Краткий обзор инцидентов безопасности за прошлую неделю.
Взломы, утечки данных и мошенничество – только малая толика инцидентов безопасности, имевших место за прошедшую неделю. Об этих и других событиях в мире ИБ читайте в нашем обзоре.
Спустя месяц после того, как стало известно об атаке на SolarWinds, специалисты Symantec обнаружили еще одну вредоносную программу, использовавшуюся хакерами. Инструмент, получивший название Raindrop, представляет собой загрузчик маяков Cobalt Strike. Raindrop имеет большое сходство с уже известным инструментом Teardrop, но между ними есть некоторые ключевые различия. Хотя Teardrop был доставлен с помощью бэкдора Sunburst, Raindrop, похоже, использовался для распространения по сети жертвы. На сегодняшний день эксперты не обнаружили свидетельств того, что Raindrop доставляется напрямую через Sunburst.
В течение последней недели продолжали свою активность операторы вымогательского ПО. К примеру, специалисты компании Media Trust рассказали о новой кампании по распространению вредоносной рекламы, нацеленной на пользователей мобильных и других подключенных к Сети устройств. Операторы кампании, получившей название LuckyBoy, ориентированы на пользователей iOS, Android и Xbox. С декабря 2020 года они заразили более 10 автоматизированных систем покупки (Demand-Side Platform, DSP) в основном в Европе.
Разработчик программного обеспечения для оптимизации Windows и защиты от вредоносного ПО IObit стал жертвой масштабной кибератаки с целью распространения вымогательского ПО DeroHE среди участников ее форума. Форумчане стали получать электронные письма, якобы отправленные IObit, в которых предлагается бесплатная годовая лицензия на программное обеспечение в качестве особого преимущества участия в форуме. В электронном письме была ссылка «ПОЛУЧИТЬ СЕЙЧАС», перенаправляющая на сайт (hxxps: //forums.iobit.com/promo.html), который в ходе атаки распространял вредоносный файл.
Помимо вымогательского ПО киберпреступники продолжают распространять майнеры криптовалют. Так, исследователи безопасности из Check Point Research обнаружили текущую вредоносную кампанию, в ходе которой киберпреступники используют недавно выявленные уязвимости в сетевых хранилищах (NAS), работающих под управлением Linux, для осуществления DDoS-атак и майнинга криптовалюты Monero. В ходе вредоносной кампании используется новый вариант вредоносного ПО FreakOut. Хакеры эксплуатируют уязвимости в Laminas Project и Liferay Portal, а также неисправленные уязвимости в TerraMaster. Проблемы CVE-2020-28188, CVE-2021-3007 и CVE-2020-7961 используются для внедрения и выполнения вредоносных команд на сервере.
Что касается уязвимостей, киберпреступники продолжают их продавать. К примеру, в даркнете выставлена на продажу SQLi-уязвимость на сайте Pickpoint.ru. Уязвимость выставлена несколькими продавцами на продажу на теневом форуме за $1 тыс. Как утверждается, база данных работает под управлением MS SQL Server 2012 с технологией ASP.Net 4.0. Также выставлена на продажу база данных с 4 млн записей персональных данных, предположительно клиентов компании, содержащих ФИО, даты рождения, телефоны, адреса, эл. почты, хешированные (MD5) пароли и т.п.
Команда открытого проекта OpenWRT, предоставляющего бесплатные кастомизированные прошивки для домашних маршрутизаторов, сообщила об инциденте безопасности, в результате которого злоумышленники получили доступ к учетной записи администратора форума. Хотя хакерам и не удалось загрузить всю базу данных форума OpenWRT, они все же скопировали полный список форумчан, в том числе использующиеся ими имена и электронные адреса.
Стоит отметить, что киберпреступники не всегда надлежащим образом защищают похищенные данные. Хакеры, атаковавшие тысячи организаций по всему миру в рамках масштабной фишинговой кампании, забыли защитить свой «улов», в результате чего он стал доступен через поиск Google. В продолжавшейся более полугода фишинговой кампании использовались десятки доменов с поддельными страницами авторизации Microsoft Office 365. Несмотря на использование очень простых техник, злоумышленникам удавалось успешно обходить фильтры безопасности для электронных писем, благодаря чему они собрали как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365.
Исследователь безопасности Кирк Сэйр (Kirk Sayre) обнаружил фишинговую кампанию, в которой злоумышленники используют обычную безобидную команду Windows Finger для загрузки и установки на устройства жертв бэкдора MineBridge. В ходе кампании злоумышленники отправляют фишинговые письма с вредоносными документами Word, замаскированные под резюме от соискателя. Когда пользователь нажимает кнопки «Разрешить редактирование» или «Разрешить содержимое», запускается защищенный паролем макрос для загрузки вредоносного ПО MineBridge.
Киберпреступная группировка Chimera в течение последних нескольких лет атаковала авиационную отрасль с целью хищения о пассажирах, чтобы отслеживать передвижение определенных лиц. Предполагается, что группировка действует в интересах китайского государства. Первые атаки хакеров были нацелены на тайваньскую индустрию сверхпроводников. Но теперь, по словам специалистов из NCC Group и ее дочерней компании Fox-IT, интересы преступников охватили и авиационную отрасль.
Интерпол предупредил об участившихся случаях мошенничества с использованием приложений для знакомств. Киберпреступники пользуются растущей популярностью приложений для знакомств наподобие Tinder, Match, Bumble и пр., чье число пользователей в период пандемии коронавируса существенно увеличилось. Злоумышленники знакомятся с потенциальной жертвой в приложении, а когда общение становится регулярным, начинают давать ей советы по вложению денег. Затем они убеждают ее установить приложение, предназначенное якобы для трейдинга, и покупать различные «финансовые продукты». После того, как жертва переведет злоумышленникам определенную сумму, все контакты с ней прекращаются, а ее учетная запись в приложении блокируется.
Источник: securitylab