Краткий обзор главных событий в мире ИБ за неделю.

Новый инструмент киберпреступной группировки Sandworm, атаки программ-вымогателей, утечка данных швейцарского банка, похищение $1,7 млн у пользователей NFT-платформы OpenSea, кибератаки на Украину – об этих и других событиях в мире ИБ читайте в нашем обзоре.

Представители правоохранительных органов США и Великобритании связали новое вредоносное ПО под названием Cyclops Blink с российской хакерской группировкой Sandworm. Вредоносное ПО использовалось в атаках на устройства сетевой безопасности WatchGuard Firebox и другие сетевые устройства малого офиса/домашнего офиса (SOHO). Cyclops Blink, похоже, является заменой вредоносного ПО VPNFilter, обнаруженного в 2018 году, и его развертывание может позволить Sandworm получать удаленный доступ к сетям.

В свою очередь, исследователи из китайской лаборатории Pangu Lab раскрыли подробности о бэкдоре «высшего уровня», используемом APT-группировкой Equation Group. Инструмент, получивший название Bvp47 из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования, был обнаружен на системах под управлением Linux в ходе расследования в 2013 году.

Власти США рассказали подробности о вредоносной кампании, в ходе которой хакеры, предположительно связанные с Россией, взломали сети нескольких оборонных подрядчиков США. В результате атак была раскрыта конфиденциальная информация о коммуникационной инфраструктуре США, занимающейся разработкой вооружений. Кампания началась как минимум в январе 2020 года и продолжалась до февраля нынешнего года. Хакеры успешно взломали проверенных оборонных подрядчиков, у которых есть контракты с Министерством обороны США и разведывательным сообществом.

Иранская хакерская группировка под названием Moses Staff использовала многокомпонентный набор инструментов для осуществления шпионажа за израильскими организациями. В ходе вредоносной кампании группировка эксплуатировала уязвимости ProxyShell в серверах Microsoft Exchange в качестве начального вектора заражения для установки двух web-оболочек с последующим хищением файлов данных Microsoft Outlook (.PST).

Еще одна иранская хакерская группировка TunnelVision эксплуатирует критическую уязвимость Log4Shell ( CVE-2021-44228 ) в библиотеке с открытым исходным кодом Apache Log4j для установки программ-вымогателей на серверы VMware Horizon. TunnelVision активно эксплуатирует уязвимость для запуска вредоносных PowerShell-команд, установки бэкдоров, создания бэкдор-пользователей, хищения учетных данных и перемещения по сети. Как правило, злоумышленники сначала используют уязвимость в Log4j для прямого запуска PowerShell-команд, а затем запускают дальнейшие команды с помощью обратных оболочек PS, выполняемых через процесс Tomcat.

Владельцы NAS-устройств Asustor сообщили на Reddit и на официальных форумах производителя Asustor о кибератаках программы-вымогателя DeadBolt. Напомним , ранее та же программа-вымогатель нанесла ущерб устройствам QNAP, и следующей целью стали устройства от Asustor. Методы операторов DeadBolt практически не изменились. Злоумышленники удаленно заражают NAS-устройства жертвы, шифруют информацию и требуют выкуп в биткойнах.

Американский производитель кухонной утвари Meyer сообщил об утечке данных своих сотрудников в результате атаки вымогательского ПО в октябре прошлого года. Взлом имел место 25 октября, но был обнаружен только 1 декабря. Злоумышленники похитили имена и фамилии сотрудников, адреса, даты рождения, сведения о половой, расовой и этнической принадлежности, номера социального страхования, данные страховки, медицинские данные, данные водительских удостоверений, паспортов, идентификационных номеров и карт постоянного резидента США, а также информацию об иммиграционном статусе. Meyer не сообщила, какое семейство вымогателей атаковало ее сети, однако ответственность за инцидент взяла на себя группировка Conti.

После четырех лет вредоносной деятельности группировка TrickBot приняла решение завершить работу, поскольку главные участники перешли под руководство Conti. TrickBot доминирует на рынке вредоносных программ с 2016 года, сотрудничая с вымогательскими группировками и вызывая хаос на миллионах устройств по всему миру. Первоначально с TrickBot сотрудничала группировка Ryuk, но вскоре место последней заняла Conti.

Операторы TrickBot организовали новые фишинговые атаки на клиентов 60 крупных организаций, многие из которых размещены в США. В ходе атак злоумышленники рассылают электронные письма от имени известных компаний, в частности, Bank of America, Wells Fargo, Microsoft, Amazon, PayPal, American Express, Robinhood, Blockchain.com и Федеральный кредитный союз ВМС США (NFCU).

Секретарь Белого дома Джейн Псаки на брифинге в среду, 23 февраля, выступила с утверждением, что новые кибератаки на сети властей Украины соответствуют действиям, которые прежде якобы предпринимала Россия.

«Мы пока не установили, кто стоит за этими действиями. Но такое поведение соответствуют тем, что прежде предпринимались Россией при попытках дестабилизировать Украину, они отвечает тому, что мы наблюдали на предыдущей неделе. Мы установили, что ответственность за те атаки несет Россия», — заявила пресс-секретарь.

Новое вредоносное ПО под названием Xenomorph, распространяемое через магазин приложений Google Play Store, заразило более 50 тыс. устройств под управлением Android с целью кражи банковской информации. Xenomorph все еще находится на ранней стадии разработки и предназначен для осуществления атак на пользователей десятков финансовых учреждений в Испании, Португалии, Италии и Бельгии.

Одним из самых громких событий недели стала утечка данных крупного швейцарского конгломерата Credit Suisse. Эти данные, полученные журналистами Süddeutsche Zeitung от анонимного источника немного меньше года назад, касаются счетов, принадлежащих 37 тыс. человек или компаний, на общую сумму более $100 млрд. Как сообщает Le Monde, «из них не менее $8 млрд связаны с клиентами, признанными проблемными».

На прошлых выходных злоумышленники осуществили фишинговую атаку на пользователей одной з крупнейших торговых площадок по продаже NFT OpenSea и похитили у них NFT-токены на сумму $1,7 млн. Злоумышленникам удалось обманом заставить 32 человек подписать полезную нагрузку, разрешающую перевод их NFT мошенникам бесплатно. Хотя компания уверена, что пострадавшие стали жертвами фишинговой схемы, в чем она заключается, неизвестно. Судя по всему, атака была осуществлена за пределами OpenSea.

Источник: securitylab