Обзор инцидентов безопасности за период с 13 по 19 февраля 2021 года

Пт 19 Февраль 2021 12:03

Активность вымогательского ПО и скиммеров, взломы пользователей ПО Centreon и атаки на производителя вакцины от COVID-19 – об этих и других событиях в мире ИБ за период с 13 по 19 февраля 2021 года читайте в нашем обзоре.

Одним из самых громких инцидентов безопасности на прошлой неделе стала вредоносная операция APT-группа Sandworm. Согласно уведомлению Агентства безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI), в течение трех лет киберпреступники взламывали внутренние сети французских организаций, использующих ПО для мониторинга Centreon, по своему функционалу очень похожую на SolarWinds Orion. Компания подтвердила факт кибератак, уточнив, что никто из ее основных платных клиентов в результате вредоносной операции не пострадал. По словам специалистов, в отличие от кибератаки на SolarWinds, инцидент с Centreon не является атакой на цепочку поставок.

Что касается взлома SolarWinds, то с тех пор, как о нем стало известно, компания Microsoft пристально следила за делом, а обнаружив в своих сетях аномальную активность, инициировала собственное расследование. Как оказалось, злоумышленникам удалось похитить части исходного кода трех продуктов компании, в частности облачного сервиса Azure, облачного решения для управления Intune и сервера Exchange.

Еще один громкий инцидент – атака на компьютерные системы фармацевтического гиганта Pfizer. Представители Национального агентства разведки Республики Корея сообщили , что северокорейские хакеры пытались взломать сети компании в поисках информации о вакцине и технологии лечения коронавирусной инфекции (COVID-19).

Специалисты компании Cisco Talos обнаружили новую вредоносную кампанию, в ходе которой троян Masslogger похищает учетные данные браузеров на базе Chromium (Chrome, Chromium, Edge, Opera, Brave), Microsoft Outlook и программ обмена мгновенными сообщениями. Masslogger представляет собой программу для похищения учетных данных и кейлоггер, способный извлекать данные по протоколам SMTP, FTP или HTTP.

Исследователи компании Check Point рассказали о новом вредоносном ПО для Office, распространяющемся через фишинговые электронные письма. Операторы вредоноса атаковали более 80 клиентов Check Point по всему миру с целью захвата контроля над компьютерами и удаленного похищения информации. Вредонос является делом рук французских киберпреступных группировок Apocaliptique и Nitrix. По подсчетам исследователей, на продажах APOMacroSploit на киберпреступном форуме HackForums.net за один месяц они заработали $5 тыс. За вредоносной кампанией стоят сорок киберпреступников, которые используют сто разных отправителей электронных писем для атак на жертв в более тридцати странах мира.

Не обошлось на этой неделе без атак вымогательского ПО. Американское подразделение южнокорейского автопроизводителя Kia Motors Corporation предположительно подверглось атаке с использованием программы-вымогателя DoppelPaymer. Согласно странице в Tor, злоумышленники похитили «огромный объем» данных, которые будут опубликованы через 2-3 недели, если компания откажется платить выкуп в размере 404 биткойна (около $20 млн). В случае, если выкуп не будет выплачен в указанное время, сумма возрастет до 600 биткойнов (примерно $30 млн). В самой Kia Motors факт вымогательской атаки отрицали и утверждали, что компания просто столкнулась с продолжительным сбоем в работе систем.

Компьютеры Mac с новыми процессорами M1 от Apple в продаже всего несколько месяцев, но на них уже нацелились киберпреступники. По словам исследователя безопасности Патрика Уордла (Patrick Wardle), он обнаружил вредоносное приложение, разработанное специально под M1. Как пояснил Уордл, обнаруженное им рекламное расширение для браузера Safari под названием GoSearch22 изначально было разработано для процессоров Intel x86. Расширение представляет собой вариант рекламного ПО Pirrit для Mac. В своем нынешнем виде GoSearch22 довольно малоопасное – собирает пользовательские данные и захламляет экран рекламой, но в будущем разработчики могут добавить в него функции посерьезнее.

Мошенническая группировка ScamClub эксплуатировала уязвимость ( CVE-2021- 1801 ) в движке WebKit, используемом в различных web-браузерах, для перенаправления жертв на мошеннические сайты. За последние три месяца количество показов злонамеренной рекламы достигло 16 млн в день. Исследователь безопасности из компании Confiant Элия Штейн (Eliya Stein) обнаружил , что злоумышленники использовали уязвимость в движке WebKit, позволявшую обходить политику изолированной программной среды iframe. По словам эксперта, мошенники организовали вредоносную кампанию летом прошлого года, в ходе которой использовали новый метод, позволяющий вредоносному коду, который группировка обычно скрывает в рекламных объявлениях, выйти за пределы изолированной программной среды HTML-элемента iframe — системы безопасности, предотвращающей взаимодействие кода с базовым web-сайтом.

Некоммерческая организация RIPE NCC, управляющая и назначающая адреса IPv4 и IPv6 для Европы, Среднего Востока и некоторых стран Центральной Азии, рассказала об атаке с подстановкой учетных данных (credential stuffing) на SSO-сервис RIPE NCC Access. Специалисты RIPE NCC предотвратили атаку и сообщили, что ни одна учетная запись не была скомпрометирована. Расследование все еще продолжается.

Индустрия децентрализованных финансов также подверглась хакерской атаке. Злоумышленники взломали популярный DeFi-протокол Cream.Finance и вывели оттуда $37,5 млн. Хакер воспользовался уязвимостью технологии моментальных или флеш-кредитов, однако подробности взлома уточняются. Злоумышленники воспользовались сервисами Alpha Homora, Aave и Iron Bank, входящим в инфраструктуру самого Cream.Finance, чтобы провести уже становящиеся привычными злонамеренные операции с мгновенным кредитованием, создать дисбаланс активов в пулах ликвидности и вывести их. Всего хакеру удалось вывести 13 200 WETH, 3,6 млн USDC, 5,6 млн USDT и 4,2 млн DAI.

Хакеры используют легитимную платформу для создания бизнес-приложений Apps Script от Google с целью похищения данных банковских карт, которые пользователи вводят на сайтах электронной коммерции. С помощью домена script.google.com злоумышленники скрывают вредоносную активность от решений для обнаружения вредоносного ПО и политик безопасности контента (Content Security Policy, CSP). Киберпреступники пользуются тем фактом, что online-магазины принимают домен Apps Script как доверенный и потенциально добавляют все поддомены Google в белые списки в своих настройках CSP.

Журналист Брайан Кребс рассказал о новых Bluetooth-скиммерах для платежных терминалов, которые злоумышленники стали использовать в магазинах США. Отличительной чертой этих устройств является способность взаимодействовать с функцией терминалов для чтения чипов платежных карт. Скиммеры блокируют возможность считывания чипов, и покупателям приходится пользоваться менее безопасной магнитной лентой.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 10 часов 9 минут 44 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.