Обзор инцидентов безопасности за период с 31 августа по 6 сентября 2020 года

Пн 7 Сентябрь 2020 08:33

Новые скиммеры, кибератаки Magecart и APT-групп, утечка данных миллионов граждан США, готовящиеся атаки на предвыборную кампанию Дональда Трампа – об этих и других событиях прошлой недели читайте в нашем обзоре.

Начало прошлой недели ознаменовалось сообщениями о кибератаках иранской APT-группы Charming Kitten (также известной как APT35 и Ajax) на ученых университетов Хайфы и Тель-Авива и служащих госучреждений США. В рамках новой кампании под видом журналистов Deutsche Welle и Jewish Journal злоумышленники рассылают жертвам вредоносные ссылки по электронной почте или звонят по WhatsApp. Для большей убедительности киберпреступники даже создали поддельные профили в социальной сети LinkedIn. Целью злоумышленников является завлечь жертв на фишинговые страницы и выманить у них учетные данные.

Другая иранская киберпреступная группировка, Pioneer Kitten (также известная как Fox Kitten и Parisite), продает доступ к сетям ранее взломанных компаний. По данным исследователей ИБ-компании Crowdstrike, в 2019-2020 годах группировка взломала корпоративные сети путем эксплуатации уязвимостей в VPN и сетевом оборудовании различных компаний и теперь монетизирует свои атаки, продавая доступ к скомпрометированным системам.

Однако не все кибератаки, замаскированные под APT, в действительности осуществляются APT-группами. ФБР США предупредило о вымогательской кампании, направленной на организации разных профилей по всему миру. В рамках кампании злоумышленники под видом известных хакерских группировок, таких как Fancy Bear, Cozy Bear, Lazarus Group или Armada Collective, угрожают организациям массивными DDoS-атаками, если те не заплатят выкуп в биткойнах в шестидневный срок.

В другой, не связанной с вышеупомянутой, кампании неизвестные осуществили DDoS-атаки на более десятка интернет-провайдеров в Европе. В частности, атакам подверглась бельгийская компания EDP, французские Bouygues Télécom, FDN, K-net и SFR и нидерландские Caiway, Delta, FreedomNet, Online.nl, Signet и Tweak.nl. Атаки начались 28 августа, и каждая из них продолжалась не более суток. В конечном итоге все атаки были прекращены, однако провайдеры не могли предоставлять услуги клиентам.

Один из крупнейших концернов звукозаписи Warner Music Group стал жертвой кибератаки, за которой предположительно стоит группировка Magecart. Злоумышленники скомпрометировали ряд принадлежащих концерну торговых online-площадок, хостингом и поддержкой которых занимался внешний провайдер. Хотя расследование не выявило признаков кражи данных, в Warner Music допускают, что в руки киберпреступников могли попасть личные и финансовые данные (имя, электронный адрес, номер телефона, адреса для биллинга и отправки покупок, данные платежных карт) пользователей, посетивших скомпрометированные сайты в период с 25 апреля по 5 августа 2020 года.

Жертвой взлома на прошлой неделе также стал парламент Норвегии (Стортинг), в результате чего неизвестные получили доступ к электронной почте ряда депутатов и сотрудников. Атака продолжалась несколько дней, и киберпреступникам удалось похитить значительную часть рабочих документов.

Неизвестные хакеры также взломали электронную почту посольства РФ в Австрии. По словам представителей посольства, с его почты рассылается спам, поэтому получателям рекомендуется не открывать прикрепленные файлы и не нажимать на ссылки. Источник атаки пока не установлен.

По мнению специалистов компании Cloudflare, на избирательный штаб президента США Дональда Трампа готовится масштабная кибератака. Эксперты отмечают в преддверии выборов президента США активизацию хакерских атак на сайты, связанные с избирательным штабом Трампа и его компаниями. В Cloudflare, которая занимается обеспечением безопасности цифровых платформ штаба, полагают, что это может свидетельствовать о подготовке к более масштабной операции.

На одном из российских хакерских форумов некто под псевдонимом Gorka9 опубликовал базы данных миллионов избирателей из штатов Мичиган, Коннектикут, Арканзас, Флорида и Северная Каролина. Пользователи форума уже нашли способ монетизировать эти данные с помощью программы Госдепартамента США Rewards for Justice («Вознаграждения за справедливость»), обещающей вознаграждение за информацию, которая поможет идентифицировать лиц, пытающихся в интересах иностранного правительства повлиять на результаты выборов.

На прошлой неделе компания Visa предупредила о новом электронном скиммере Baka, который удаляет себя из памяти после извлечения украденных данных. Новый сценарий хищения данных кредитных карт был обнаружен специалистами в рамках инициативы Visa Payment Fraud Disruption (PFD) в феврале 2020 года при исследовании C&C-сервера, на котором ранее размещался комплект для web-скиммера ImageID. Помимо обычных основных функций скимминга, таких как настраиваемые поля целевой формы и хищение данных с использованием запросов изображений, Baka имеет расширенный дизайн, указывающий на работу опытного разработчика, а также уникальный метод маскировки и загрузчик.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 258 дней 14 часов 47 минут 49 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.