Обзор инцидентов безопасности за период с 16 по 22 января 2021 года

Взломы, утечки данных и мошенничество – только малая толика инцидентов безопасности, имевших место за прошедшую неделю. Об этих и других событиях в мире ИБ читайте в нашем обзоре.

Спустя месяц после того, как стало известно об атаке на SolarWinds, специалисты Symantec обнаружили еще одну вредоносную программу, использовавшуюся хакерами . Инструмент, получивший название Raindrop, представляет собой загрузчик маяков Cobalt Strike. Raindrop имеет большое сходство с уже известным инструментом Teardrop, но между ними есть некоторые ключевые различия. Хотя Teardrop был доставлен с помощью бэкдора Sunburst, Raindrop, похоже, использовался для распространения по сети жертвы. На сегодняшний день эксперты не обнаружили свидетельств того, что Raindrop доставляется напрямую через Sunburst.

В течение последней недели продолжали свою активность операторы вымогательского ПО. К примеру, специалисты компании Media Trust рассказали о новой кампании по распространению вредоносной рекламы, нацеленной на пользователей мобильных и других подключенных к Сети устройств. Операторы кампании, получившей название LuckyBoy, ориентированы на пользователей iOS, Android и Xbox. С декабря 2020 года они заразили более 10 автоматизированных систем покупки (Demand-Side Platform, DSP) в основном в Европе.

Разработчик программного обеспечения для оптимизации Windows и защиты от вредоносного ПО IObit стал жертвой масштабной кибератаки с целью распространения вымогательского ПО DeroHE среди участников ее форума. Форумчане стали получать электронные письма, якобы отправленные IObit, в которых предлагается бесплатная годовая лицензия на программное обеспечение в качестве особого преимущества участия в форуме. В электронном письме была ссылка «ПОЛУЧИТЬ СЕЙЧАС», перенаправляющая на сайт (hxxps: //forums.iobit.com/promo.html), который в ходе атаки распространял вредоносный файл.

Помимо вымогательского ПО киберпреступники продолжают распространять майнеры криптовалют. Так, исследователи безопасности из Check Point Research обнаружили текущую вредоносную кампанию, в ходе которой киберпреступники используют недавно выявленные уязвимости в сетевых хранилищах (NAS), работающих под управлением Linux, для осуществления DDoS-атак и майнинга криптовалюты Monero. В ходе вредоносной кампании используется новый вариант вредоносного ПО FreakOut. Хакеры эксплуатируют уязвимости в Laminas Project и Liferay Portal, а также неисправленные уязвимости в TerraMaster. Проблемы CVE-2020-28188 , CVE-2021-3007 и CVE-2020-7961 используются для внедрения и выполнения вредоносных команд на сервере.

Что касается уязвимостей, киберпреступники продолжают их продавать. К примеру, в даркнете выставлена на продажу SQLi- уязвимость на сайте Pickpoint.ru. Уязвимость выставлена несколькими продавцами на продажу на теневом форуме за $1 тыс. Как утверждается, база данных работает под управлением MS SQL Server 2012 с технологией ASP.Net 4.0. Также выставлена на продажу база данных с 4 млн записей персональных данных, предположительно клиентов компании, содержащих ФИО, даты рождения, телефоны, адреса, эл. почты, хешированные (MD5) пароли и т.п.

Команда открытого проекта OpenWRT, предоставляющего бесплатные кастомизированные прошивки для домашних маршрутизаторов, сообщила об инциденте безопасности, в результате которого злоумышленники получили доступ к учетной записи администратора форума. Хотя хакерам и не удалось загрузить всю базу данных форума OpenWRT, они все же скопировали полный список форумчан, в том числе использующиеся ими имена и электронные адреса.

Стоит отметить, что киберпреступники не всегда надлежащим образом защищают похищенные данные. Хакеры, атаковавшие тысячи организаций по всему миру в рамках масштабной фишинговой кампании, забыли защитить свой «улов», в результате чего он стал доступен через поиск Google. В продолжавшейся более полугода фишинговой кампании использовались десятки доменов с поддельными страницами авторизации Microsoft Office 365. Несмотря на использование очень простых техник, злоумышленникам удавалось успешно обходить фильтры безопасности для электронных писем, благодаря чему они собрали как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365.

Исследователь безопасности Кирк Сэйр (Kirk Sayre) обнаружил фишинговую кампанию, в которой злоумышленники используют обычную безобидную команду Windows Finger для загрузки и установки на устройства жертв бэкдора MineBridge. В ходе кампании злоумышленники отправляют фишинговые письма с вредоносными документами Word, замаскированные под резюме от соискателя. Когда пользователь нажимает кнопки «Разрешить редактирование» или «Разрешить содержимое», запускается защищенный паролем макрос для загрузки вредоносного ПО MineBridge.

Киберпреступная группировка Chimera в течение последних нескольких лет атаковала авиационную отрасль с целью хищения о пассажирах, чтобы отслеживать передвижение определенных лиц. Предполагается, что группировка действует в интересах китайского государства. Первые атаки хакеров были нацелены на тайваньскую индустрию сверхпроводников. Но теперь, по словам специалистов из NCC Group и ее дочерней компании Fox-IT, интересы преступников охватили и авиационную отрасль.

Интерпол предупредил об участившихся случаях мошенничества с использованием приложений для знакомств. Киберпреступники пользуются растущей популярностью приложений для знакомств наподобие Tinder, Match, Bumble и пр., чье число пользователей в период пандемии коронавируса существенно увеличилось. Злоумышленники знакомятся с потенциальной жертвой в приложении, а когда общение становится регулярным, начинают давать ей советы по вложению денег. Затем они убеждают ее установить приложение, предназначенное якобы для трейдинга, и покупать различные «финансовые продукты». После того, как жертва переведет злоумышленникам определенную сумму, все контакты с ней прекращаются, а ее учетная запись в приложении блокируется.