Обзор инцидентов безопасности за период с 24 по 30 июля 2021 года
30 июля 2021 года
Новые атаки через уязвимости ProxyLogon, кибератака на транспортную компанию, возвращение нашумевшей кибервымогательской группировки DoppelPaymer и появление «наследника» группировок DarkSide и REvil – только малая толика событий в мире информационной безопасности за период с 24 по 30 июля 2021 года. Об этих и других инцидентах читайте в нашем обзоре.
После двух месяцев почти полного отсутствия активности на кибервымогательскую арену вернулась группировка DoppelPaymer. Хакеры провели ребрендинг, сменив название группировки на Grief или Pay or Grief. Хакеры предположительно похитили данные 5 организаций, в том числе одной в Мексике. По словам экспертов, DoppelPaymer и Grief использовали один и тот же зашифрованный формат файла и один и тот же канал распространения – ботнет Dridex. Несмотря на попытки злоумышленников сделать Grief похожим на отдельное «вымогательское ПО как услугу» (RaaS), сходство с DoppelPaymer невозможно игнорировать.
Помимо DoppelPaymer, над совершенствованием своего вымогателя также работает группировка LockBit. Исследователи обнаружили новую версию вымогателя, получивший целый ряд улучшений, в том числе функцию шифрования доменов Windows с помощью групповых политик Active Directory. Новая версия LockBit также получила функцию, ранее использовавшуюся вымогательским ПО Egregor, – печать записки с требованием выкупа на всех подключенных к сети принтерах.
На этой неделе на киберпреступную арену также вышла новая кибервымогательская группировка, заявившая, что является преемником нашумевших и ныне нефункционирующих Darkside и REvil. В настоящее время BlackMatter занимается поиском партнеров и уже разместила соответствующие объявления на хакерских форумах Exploit и XSS. Согласно рекламному объявлению, группировку интересует доступ только к крупным компаниям, чей годовой доход составляет $100 млн и больше.
Жертвой вымогательского ПО Death Kitty стала южноафриканская госкомпания Transnet, которая управляет крупными портами Южной Африки, включая Дурбан и Кейптаун. По словам представителей компании, атака привела к нарушению бизнес-процессов и функций TPT, а также к повреждению оборудования и данных. В сообщении с требованием выкупа, оставленным на зараженных системах, хакеры утверждали, что зашифровали файлы компании, включая 1 ТБ персональных данных, финансовые отчеты и прочие документы.
Кибератака, ранее в этом месяце парализовавшая работу железной дороги в Иране, была осуществлена с использованием не вымогательского ПО, как предполагалось ранее, а вайпера Meteor, стирающего все хранящиеся в системе данные. Этот инцидент является первым случаем применения Meteor, и специалистам пока не удалось связать его с какой-либо известной киберпреступной группировкой.
Китайская киберпреступная группировка, известная своими атаками на страны Юго-Восточной Азии, эксплуатирует уязвимости ProxyLogon в Microsoft Exchange Server для заражения атакуемых систем ранее неизвестным трояном для удаленного доступа (RAT). Подразделение Unit 42 ИБ-компании Palo Alto Networks отнесло атаки на счет киберпреступной группировки PKPLUG (другие названия Mustang Panda и HoneyMyte). Специалисты выявили новый вариант модульного вредоносного ПО PlugX под названием Thor, который был доставлен на один из взломанных серверов в качестве постэксплуатационного инструмента.
Операционная система Windows 11 еще официально не вышла, но уже доступна для скачивания и предварительного знакомства. И этим, конечно же, пользуются злоумышленники, пытающиеся под видом новой ОС подсунуть пользователям вредоносное ПО. Опасный вредонос был обнаружен специалистами «Лаборатории Касперского» в файле под названием 86307_windows 11 build 21996,1×64 + activator.exe. Он весит 1,75 ГБ, и якобы является установочным файлом операционной системы, но при его запуске происходит распаковка вируса, после чего на компьютере появляются рекламные приложения и даже лишние программы.
Иранские хакеры в течение 18 месяцев маскировались под инструктора по аэробике в ходе кампании по кибершпионажу, нацеленной на сотрудников и подрядчиков в оборонной и аэрокосмической сферах. Преступники заражали системы жертв вредоносным ПО для кражи учетных данных и другой конфиденциальной информации. В ходе кампании, действующей по крайней мере с 2019 года, злоумышленники использовали социальные сети Facebook и Instagram. Специалисты связали данную кампанию с группировкой TA456 (также известной как Tortoiseshell), поддерживаемой правительством Ирана и связанной с иранскими вооруженными силами Корпуса стражей исламской революции.
В понедельник, 26 июля, в СМИ были обнародованы пять секретных документов, в которых предположительно изложены планы кибератак Ирана на инфраструктуру западных стран. Сообщения об атаках на инфраструктуру, осуществляемых Ираном и другими странами, появляются в прессе довольно часто, однако это первый случай, когда СМИ удалось заполучить внутренние документы киберподразделения Корпуса стражей исламской революции с изложением планов кибератак. Согласно документам, одна из кибератак была запланирована на систему балластных вод грузового судна и могла вызвать необратимые повреждения. Еще одна атака была запланирована на автоматические манометры некоторых заправочных станций.
Киберпреступная группировка TG1021 (или Praying Mantis), предположительно связанная с Китаем, эксплуатировала уязвимость в популярном инструменте для создания опросов Checkbox Survey для осуществления атак на организации в США. В ходе атак преступники эксплуатировали уязвимость десереализации ( CVE-2021-27852 ) в инструменте Checkbox Survey. Уязвимость может использоваться удаленно без аутентификации и затрагивает версию приложения Checkbox Survey 6. Уязвимость отсутствует в версии 7.0 (выпущенной в 2019 году), но более старые версии больше не поддерживаются и не будут получать исправления.
Команда экспертов по безопасности компании Microsoft обнаружила продолжающуюся в течение нескольких недель спам-кампанию с использованием техники HTML smuggling для обхода систем безопасности электронной почты и доставки вредоносного ПО на устройства жертв. HTML smuggling позволяет злоумышленникам собирать вредоносные файлы на устройствах пользователей с помощью HTML5 и JavaScript.
Microsoft также предупредила своих пользователей о распространении вредоносное ПО LemonDuck. По словам специалистов, попадая на компьютер, LemonDuck мгновенно создает сеть ботнет для майнинга криптовалюты Monero. Вредонос попадает на компьютеры посредством фишинговых писем, флеш-накопителей USB и уязвимости системы безопасности. Чаще всего от него страдают владельцы устройств на базе операционных систем Windows и Linux, предупредили в Microsoft.
Личные данные сторонников Фонда борьбы с коррупцией (ФБК, признан экстремистской организацией и НКО-иноагентом в России), в очередной раз оказались в открытом доступе. В сеть утекли более 111 тысяч e-mail пользователей, зарегистрировавшихся в проекте «Умное голосование».
На форуме RAID один из пользователей выложил файл размером 751 гигабайт. Он заявляет, что это исходный код FIFA 21, который украла группа хакеров в июне 2021 года. Видимо, отчаявшись получить деньги с «Electronic Arts» и не найдя покупателя исходников, вымогатели выложили их в свободный доступ.
Киберпреступники скомпрометировали учетные данные владельцев билетов на летние Олимпийские и Паралимпийские игры-2020 в Токио, а также данные волонтеров мероприятия. Как сообщило информационное агентство Kyodo, украденные учетные данные могут быть использованы для авторизации волонтеров и владельцев билетов на web-сайтах мероприятия, подвергая риску раскрытия таких данных, как имена, адреса и номера банковских счетов.
На неделе на продажу в даркнете была выставлена полная база телефонных номеров Clubhouse. В базе содержится информация о 3,8 млрд телефонных номеров как участников Clubhouse, так и пользователей из синхронизированных списков их контактов.
Израильская компания NSO Group неоднократно отрицала, что шпионское ПО Pegasus использовалось для взлома телефонов многих политиков. Однако, как сообщил генеральный директор WhatsApp Уилл Кэткарт (Will Cathcart) изданию The Guardian, правительства предположительно использовали программное обеспечение Pegasus для атак на высокопоставленных правительственных чиновников по всему миру в 2019 году, в том числе чиновников, отвечающих на нацбезопасность ведомств, которые были союзниками США.
Поставщик систем безопасности Intezer предупредил о кибератаках, в ходе которых злоумышленники используют движок рабочих процессов Argo Workflows для осуществления атак на кластеры Kubernetes и развертывания криптомайнеров. Эксперты Intezer выявили ряд уязвимых контейнеров, которые использовались организациями в технологическом, финансовом и логистическом секторах.
Источники
правитьЭта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 24 по 30 июля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.