{
    "version": "https:\/\/jsonfeed.org\/version\/1",
    "title": "Блог Start X: заметки с тегом Ю",
    "_rss_description": "как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов",
    "_rss_language": "ru",
    "_itunes_email": "",
    "_itunes_categories_xml": "",
    "_itunes_image": "",
    "_itunes_explicit": "",
    "home_page_url": "https:\/\/blog.startx.team\/tags\/yu\/",
    "feed_url": "https:\/\/blog.startx.team\/tags\/yu\/json\/",
    "icon": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408",
    "author": {
        "name": "Start X",
        "url": "https:\/\/blog.startx.team\/",
        "avatar": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408"
    },
    "items": [
        {
            "id": "441",
            "url": "https:\/\/blog.startx.team\/all\/digest-393\/",
            "title": "Дайджест Start X № 393",
            "content_html": "<p class=\"lead\">Обзор новостей информационной безопасности с 18 по 24 октября 2024 года<\/p>\n<p main>\r\n    <i><\/i>\r\n<br>\r\n<i><\/i>\r\n\r\n<\/p>\n<p aside style=\"opacity: 1; text-align: center;\">\r\n    <img src=\"\/pictures\/andrey2.jpg\" width=\"40%\" \/> <br \/>\r\n    <a href=\"mailto:digest@antiphish.ru\">Андрей Жаркевич<\/a><br \/> редактор<br \/><br \/>\r\n    <img src=\"\/pictures\/artemy.png\" width=\"40%\" \/> <br \/>\r\n    <a href=\"mailto:ab@antiphish.ru\">Артемий Богданов<\/a><br \/>технический директор<br \/><br \/>\r\n    <img src=\"\/pictures\/svoldokhin_new.jpg\" width=\"40%\" \/> <br \/>\r\n    <a href=\"mailto:sv@antiphish.ru\">Сергей Волдохин<\/a> <br \/>\r\n    выпускающий редактор\r\n<\/p>\n<h2>Киберкампании<\/h2>\n<p class=\"lead\"><a href=\"https:\/\/securelist.ru\/horns-n-hooves-campaign-delivering-netsupport-rat\/110772\/\">Обнаружена волна рассылок с вредоносными вложениями, замаскированными под запросы от потенциальных клиентов или партнеров<\/a>.<\/p>\n<p><img src=\"\/pictures\/image-390.png\"><\/p>\n<p>Кампания получила название Horns&Hooves («Рога и копыта») и продолжается с весны 2023 года. Целями хакеров стали как частные пользователи в России, так и предприятия из сферы торговли и услуг.<\/p>\n<h3>Как действуют преступники<\/h3>\n<ol start=\"1\">\n<li>Обычно письма атакующих содержат ZIP-архивы, внутри которых находятся файлы с вредоносными скриптами (обычно JScript).<\/li>\n<\/ol>\n<p><img src=\"\/pictures\/digest-393-1.png\"><\/p>\n<ol start=\"2\">\n<li>Послания замаскированы под различные обращения: заявки на закупку товаров, запросы цен, акты сверки, заявления на возврат, досудебные или обычные претензии.<\/li>\n<\/ol>\n<p><img src=\"\/pictures\/image-389.png\"><\/p>\n<ol start=\"3\">\n<li>Для создания видимости легитимности в архиве помимо скрипта действительно могут быть документы, относящиеся к конкретной организации или человеку, за которых выдают себя злоумышленники. Например, к письмам с запросом цен прилагаются выписки из ЕГРЮЛ, свидетельства о постановке на налоговый учет и карточки компаний.<\/li>\n<\/ol>\n<p><img src=\"\/pictures\/digest-393-2.png\"><\/p>\n<ol start=\"4\">\n<li>При запуске вредоносного скрипта на экране жертвы отображается документ-приманка, например таблица со списком товаров для закупки.<\/li>\n<\/ol>\n<ol start=\"5\">\n<li>В результате таких атак на устройства жертв проникают трояны NetSupport RAT или BurnsRAT. Это вредоносные версии легитимных инструментов NetSupport Manager и Remote Manipulator System, возможностями которых злоупотребляют злоумышленники.<\/li>\n<\/ol>\n<ol start=\"6\">\n<li>Установка RAT — лишь  промежуточное звено в атаке. После заражения на некоторые устройства пытались установить еще и стилеры (например, Rhadamanthys и Meduza).<\/li>\n<\/ol>\n<p>Последствия заражения для компаний могут быть разными в зависимости от того, в чьи руки в дальнейшем попадут украденные сведения: от кражи данных до шифрования и повреждения систем. Также атакующие могут собирать документы и электронные адреса для продолжения собственных атак.<\/p>\n<div class=\"_line\"><\/div><p class=\"lead\"><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/eset-partner-breached-to-send-data-wipers-to-israeli-orgs\/\">Злоумышленники скомпрометировали эксклюзивного партнера компании ESET в Израиле и разослали клиентам фишинговые письма<\/a>, предлагая под видом антивирусного ПО установить вредоносное ПО, уничтожающее данные.<\/p>\n<h3>Как действовали преступники<\/h3>\n<ol start=\"1\">\n<li>Хакеры рассылали жертвам электронные письма с логотипом ESET с легитимного домена eset.co.il, которым управляет компания Comsecure — израильский дистрибьютор продуктов ESET.<\/li>\n<\/ol>\n<p><img src=\"\/pictures\/image-386.png\"><\/p>\n<ol start=\"2\">\n<li>В письмах хакеры выдавали себя за представителей ESET Advanded Threat Defense Team и предупреждали, что некие правительственные хакеры якобы пытаются атаковать устройство клиента. Для защиты от этой угрозы жертве предлагалось установить продвинутый антивирусный инструмент ESET Unleashed, якобы предназначенный для «противодействия современным таргетированным угрозам».<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Чтобы придать атаке большую легитимность, ссылка на загрузку ESET Unleashed тоже вела в домен eset.co.il.<\/li>\n<\/ol>\n<ol start=\"4\">\n<li>Вредоносный ZIP-архив содержал четыре DLL-файла, подписанные подлинным цифровым сертификатом ESET, и файл Setup.exe, который не был подписан.<\/li>\n<\/ol>\n<p><img src=\"\/pictures\/image-387.png\"><\/p>\n<ol start=\"5\">\n<li>Все DLL-библиотеки представляли собой легитимные файлы, действительно распространяющиеся в составе антивирусного ПО ESET, а вот Setup.exe был вайпером, то есть малварью для стирания и уничтожения данных.<\/li>\n<\/ol>\n<ol start=\"6\">\n<li>Вредоносное ПО использовало множество приемов, чтобы избежать обнаружения и обращалось к легитимному израильскому новостному сайту www.oref.org.il.<\/li>\n<\/ol>\n<div class=\"_line\"><\/div><p class=\"lead\"><a href=\"https:\/\/iz.ru\/1776777\/maria-frolova\/platez-ne-tuda-mosenniki-nacali-rassylat-poddelnye-kvitancii-zkh\">Мошенники рассылают поддельные квитанции на оплату услуг ЖКХ жителям Подмосковья<\/a>. Внешне такие квитанции выглядят как обычные. Но деньги, которые переводят жители, попадают мошенникам.<\/p>\n<h3>Особенности кампании<\/h3>\n<ol start=\"1\">\n<li>В почтовом ящике человека оказывается документ, похожий на реальную квитанцию на оплату услуг ЖКХ.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Жертва оплачивает эти услуги, а позже приходит уже настоящая квитанция (вариант: настоящую квитанцию воруют мошенники, а через месяц приходит долговая квитанция от УК).<\/li>\n<\/ol>\n<ol start=\"3\">\n<li>QR-код на бланке может содержать ссылку, при переходе по которой человек загрузит вредоносное ПО с предоставлением удалённого доступа к смартфону, на которому установлены банковские приложения и «Госуслуги».<\/li>\n<\/ol>\n<ol start=\"4\">\n<li>В итоге человек может потерять не только те деньги, которые переведет преступникам, но и вообще все свои сбережения.<\/li>\n<\/ol>\n<h2>Инциденты<\/h2>\n<p class=\"lead\"> <a href=\"https:\/\/t.me\/radiantcapitalofficial\/157074\">У децентрализованной платформы Radiant Capital похитили криптовалюту на сумму более 50 млн долларов США<\/a>.<\/p>\n<p><img src=\"\/pictures\/image-385.png\"><\/p>\n<p>Хакеры получили доступ к приватным ключам разработчиков Radiant Capital, что в итоге позволило им похитить средства пользователей.<\/p>\n<p>В компании заявили, что пострадавшие разработчики использовали аппаратные кошельки и находились в разных географических точках, что снижало вероятность скоординированной физической атаки, однако злоумышленники смогли скомпрометировать устройства как минимум трёх основных контрибуторов с помощью сложной инъекции вредоносного ПО. Затем эти скомпрометированные устройства использовались для подписи вредоносных транзакций.<\/p>\n<p>По словам представителя Radiant Capital, компания «столкнулась с очень изощренным нарушением безопасности, в результате которого потеряла 50 миллионов долларов». Устройства разработчиков были скомпрометированы таким образом, что «отображали легитимные данные о транзакциях, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме». Также сообщается, что взломанные устройства «не демонстрировали никаких очевидных предупреждений, не считая незначительных сбоев и сообщений об ошибках».<\/p>\n<div class=\"_line\"><\/div><p class=\"lead\"><a href=\"https:\/\/techcrunch.com\/2024\/10\/17\/casio-says-no-prospect-of-recovery-yet-after-ransomware-attack\/\">Работа компании Casio нарушена из-за кибератаки вымогателя в начале октября<\/a>. Представитель компании сообщил, что пока не видит перспектив восстановления, а все предпринимаемые меры усложняют выполнение заказов и взаимодействие с поставщиками.<\/p>\n<p><img src=\"\/pictures\/digest-393.png\"><\/p>\n<p>Вымогательское ПО нарушило работу нескольких ключевых систем Casio. В результате компания временно приостановила приём товаров на ремонт и предупредила, что возобновление обслуживания ожидается не раньше конца ноября.<\/p>\n<p>Ответственность за атаку взяли на себя вымогатели из группировки Underground. Преступники заявили, что похитили 204,9 ГБ данных, среди которых информация временных и штатских сотрудников, а также работников компаний-партнеров и бизнес-партнёров. Также хакеры получили доступ к данным соискателей, проходивших собеседования с Casio и её партнёрами.<\/p>\n<div class=\"_line\"><\/div><p class=\"lead\"><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/internet-archive-breached-again-through-stolen-access-tokens\/\">Некоммерческая организация «Архив интернета» (Internet Archive) второй раз за этот месяц пострадала от хакерской атаки<\/a>. Злоумышленникам удалось похитить аутентификационные токены GitLab и скомпрометировать Zendesk организации.<\/p>\n<p><img src=\"\/pictures\/image-388.png\"><\/p>\n<p>Первый взлом произошёл в середине октября, когда «Архив интернета» подвергся дефейсу, краже данных и мощным DDoS-атакам. Тогда злоумышленники сумели похитить информацию о 31 млн пользователей.<\/p>\n<p>В прошедшие выходные множеству пользователей неожиданно пришли ответы на старые запросы по удалению контента из Internet Archive. Сообщения были написаны злоумышленниками и гласили, что организация взломана, поскольку небрежно обращалась со своими аутентификационными токенами, которые были похищены две недели назад во время первой атаки.<\/p>\n<p>Письма прошли все проверки, аутентификацию DKIM, DMARC и SPF, и были отправлены авторизованным сервером Zendesk с адреса 192.161.151.10.<\/p>\n<p>При этом некоторые читатели сообщили журналистам, что при запросе на удаление контента из Wayback Machine им приходилось указывать личные данные. Теперь эта информация тоже может находиться в руках злоумышленников, в зависимости от того, какой доступ они имели к Zendesk.<\/p>\n<div class=\"_line\"><\/div><p class=\"lead\"><a href=\"https:\/\/apnews.com\/article\/cyprus-cyber-digital-attack-a5971b2387269a8c154a09998e3697f5\">Неизвестные хакеры атаковали правительственный портал Кипра, чтобы заблокировать доступ к государственным онлайн-сервисам<\/a>.<\/p>\n<p>В результате DDoS-атаки на несколько минут был нарушен доступ к порталу «gov.cy», однако остальные сайты министерств и ведомств остались недоступными для злоумышленников и продолжали работать в штатном режиме.<\/p>\n<p>Министерство исследований, инноваций и цифровой политики Кипра сообщило, что оперативная и скоординированная работа специалистов помогла предотвратить атаку. В ведомстве не раскрыли, кто стоит за атаками и какие мотивы могли ими руководить.<\/p>\n<div class=\"_line\"><\/div><p class=\"lead\"><a href=\"https:\/\/www.vesti.ru\/hitech\/article\/4187158\">МИД РФ сообщил о «беспрецедентной» атаке на свой сайт<\/a>.<\/p>\n<p>Высказывают предположения, что хакерская атака может быть связана с успешно проходящим саммитом БРИКС в Казани.<\/p>\n<p>Мария Захарова прокомментировала инцидент:<\/p>\n<blockquote>\n<p>«Мы регулярно сталкиваемся с атаками на наш сайт, но сегодняшнее кибернападение отличается беспрецедентным масштабом, и для того, чтобы восстановить работоспособность интернет-ресурсов, мы решили не добавлять нагрузки на сайт в виде трансляции и перенести брифинг.»<\/p>\n<\/blockquote>\n<p>По состоянию на 10.30 утра в четверг сайт МИД РФ работает.<\/p>\n<div class=\"_line\"><\/div><p class=\"lead\">Телеграм-канал «Утечки информации» сообщает, что <a href=\"https:\/\/t.me\/dataleak\/3402\">в свободный доступ были выложены данные заказов и покупателей сети винных магазинов winestyle<\/a>.<\/p>\n<p><img src=\"\/pictures\/telegram-cloud-photo-size-2-5244896732414865193-y.jpg\"><\/p>\n<p>В текстовом файле, содержащем 1 154 694 строки, находятся: имена, телефоны (427 тыс. уникальных), адреса эл. почты (407 тыс. уникальных), адреса доставки, содержимое, даты и стоимость заказов, IP-адреса.<\/p>\n<p>Данные датируются 23.10.2024.<\/p>\n",
            "date_published": "2024-10-24T20:19:58+03:00",
            "date_modified": "2024-10-24T20:18:16+03:00",
            "image": "https:\/\/blog.startx.team\/pictures\/image-385.png",
            "_date_published_rfc2822": "Thu, 24 Oct 2024 20:19:58 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "441",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [],
                "og_images": [
                    "https:\/\/blog.startx.team\/pictures\/image-385.png",
                    "https:\/\/blog.startx.team\/pictures\/digest-393.png",
                    "https:\/\/blog.startx.team\/pictures\/image-386.png",
                    "https:\/\/blog.startx.team\/pictures\/image-387.png",
                    "https:\/\/blog.startx.team\/pictures\/image-388.png",
                    "https:\/\/blog.startx.team\/pictures\/telegram-cloud-photo-size-2-5244896732414865193-y.jpg",
                    "https:\/\/blog.startx.team\/pictures\/digest-393-1.png",
                    "https:\/\/blog.startx.team\/pictures\/image-389.png",
                    "https:\/\/blog.startx.team\/pictures\/digest-393-2.png",
                    "https:\/\/blog.startx.team\/pictures\/image-390.png"
                ]
            }
        }
    ],
    "_e2_version": 3820,
    "_e2_ua_string": "E2 (v3820; Aegea)"
}