащей преступникам компании Intacash смогли, не вызывая подозрений, установить скиммеры для хищения данных банковских карт более чем на 100 банкоматах, расположенных в лучших туристических местах Мексики. Каждый такой «дооснащённый» банкомат приносил банде примерно 1000 карт в месяц, а с каждой карты они снимали в среднем 200 долларов.

Для получения собранных данных достаточно было подойти к банкомату со смартфоном, запустить приложение и скачать накопившиеся в модуле памяти сведения о картах и пин-кодах.

Видео: журналистское расследование о работе группировки Riviera Maya.

Мошенники взламывали серверы автозаправочных станций в Санкт-Петербурге и похищали топливо. Всего им удалось выполнить 417 бесплатных заправок и украсть более 2 млн рублей.

Для преступной деятельности использовалась вредоносная программа, которая дестабилизировала работу серверов на АЗС. В результате сразу после заправки любого количества топлива оплаченные денежные средства автоматически возвращались на банковскую карту преступника.

Похищенное топливо злоумышленники заливали в грузовой автомобиль «Газель» с баком на 1 тыс. литров, а затем перепродавали на трассе.

Киберпреступники опубликовали конфиденциальные данные электроэнергетической компании Elexon, похищенные во время кибератаки 14 мая 2020 года. Опубликованные данные включают 1280 файлов, в том числе паспорта сотрудников Elexon и конфиденциальную информацию компании.

Для взлома злоумышленники использовали уязвимость CVE-2019-11510 в устаревшей версии SSL VPN-сервера Pulse Secure, который использовала компания.

После того, как компания отказались выполнять требования вымогателей и восстановила IT-инфраструктуру из резервных копий, злоумышленники решили устроили акт возмездия.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.