Краткий обзор главных событий в мире ИБ за неделю.
Возвращение нашумевшей кибервымогательской группировки REvil, целый ряд уязвимостей нулевого дня, версия вредоносной нагрузки Cobalt Strike Beacon для Linux-устройств – об этих и других событиях в мире ИБ за период с 11 по 17 сентября 2021 года читайте в нашем обзоре.
Одним из самых громких событий недели стало возвращение нашумевшей кибервымогательской группировки REvil. После двухмесячного отсутствия группировка сначала восстановила свои сайты и зарегистрировала новые профили на киберпреступных форумах, а затем возобновила кибератаки. Организации, ставшие жертвами вымогательского ПО REvil до 13 июля 2021 года, могут расшифровать свои файлы с помощью выпущенной на этой неделе бесплатной утилиты от компании Bitdefender.
Называющая себя преемником REvil и Darkside кибервымогательская группировка BlackMatter атаковала крупного японского производителя оптики и фототехники Olympus. При обнаружении подозрительной активности, обмен данными в затронутых системах был приостановлен. Расследование инцидента продолжается.
Жертвой неизвестного вымогательского ПО также стало Министерство юстиции Южно-Африканской республики (ЮАР). В результате заражения были зашифрованы все информационные системы ведомства. Из-за кибератаки стали недоступны оказываемые Минюстом электронные услуги, кроме того, пострадала административная платежная система MojaPay. В связи с этим сотрудники ведомства были вынуждены проводить судебные заседания, выдавать документы и осуществлять платежи вручную.
Известное вымогательское ПО Ragnar Locker атаковало компанию TTEC, услугами которой пользуются некоторые из крупнейших мировых брендов для управления поддержкой клиентов и продажами в интернете и по телефону. В результате инцидента сотни сотрудников TTEC, которым поручено работать с предоплаченными услугами Bank of America, не могли удаленно подключиться к инструментам обслуживания клиентов, сотни не могли выполнять свою обычную работу по поддержке клиентов Verizon и еще сотни – обрабатывать звонки в Kaiser Permanente.
В течение недели был раскрыт целый ряд уязвимостей нулевого дня, активно эксплуатирующихся киберпреступниками. Две из них связаны с нашумевшим шпионским ПО Pegagus от израильской компании NSO Group – CVE-2021-30858 в WebKit и CVE-2021-30860 в компоненте CoreGraphics.
Не успел немного поутихнуть скандал с шпионским ПО Pegasus, как на владельцев iPhone обрушились новости о другом шпионском ПО. В результате Apple была вынуждена выпустить неожиданное экстренное обновление iOS 14.8, исправляющее активно эксплуатирующуюся уязвимость в iMessage. Хотя исправление вышло на этой неделе, эксплоит для уязвимости был разработан еще пять лет назад. Более того, создателем инструмента является американская компания Accuvant (в настоящее время является частью более крупной компании Optiv), которая в 2016 году продала его правительству ОАЭ за $1,3 млн.
Microsoft рассказала о целенаправленной фишинговой кампании с эксплуатацией уже исправленной уязвимости нулевого дня в платформе MSHTML. В ходе кампании злоумышленники использовали особым образом сконфигурированные документы Office для развертывания Cobalt Strike Beacon на скомпрометированных устройствах под управлением Windows. Как пояснили специалисты Microsoft Threat Intelligence Center, хакеры эксплуатировали уязвимость CVE-2021-40444 для получения первоначального доступа к сетям и развертывания кастомных загрузчиков Cobalt Strike Beacon. Эксплоиты для данной уязвимости были опубликованы на хакерских форумах на этой неделе.
Компания Google на этой неделе выпустила обновления безопасности для своего браузера Chrome, исправляющие 11 уязвимостей , две из которых уже активно эксплуатируются в хакерских атаках. Уязвимости нулевого дня CVE-2021-30632 и CVE-2021-30633 представляют собой запись данных за пределами выделенной области памяти в JavaScript-движке V8 и использование памяти после высвобождения в Indexed DB API соответственно.
Исследователи израильской ИБ-компании Intezer рассказали о недавно обнаруженных новых версиях Cobalt Strike Beacon для Linux и Windows, использующихся хакерами в атаках на правительственные организации, банки, телекоммуникационные и IT-компании. Пока не детектируемая антивирусными решениями версия Cobalt Strike Beacon под кодовым названием Vermilion Strike представляет собой редкий случай портирования на Linux инструмента, традиционно использующегося «красными» командами тестировщиков безопасности на Windows-машинах.
12 сентября IT-инфраструктура хостинг-провайдера MskHost была взломана хактивистами. После взлома провайдер MskHost приостановил работу. Вся инфраструктура хостинга была взломана, был получен доступ к пользовательским серверам и данным, а большая часть серверов была безвозвратно удалена, говорится в заявлении хактивистов. MskHost пояснил, что при взломе были украдены персональные данные клиентов, которые хакеры начали вкладывать в открытый доступ. Как они намерены компенсировать эту утечку, представители хостинга не пояснили. Также провайдер не раскрыл, обращался ли он в правоохранительные органы по поводу взлома и утечки персональных данных клиентов. Спустя несколько дней после инцидента MskHost объявил себя банкротом.
Хактивисты Anonymous заявили о похищении почти двух сотен гигабайт данных у регистратора доменов Epik. В список клиентов компании входят праворадикальные сайты, в том числе Texas GOP, Gab, Parler, 8chan и пр. Похищенные данные были опубликованы в виде torrent-файлов, а также выложены на сайте Distributed Denial of Secrets (DDoSecrets). По словам Anonymous, набор данных, общий объем которых составляет 180 ГБ, содержит данные клиентов Epik за последние десять лет. Хактивисты заявили, что набор данных содержит «все необходимое для отслеживания реальных владельцев и руководителей фашистской стороны интернета».
Организаторы новой вредоносной кампании Zloader в ходе кибератак отключают антивирусное решение Microsoft Defender (Защитник Windows) на компьютерных системах жертв во избежание обнаружения. Злоумышленники также изменили вектор распространения вредоносных программ со спама или фишинговых писем на рекламу TeamViewer с помощью Google Adwords, перенаправляя жертв на вредоносные сайты. Жертв обманом заставляют загружать подписанные вредоносные установщики MSI, предназначенные для установки вредоносных программ Zloader.
Специалисты ИБ-компании ThreatFabric обнаружили новый банковский Android-троян, атакующий пользователей банковских приложений, криптовалютных кошельков и приложений интернет-магазинов в США и Испании. Вредонос, получивший название S.O.V.A., снабжен множеством разнообразных функций, включая кражу учетных данных, сессионных cookie-файлов через оверлейные атаки, запись нажатий клавиш, сокрытие уведомлений, внедрение адресов в буфер обмена криптовалютных кошельков, осуществление DDoS-атак, развертывание вымогательского ПО и перехват кодов двухфакторной аутентификации.
Источник: securitylab