Группировки Magecart за 24 часа взломали порядка тысячи сайтов



На сайты интернет-магазинов был внедрен скрипт для похищения персональной и банковской информации покупателей. Специалисты из Sanguine Security раскрыли вредоносную кампанию, в ходе которой злоумышленники успешно взломали 962 сайта электронной коммерции. По словам исследователя безопасности Уиллема де Гроота (Willem de Groot), киберпреступникам удалось внедрить скрипты для похищения банковских данных на все сайты всего за 24 часа, а значит, они действовали не вручную, а использовали автоматизированные инструменты. Судя по всему, за атаками стоят киберпреступные группировки, объединенные под общим названием Magecart. Хотя Sanguine Security не сообщает, как именно происходило заражение интернет-магазинов, скорее всего, злоумышленники проводили сканирование в поисках уязвимостей в используемом сайтами ПО и эксплуатировали их. Как пояснил Гроот, у некоторых взломанных сайтов отсутствовали патчи для известных уязвимостей в PHP. Правда, воспользовались ли взломщики конкретно этими уязвимостями, неизвестно. Как показал анализ JavaScript-кода, скимминговый скрипт использовался для похищения информации посетителей интернет-магазинов, в частности данных их банковских карт, имен, номеров телефонов и адресов. Большая часть пострадавших ресурсов представляют собой небольшие магазинчики, хотя среди них также есть несколько крупных предприятий. Исследователь безопасности под псевдонимом Micham также обнаружил скимминговый скрипт на сайте газеты The Guardian, внедренный туда через устаревший бакет AWS S3. По словам Жерома Сегуры (Jérôme Segura) из Malwarebytes, сайт был заражен в рамках операции, приводимой Magecart в прошлом месяце с использованием Amazon CloudFront CDN.

Неизвестные скомпрометировали учетную запись Canonical на GitHub



В субботу, 6 июля, на официальной странице компании Canonical на портале GitHub появились 10 пустых репозиториев с именами "CAN_GOT_HAXXD_N". В настоящее время репозитории уже удалены. На данный момент неясно, затронул ли инцидент уже существующие репозитории. Вице-президент Canonical Дэвид Бриттон (David Britton) подтвердил факт компрометации одной из принадлежащих Canonical учетных записей, которая была использована для создания репозиториев. Компания уже удалила скомпрометированный аккаунт и сейчас оценивает масштабы взлома. Как отмечается, в настоящее время свидетельств компрометации исходного кода или персональных данных не выявлено. Также не обнаружено следов несанкционированного доступа к инфраструктуре Launchpad (доступ к Launchpad отделен от GitHub). Более подробный отчет об инциденте компания пообещала опубликовать после проведения аудита инфраструктуры.
Canonical - компания, курирующая разработку и развитие ОС Ubuntu Linux, одной из самых популярных свободно распространяемых ОС с открытым исходным кодом.

Криптомайнер Golang атакует Linux-серверы



В ходе атак злоумышленникам удалось заразить несколько тысяч устройств. Специалисты F5 Labs обнаружили вредоносную кампанию, направленную на серверы на базе Linux. Преступники применяют вредоносное ПО Golang для майнинга криптовалюты Monero. В ходе атак, которые начались примерно 10 июня текущего года, злоумышленникам удалось заразить несколько тысяч устройств. По оценкам исследователей, организаторы кампании заработали менее $2 тыс. В рамках кампании злоумышленники эксплуатируют уязвимости во фреймворке ThinkPHP (CVE-2019-9082 и уязвимость, которой на данный момент не присвоен индентификатор CVE), программном обеспечении для совместной работы Atlassian Confluence ( CVE-2019-3396 ) и системе управления содержимым Drupal (CVE-2018-7600, также известной как Druppalgeddon 2 ). Распространение вредоноса осуществляется при помощи семи различных методов, включая эксплоиты для уязвимостей в четырех web-приложениях, подбор учетных данных SSH и паролей базы данных Redis, подключение к другим устройствам с помощью SSH ключей. Злоумышленники используют ресурс Pastebin для размещения целевых bash-скриптов. Само вредоносное ПО размещается на взломанном сайте китайского интернет-магазина (название не уточняется). Некоторые свидетельства, например логины на Pastebin и Github, указывают на то, что организаторами кампании могут быть преступники из Китая, отмечают исследователи.

Microsoft предупреждает об атаках бесфайлового трояна Astaroth



Команда исследователей в области безопасности Microsoft предупреждает о распространении бесфайлового трояна Astaroth. Злоумышленники загружают похищающий данные вредонос прямо в память компьютера жертвы. Astaroth предназначен для кражи конфиденциальной информации. Используя свой модуль кейлоггера, троян фиксирует учетные данные пользователя. Также он способен перехватывать вызовы операционной системы и мониторить буфер обмена. Еще одна опасная особенность этой вредоносной программы — использование командной строки Windows для скрытой загрузки и установки в фоне других зловредов. Команда безопасников Microsoft оповестила об атаках трояна в Twitter. По словам экспертов, киберпреступники используют многоступенчатую схему заражения. Все начинается с целевого фишинга — жертве приходит электронное письмо, в котором содержится ссылка, ведущая пользователя на LNK-файл. Этот файл, в свою очередь, запускает инструмент WMIC с параметром «/Format», что позволяет скачать и запустить код JavaScript.

Береговая охрана США сообщила о хакерской атаке на один из коммерческих кораблей



Инцидент случился в феврале 2019 года и поставил под сомнение существующие меры кибербезопасности систем управления судами. Береговая охрана США предупредила о киберактаке, направленной на компьютерную систему одного из судов, и рекомендовала судовладельцам принять эффективные меры по обеспечению кибербезопасности сети и важных систем управления на своих кораблях. Инцидент произошел в феврале 2019 года, когда одно из суден подверглось атаке с использованием вредоносного ПО, «значительно ухудшившего функциональность бортовой компьютерной системы». Хотя основные системы управления судна не пострадали от хакерской атаки, она является примером того, что судовладельцы не заботятся должным образом об обеспечении безопасности своего транспорта. В пресс-службе не уточнили, против какого именно судна была проведена хакерская атака и какое вредоносное ПО для этого использовалось. В качестве превентивных мер Береговая охрана порекомендовала операторам и владельцам судов сегментировать свою сеть для того, чтобы усложнить злоумышленникам доступ к критическим системам и оборудованию, исключить использование одинаковых учетных данных несколькими сотрудниками, установить антивирусное программное обеспечение и регулярно обновлять его, ограничить уровень прав для пользователей, которым не нужен доступ администратора, проверять внешние носители (USB-накопители и пр.) перед их подключением к сети судна и устанавливать патчи и обновления ОС и приложений.

Внимание!

Обнаружена новая бесфайловая вредоносная кампания



Ни на одном этапе атаки не используются файлы, которые не были бы системными. Специалисты Microsoft предупредили пользователей об активной вредоносной кампании по заражению компьютеров вредоносным ПО Astaroth, которую сложно детектировать привычными решениями безопасности. Кампания была обнаружена командой разработчиков Windows Defender ATP, коммерческой версии антивирусного продукта Windows Defender. По словам участницы команды Андреа Лелли (Andrea Lelli), специалисты заподозрили неладное после обнаружения резкого скачка в использовании инструмента Windows Management Instrumentation Command-line (WMIC). WMIC представляет собой легитимный инструмент в современных версиях Windows, однако внезапный скачок в его использовании явно указывал на вредоносную кампанию. Присмотревшись внимательнее, специалисты обнаружили масштабную операцию по рассылке фишинговых писем с ссылкой на web-сайт, содержащий файл .LNK. После загрузки и открытия файла запускался WMIC и ряд других легитимных инструментов Windows, которые загружали дополнительный код, перебрасывали данные один другому и выполняли код исключительно в памяти (так называемое бесфайловое выполнение). Поскольку никакие файлы при этом на диск не сохранялись, привычные решения безопасности атаку не детектировали. На финальном этапе атаки на систему загружалось вредоносное ПО Astaroth, представляющее собой инфостилер для похищения учетных данных для ряда приложений. Первые атаки с его использованием были обнаружены в 2018 году. В феврале нынешнего года вредонос атаковал пользователей в Европе и Бразилии. Специалисты Microsoft зафиксировали новую кампанию в мае-июне. Более 95% от всех затронутых пользователей проживают в Бразилии. Как отметила Лелли, ни на одном этапе атаки не использовались файлы, которые не были бы системными. Подобный тип атаки, когда используются только инструменты, уже присутствующие на системе, называется «living off the land». За последние три года атаки данного типа используются все чаще, вынуждая производителей антивирусных решений разрабатывать новые способы их детектирования.

Киберпреступники атакуют компании через их DNS-провайдеров



На этот раз группировка Sea Turtle атаковала организацию, управляющую греческими доменами верхнего уровня. Киберпреступная группировка Sea Turtle атаковала организацию ICS-Forth, управляющую греческими доменами верхнего уровня .gr и .el. О группировке Sea Turtle специалисты Cisco Talos впервые рассказали в апреле нынешнего года. Злоумышленники используют весьма необычную технику взлома – вместо того, чтобы атаковать непосредственно жертву, они получают доступ к учетным записям регистратора домена и провайдеров управляемого DNS и меняют настройки DNS компании. Путем модификации записей DNS внутренних серверов злоумышленники перенаправляют трафик, предназначенный для легитимных приложений и почтовых серверов компании, на подконтрольные им серверы, осуществляют атаку «человек посередине» и перехватывают учетные данные. Вышеописанные атаки являются непродолжительными (длятся от нескольких часов до нескольких дней) и незаметными (большинство компаний не проверяют настройки DNS на предмет изменений). По данным FireEye, группировка действует в интересах правительства Ирана. Для того чтобы добраться до жертвы, Sea Turtle не гнушается взламывать сети провайдера целиком. Как сообщалось в первом отчете Cisco Talos, группировка взломала шведскую организацию NetNod, управляющую точкой обмена трафиком. Атака позволила злоумышленникам манипулировать записями DNS для sa1[.]dnsnode[.]net и получить доступ к учетным данным администратора доменов верхнего уровня Саудовской Аравии (.sa) В новом отчете Cisco Talos сообщает об аналогичной атаке на греческую организацию ICS-Forth. На данный момент исследователи затрудняются сказать, что атакующие делали в сетях ICS-Forth после взлома. Неизвестно также, для каких доменов злоумышленники поменяли настройки DNS. После того, как организация уведомила общественность о взломе, Sea Turtle оставалась в ее сетях еще пять дней.

Вредонос «Agent Smith» заразил 25 миллионов Android-устройств



Вредонос под названием «Agent Smith» способен заражать устройство и заменять все официальные приложения двойниками с рекламой. Специалисты Check Point обнаружили новый вид вредоносного ПО для Android, успевшего заразить более 25 млн устройств. Вредонос, окрещенный «Agent Smith», незаметно для пользователя заражает устройство и заменяет официальные приложения клонами, показывающими большое количество рекламы. В основном жертвами кампании стали пользователи в Индии (15,2 млн), Бангладеш (2,5 млн) и Пакистане (1,7 млн). Исследователям удалось отследить оператора вредоносного ПО, им оказалась некая китайская технологическая компания. Фирма специализируется на помощи китайским разработчикам в продвижении своих Android-приложений, однако, помимо этого, занимается и иной деятельностью. В частности, эксперты обнаружили на китайских сайтах по поиску работы вакансии, указывающие на связь компании с вредоносным ПО «Agent Smith». Злоумышленники начали распространять вредоносное ПО в 2018 году через 9Apps — независимый магазин приложений от разработчика мобильного браузера UC Browser. В последние месяцы приложения, зараженные вредоносным ПО «Agent Smith», начали появляться в магазине Google Play. Специалисты обнаружили 11 инфицированных приложений, что говорит о готовящейся кампании по распространению вредоноса через официальный магазин Google. После сообщения в службу безопасности Google зараженные приложения были удалены. Инфицированные приложения содержали вредоносный компонент, замаскированный под SDK, который загружал и устанавливал другой пакет приложений с вредоносным ПО «Agent Smith». Оказавшись на зараженном телефоне, он сканировал установленные приложения и на основании встроенного списка целей заменял их клонами с рекламой. Список включает 16 приложений, в частности, WhatsApp, Lenovo AnyShare, Opera Mini, Flipkart и TrueCaller, а также программы, в основном популярные на индийском рынке, такие как Jio и Hotstar. По словам исследователей, «подмена» приложений — сам по себе сложный процесс. Для внедрения вредоносного кода внутри легитимной программы эксплуатируется уязвимость Janus (CVE-2017-13156) в Android, позволяющая добавить контент в APK, не нарушая целостности цифровой подписи. В случае успеха «Agent Smith» инициирует обновление целевого приложения, а затем блокирует будущие обновления для предотвращения удаления вредоносного кода при следующем апдейте.

Неизвестные украли у криптобиржи BITPoint более $32 млн в криптовалюте



Большая часть украденных средств принадлежала клиентам биржи. Японская криптовалютная биржа BITPoint Japan стала жертвой хакерской атаки, в результате которой злоумышленникам удалось украсть различную цифровую валюту на сумму 3,5 млрд йен ($32,2 млн). В свете инцидента все операции на платформе были приостановлены. Согласно заявлению оператора BITPoint компании Remixpoint, утром 11 июля сотрудники биржи заметили подозрительное перемещение цифровых активов Bitcoin, Ethereum, Bitcoin Cash, Litecoin и XRP. Спустя четыре часа факт кражи был подтвержден, а все операции прекращены. Злоумышленникам удалось вывести с горячего кошелька платформы $32 млн, большая часть этих средств принадлежала клиентам BITPoint. В настоящее время компания проводит расследование инцидента. По словам представителей BITPoint, биржа возместит ущерб пострадавшим. В начале мая нынешнего года, о «масштабном взломе» сообщила одна из крупнейших криптовалютных бирж мира Binance. Тогда злоумышленники похитили более 7 тыс. биткойнов (порядка $41 млн) из «горячего» кошелька сервиса, используемого для нескольких аккаунтов, а также завладели персональной информацией трейдеров, включая секретные ключи, пароли двухфакторной аутентификации и прочие данные.

Turla вооружилась новым вредоносным ПО



Киберпреступная группировка Turla обновила свой арсенал набором инструментов для атак на правительственные структуры. В частности, злоумышленники используют дроппер под названием «Topinambour», используемый на первой стадии атак. После установки он загружает на систему другие вредоносные программы, используемые Turla для доступа к целевым сетям и извлечения данных. По информации «Лаборатории Касперского», для распространения новых модулей преступники используют легитимные установщики ПО, зараженные дроппером «Topinambour». Это могут быть инструменты для обхода интернет-цензуры, такие как Softether VPN 4.12 и psiphon3, или активаторы Microsoft Office. Последние используются пиратами для активации пакета Microsoft Office без необходимости покупать ключ. Русскоговорящая хакерская группировка Turla (Snake, Venomous Bear, Waterbug и Uroboros) известна своими атаками на западные правительства, а также посольства и консульства в странах постсоветского пространства. «Topinambour» содержит «крошечный .NET шелл», который ожидает команды от C&C-сервера и выполняет их. Сама C&C-инфраструктура размещена на скомпрометированных сайтах на WordPress и облачных сервисах. С помощью команд «net use» и «copy» операторы кампании распространяют вредоносные модули следующего этапа — инструмент KopiLuwak, а также новые трояны MiamiBeach и RocketMan!, написанные на языках PowerShell и .NET. MiamiBeach и RocketMan! загружают, скачивают и исполняют файлы, а также собирают информацию о системе. Кроме того, PowerShell-версия также способна делать снимки экрана. Также они загружают конечный более сложный вредоносный модуль, который может выполнять команды, полученные с C&C-сервера. По мнению исследователей, создание похожих по функционалу троянов на разных языках может быть связано с защитой от обнаружения. Если на компьютере будет обнаружена одна версия, то операторы могут прибегнуть к аналогу на другом языке. Причиной разработки аналогов KopiLuwak может быть минимизация рисков обнаружения известных JavaScript-версий троянов.

Злоумышленники могут манипулировать медиафайлами WhatsApp и Telegram



Проблема связана с тем, что мобильная операционная система Android разрешает приложениям получать доступ к файлам во внешнем хранилище Преступники могут манипулировать медиафайлами, передаваемыми пользователями через мессенджеры WhatsApp и Telegram. Проблема связана с тем, что мобильная операционная система Android разрешает приложениям получать доступ к файлам во внешнем хранилище, предупреждают эксперты Symantec. Исследователи описали атаку, которую они назвали Media File Jacking. С помощью данного метода вредоносные Android-приложения, имеющие разрешения на запись во внешнем хранилище, могут модифицировать файлы, отправленные или полученные через WhatsApp и Telegram, в тот момент, когда они записываются на диск или загружаются в интерфейсе приложения. Атака работает в менеджере WhatsApp с установленными по умолчанию настройками и в Telegram, если включена опция «Сохранить в галерею». Эксперты продемонстрировали, как с помощью атаки можно манипулировать изображениями, счетами и аудиофайлами. По их словам, манипуляция со счетами чревата довольно серьезными последствиями для жертв, поскольку злоумышленник может подменить номер счета в документе, в итоге пользователь отправит деньги совсем на другой счет. Подмена аудиосообщений также может иметь неприятные последствия для организаций. В частности, злоумышленник может заменить аудиосообщение, например, с просьбой об отправке слайдов для презентации, сообщением о переводе денежных средств на подконтрольный ему счет. В случае Telegram метод Media File Jacking может использоваться для распространения фейков на авторитетных новостных каналах, отмечают исследователи. Специалисты уже проинформировали администрацию WhatsApp и Telegram о проблеме. По словам представителей WhatsApp, данный недочет должна исправить Google, в Telegram пока никак не прокомментировали ситуацию. В версии Android Q компания Google представит новую функцию под названием Scoped Storage, меняющую механизм доступа приложений к файлам во внешнем хранилище устройства. Как отметили в Symantec, новый функционал позволит предотвратить атаки Media File Jacking, однако в зоне риска по-прежнему останется большое число пользователей, учитывая, что широкое распространение версия Android Q получит нескоро, и к тому же, далеко не все устройства будут обновлены до свежего релиза ОС. В этой связи специалисты предлагают разработчикам приложений реализовать механизмы проверки целостности файлов перед их загрузкой в приложение, шифровать файлы, а также по возможности сохранять их во внутреннем хранилище.

Бразильские пользователи становятся жертвами необычных кибератак



Злоумышленники взламывают маршрутизаторы и меняют настройки DNS. Уже почти год бразильские пользователи страдают от кибератак, нигде больше в мире не встречающихся. Атаки проходят почти незаметно и могут привести к прямым финансовым потерям. То, что происходит сейчас в Бразилии, должно стать предупреждающим сигналом для интернет-провайдеров и пользователей по всему миру, уверены эксперты. По их мнению, провайдеры и пользователи должны успеть принять соответствующие меры предосторожности, пока атаки не вышли за пределы Бразилии. Вышеупомянутые атаки впервые были зафиксированы летом прошлого года специалистами компании Radware. По словам ИБ-экспертов, на то время неизвестные киберпреступники взломали порядка 100 тыс. домашних маршрутизаторов и модифицировали настройки DNS таким образом, чтобы при попытке воспользоваться сервисом online-банкинга жертва перенаправлялась на точную копию настоящего сайта. По данным исследователей из Ixia, злоумышленники использовали не только копии сайтов бразильских банков, но также подделывали такие ресурсы, как Netflix, Google и PayPal, с целью похищения учетных данных пользователей. Прошел год, но атаки не прекратились, отмечают эксперты Avast. Напротив, в первой половине 2019 года злоумышленники взломали около 18 тыс. маршрутизаторов в Бразилии и изменили их настройки DNS. Более того, методы атаки усложнились, а количество причастных к ним киберпреступников увеличилось. По данным Avast, чаще всего пользователи становятся жертвами злоумышленников при посещении, спортивных сайтов, стриминговых видеосервисов и порталов «для взрослых». Размещенная на таких ресурсов реклама содержит вредоносный код, способный определять IP-адрес и модель маршрутизатора и подбирать к ним учетные данные по умолчанию из прилагающегося списка. Этот процесс занимает некоторое время, но пользователи обычно ничего не замечают, поскольку заняты просмотром видео. Если взлом прошел успешно, вредоносная реклама внедряет дополнительный код, меняющий IP-адреса легитимных DNS-серверов на IP-адреса серверов, подконтрольных киберпреступникам. Когда в следующий раз устройство пользователя подключится к маршрутизатору, вместо полученных от провайдера IP-адресов нужных DNS-серверов оно получит IP-адреса серверов киберпреступников.

Испанская полиция задержала киберпреступников, промышлявших кардингом и фишингом



В общей сложности группировки включали 25 уроженцев разных стран, 12 из них были несовершеннолетними. Национальная полиция Испании (Policía Nacional) задержала в ходе операций в Барселоне две киберпреступные группировки. В общей сложности в интернет-мошенничестве подозреваются 25 злоумышленников, 12 из которых оказались несовершеннолетними, сообщается в пресс-релизе полиции. Преступники получали доступ к банковским счетам, используя такие методы мошенничества как фишинг и кардинг, чтобы потом заказывать и перепродавать электронную технику. Число пострадавших от их деятельности насчитывает 69 человек. Первая группа киберпреступников орудовала в провинции Барселоны Матаро с помощью интернет-рассылок. Они отправляли письма от имени банков, в которых сообщали о проблемах со счетами. Для их решения злоумышленники предлагали перейти на поддельную web-страницу и ввести пароль доступа. По словам полиции, преступникам удалось похитить с банковских счетов жертв 48 тыс. евро. В группировку входили 10 человек, в том числе граждане Испании и Марокко. Вторая группировка, состоявшая из 15 человек (12 несовершеннолетних), вела преступную деятельность в Маресме и Вальес-Орьенталь (провинция Барселона). Каждый член группировки выполнял отдельную задачу. Одни отвечали за нумерацию кредитных карт путем фишинга и кардинга для последующей перепродажи сообщникам. Другие покупали электронную технику с помощью украденных карт, а затем перепродавали ее. Третьи отправляли интернет-покупки в автоматизированные пункты приема курьерских компаний. Среди задержанных были уроженцы разных стран, однако полиция не уточнила национальности. Злоумышленники использовали украденные удостоверения личности для создания профилей и идентификации получателей мошеннических покупок, системы защиты против отслеживания IP-адресов используемых ими терминалов, а также сеть Tor для сохранения анонимности.

Новый вредонос EvilGnome шпионит за пользователями Linux



Антивирусные программы пока не детектируют EvilGnome. Эксперты по кибербезопасности обнаружили редкое шпионское ПО, направленное на компрометацию данных пользователей Linux. В настоящее время вредонос не удается обнаружить с помощью основных антивирусных программ. По словам исследователей из Intezer Labs, получившее название EvilGnome шпионское ПО включает в себя редкие для Linux-вредоносов функциональные возможности. По сравнению с количеством нацеленных на Windows вредоносов Linux не может похвастаться такой "популярностью". Существует очень мало вредоносных программ для Linux, большинство из которых даже не имеют широкого спектра функциональных возможностей. Нацеленные на экосистему Linux вредоносы чаще всего сфокусированы на криптомайнинге и создании DDoS-ботнетов путем захвата уязвимых серверов. Тем не менее, исследователи из Intezer Labs недавно обнаружили новый встраиваемый бэкдор для Linux, который, вероятнее всего, в настоящее время находится на стадии разработки и тестирования, однако уже содержит несколько вредоносных модулей для слежки за пользователями настольных компьютеров на базе Linux. Вредонос EvilGnome способен делать скриншоты, похищать файлы, записывать звук с микрофона, а также загружать и запускать дополнительные вредоносные модули. Вредоносное ПО EvilGnome маскируется под официальное расширение GNOME, позволяющее пользователям Linux расширять функциональные возможности рабочего стола. EvilGnome распространяется в виде самораспаковывающегося заархивированного шелл-скрипта, созданного с помощью "makeself" - небольшого шелл-скрипта, генерирующего самораспаковывающийся сжатый .tar-архив из папки. EvilGnome содержит пять вредоносных модулей под общим названием Shooters. В частности модуль ShooterSound использует PulseAudio для записи звука микрофона. Модуль ShooterImage использует библиотеку Cairo с открытым исходным кодом для создания скриншотов. Модуль ShooterFile использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов. Модуль ShooterPing получает новые команды с C&C-сервера злоумышленника, такие как загрузка и выполнение новых файлов, установка новых фильтров и пр. Модуль ShooterKey может использоваться для кейлоггинга, но пока он не задействован. Вероятнее всего, модуль находится на стадии разработки. Исследователи также обнаружили связь между EvilGnome и хакерской группировкой Gamaredon Group, предположительно связанной с РФ. Группа активна с 2013 года и известна атаками на связанных с правительством Украины лиц. Поскольку антивирусные программы и системы безопасности пока не могут обнаружить вредоносное ПО EvilGnome, исследователи рекомендуют пользователям настояльных компьютеров на базе Linux заблокировать IP-адреса управляющих серверов, перечисленные в разделе IOC в блоге Intezer Labs.

Вредоносные версии WinRAR, Winbox и IDM распространяют шпионское ПО



Злоумышленники используют нацеленный на кибершпионаж вредонос StrongPity. Хакерская APT-группировка StrongPity использует вредоносные версии WinRAR и Winbox в целях установки шпионского ПО. Вредоносная кампания предположительно началась во второй половине 2018 года и продолжается по сей день. Об этом сообщают исследователи из подразделения Alien Labs компании AT&T. С помощью вышупомянутых вредоносных версий программ злоумышленники распространяют сложное шпионское ПО StrongPity. Вредонос StrongPity привлек к себе внимание экспертов по безопасности еще в 2016 году в кампании по распространению поддельных версий WinRAR и TrueCrypt. В начале июля 2019 года специалисты из Alien Labs обнаружили новую вредоносную версию Winbox, которая незаметно для пользователя устанавливала вредонос StrongPity на Windows-системы. Кроме прочего, эксперты выявили новые вредоносные версии утилиты WinRAR и менеджера закачек Internet Download Manager (IDM). Оказавшись на системе StrongPity ищет сохраненные на устройстве документы и поддерживает связь с управляющим сервером через SSL. Вредоносное ПО также обеспечивает удаленный доступ к устройству жертвы, сообщают исследователи. В предыдущих кампаниях злоумышленники из StrongPity использовали вредоносные версии CCleaner, Driver Booster, Opera Browser, Skype и VLC Media Player. Хотя эксперты не смогли определить, как именно в данной кампании группировка распространяет вредоносные версии утилит, они полагают, что StrongPity используют старую инфраструктуру и привычные методы доставки вредоносного ПО.

Группировка Ke3chang использует бэкдор Okrum для атак на дипломатов



Бэкдор использовался в 2017 году против дипломатических миссий в Словакии, Бельгии, Чили, Гватемале и Бразилии. Исследователи из компании ESET опубликовали отчет, посвященный деятельности киберпреступной группировки Ke3chang (она же Vixen Panda, Royal APT, Playful Dragon и APT15). Группировка известна кампаниями по кибершпионажу против организаций в нефтедобывающей и военной сфере, правительственных подрядчиков и дипломатических представительств и организаций. По данным специалистов, первая активность преступников датируется по меньшей мере 2010 годом. Впервые бэкдор Okrum был обнаружен в декабре 2016 года в атаках на организации в Словакии. Наряду с Okrum группировка использовала бэкдоры BS2005 и Ketrican, а также вредоносные программы RoyalDNS. Okrum представляет собой динамическую библиотеку, для загрузки и установки которой используются два компонента первого этапа. Данные компоненты постоянно дорабатываются злоумышленниками в целях избежать обнаружения. Okrum поддерживает только базовые команды для скачивания и загрузки данных, выполнения двоичных файлов или запуска shell-команд. Бэкдор также может обновляться до более свежей версии и регулировать время, в течение которого он спит после каждой команды. Имплант Okrum получает права администратора с помощью API ImpersonateLoggedOnUser и собирает такие данные, как имя компьютера, имя пользователя, IP-адрес хоста, значение основного DNS-суффикса, версия ОС, номер сборки и архитектура. В основном для достижения своих целей злоумышленники вводят команды вручную или могут использовать различные инструменты и программное обеспечение, например, программы для извлечения паролей или кейлоггеры. В частности, в атаках с использованием бэкдора Ketrican в 2017 году злоумышленники применили утилиты NetSess, NetE, ProcDump, PsExec и Get-PassHashes.

Красноярский преступник сядет в тюрьму за совершение более 80 кибератак



Преступник взламывал сайты интернет-магазинов на протяжении трех лет. Октябрьский райсуд Красноярска приговорил к четырем с половиной годам колонии общего режима 38-летнего преступника, совершившего более 80 кибератак. Целями злоумышленника были интернет-магазины автомобильных запчастей, сообщается в пресс-релизе прокуратуры Красноярского края. Суд установил, что обвиняемый в период с октября 2015 по январь 2018 года незаконно получал доступ к сайтам интернет-магазинов автомобильных запчастей и от их имени договаривался о продаже товара, не намереваясь в дальнейшем выполнять обещанное. Преступнику удалось совершить более 80 мошеннических операций против жителей различных регионов России. Против него было возбуждено уголовное дело по ст. 272 (неправомерный доступ к компьютерной информации), ст. 273 (создание, использование и распространение вредоносных компьютерных программ) и ст. 159 (мошенничество). Несмотря на отсутствие судимостей и наличие малолетнего ребенка на иждивении, суд приговорил мошенника к четырем с половиной годам лишения свободы. Суд также удовлетворил гражданские иски потерпевших на сумму свыше 1,5 млн руб.

Хакеры рассказали о проектах крупного подрядчика ФСБ. Среди них — деанонимизация пользователей Tor и мониторинг чужой почты



Хакеры взломали сервер московской компании «Сайтэк», которая считается крупным подрядчиком российских спецслужб и ведомств, и передали журналистам украденные сведения о ее проектах. Как предполагает «Русская служба Би-би-си», возможно, это крупнейшая утечка данных о работе российских спецслужб в интернете. Сервер компании 13 июля взломали хакеры, опубликовавшие в тот же день в твиттере 0v1ru$ скриншоты папки «Компьютер», предположительно принадлежавшей компании «Сайтэк». На одном снимке видно, что общий объем данных составляет 7,5 терабайта. На другом показано, что большая часть информации удалена. В тот же день на главной странице сайта компании появился улыбающийся ПеКа-фейс — скриншот опубликовали в твиттере 0v1ru$. Затем хакеры передали украденные данные проекту Digital Revolution, представители которого в декабре 2018 года заявили о взломе серверов московского НИИ «Квант», подконтрольного ФСБ России. Согласно данным хакеров, компания «Сайтэк» работала как минимум над двадцатью непубличными IT-проектами по заказу российских спецслужб и ведомств. Многие заказы выполняли для войсковой части № 71330, которую связывают с ФСБ. Один из проектов компании — «Наутилус-С» — предназначен для деанонимизации пользователей сети Tor. «Сайтэк» разработала его в 2012 году по заказу НИИ «Квант». В проекте использовали выходной узел Tor, через который отправляются запросы на сайты. Созданная программа, пишет «Би-би-си», «при определенном везении» позволяла сопоставить запросы через Tor, которые отправлял конкретный пользователь, со временем заходов на сайты через подконтрольный узел. Также «Сайтэк» собиралась подменять трафик пользователей, попавшим в этот узел. Хакеры Digital Revolution сказали «Би-би-си», что «Кремль пытается деанонимизировать Tor чисто в своих, корыстных целях». Более ранняя версия проекта «Наутилус», разработанная в 2009-2010 годах, позволяет собирать персональные данные пользователей фейсбука, MySpace и LinkedIn. Программу оценили в 18,5 миллиона рублей, нашелся ли на нее заказчик, неизвестно. В рамках проекта «Награда» в 2013-2014 годах компания искала уязвимость в сетевом протоколе BitTorrent, который используют, чтобы скачивать файлы через торренты. «Би-би-си» отмечает, что заказчик исследований не указан, но обычно непубличные тендеры проводят армия и спецслужбы. Также сотрудники «Сайтэк» изучали различные сетевые протоколы, например, Jabber, который популярен у хакеров и торговцев в даркнете. Для войсковой части № 71330, предположительно связанной с ФСБ, в 2013-2014 годах компания создала программу «Наставник». В материалах хакеров сказано, что она позволяет проверять электронную почту нужных респондентов в определенное время или собирать «интеллектуальную группу добычи» по заданным словам. В те же годы в рамках проекта «Надежда» для войсковой части создали программу, которая накапливает и визуализирует сведения о том, как рунет связан с мировым интернетом. В 2015 году «Сайтэк» работал над созданием для войсковой части «программно-аппаратного комплекса», способного анонимно искать и собирать материалы в интернете, скрывая «информационный интерес». Этот проект назвали «Москитом». Один из последних проектов компании датирован 2018 годом. Это программа «Налог-3», с помощью которой можно убрать из информационной системы налоговой службы сведения о людях, находящихся под государственной охраной или защитой. Проект разработан для структуры Федеральной налоговой службы. «Би-би-си» добавляет, что «Сайтэк» руководит Денис Вячеславович Краюшкин. Человек с такой же фамилией — Вячеслав Владиленович Краюшкин — работает в НИИ «Квант», подконтрольном ФСБ. В НИИ отказались говорить, какое отношение Краюшкины имеют к институту. В «Сайтэке» данные хакеров не комментировали. Сайт компании недоступен. Журналистам не удалось поговорить с участниками проекта 0v1ru$.

Группировка OilRig использует соцсеть LinkedIn для распространения вредоносов



APT34 начала использовать три новых семейства вредоносных программ в недавних кампаниях. Киберпреступная группировка OilRig (также известная как Crambus, APT34, HelixKitten) за последний месяц начала использовать три новых семейства вредоносных программ в кампаниях, говорится в отчете FireEye. OilRig — киберпреступная хакерская группировка, предположительно связанная с правительством Ирана. В основном сосредоточена на организациях в финансовой, правительственной, энергетической, телекоммуникационной и химической сферах на Ближнем Востоке. По словам исследователей, в последней кампании использовалось как новое вредоносное ПО, так и дополнительная инфраструктура. В рамках кампании злоумышленники использовали деловую социальную сеть LinkedIn для доставки вредоносных документов под видом сотрудника Кембриджского университета. Их целью было завоевать доверие жертв, чтобы те открыли зараженные вредоносами документы. Перечень новых вредоносов включает бэкдор TONEDEAF, способный собирать системную информацию, скачивать и загружать файлы и выполнять произвольные shell-команды. Вредонос обменивается данными с C&C-сервером с помощью запросов HTTP GET и POST. Вредоносный код содержался в файле .xls, который распространялся через сообщение на LinkedIn якобы от работника Кембриджского университета. Специалистам также обнаружили два других вредоносных семейства — VALUEVAULT и LONGWATCH. Кроме того в рамках кампании преступники использовали новую версию инструмента PICKPOCKET для кражи учетных данных из браузера. LONGWATCH представляет собой кейлоггер, который сохраняет информацию о всех нажатиях клавиш в файле log.txt в папке temp в Windows. VALUEVAULT представляет собой скомпилированную Golang-версию инструмента Windows Vault Password Dumper, предназначенного для кражи учетных данных из браузера. По аналогии с оригинальной версией, VALUEVAULT может извлекать учетные данные из хранилища Windows Vault. Далее инструмент извлекает историю браузера для последующего сравнения сохраненных в браузере паролей с учетными данными на посещаемых жертвами сайтов. «Мы подозреваем, что это не последний раз, когда APT34 продемонстрировала свои новые инструменты. Преступники часто меняют TTPs (тактики, техники и процедуры), чтобы избежать обнаружения, особенно если цель крайне важна. По этим причинам мы рекомендуем организациям сохранять бдительность касательно своей защиты», — подытожили специалисты FireEye.

Киберпреступники эксплуатируют серверы Jira и Exim ради «безопасности интернета»



Злоумышленники используют скомпрометированные серверы для майнинга Monero. Киберпреступники атакуют уязвимые серверы Jira и Exim с целью заражения их новой версией Linux-трояна Watchbog и майнинга криптовалюты Monero. Watchbog представляет собой вредоносное ПО для заражения серверов на базе Linux путем эксплуатации уязвимого программного обеспечения, например, Jenkins, Nexus Repository Manager 3, ThinkPHP или Linux Supervisord. По словам исследователя из Intezer Labs, новейшая версия вредоноса эксплуатирует недавно обнаруженную уязвимость внедрения шаблона (template injection) в Jira (CVE-2019-11581), которая позволяет выполнять удаленный код. Также вредонос задействует RCE-уязвимость в Exim (CVE-2019-10149), позволяющую злоумышленникам выполнять команды с правами суперпользователя. Согласно поиску Shodan, на данный момент в сети насчитывается более 1 610 000 уязвимых серверов Exim, а также более 54 000 уязвимых серверов Atlassian JIRA. Проэксплуатировав уязвимости, Watchbog загружает на серверы криптомайнер для добычи валюты Monero, а также предпринимает меры для сохранения присутствия на системе, в частности добавляет себя в несколько файлов crontab для повторного инфицирования системы в случае, если пользователь удалит один из этих файлов. Добытая валюта отправлялась на адрес 47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLm
ijau3VZ8D2zsyL7. За время кампании злоумышленникам удалось добыть 53 XMR (примерно $4503). Одна из отличительных особенностей данной кампании заключается в том, что вредонос оставляет сообщение своим жертвам, согласно которому, мотивом злоумышленников является «безопасность интернета». По словам операторов Watchbog, вредонос предназначен только для майнинга криптовалюты, и у них нет намерений модифицировать хранящиеся на серверах данные или требовать выкуп

Экс-подрядчик Siemens внедрял логические бомбы в документы компании в попытке заработать.



С помощью нехитрой схемы злоумышленник получал дополнительную прибыль от Siemens. Бывший подрядчик Siemens Дэвид Тинли (David Tinley) признал себя виновным во внедрении логических бомб в электронные таблицы, которые он создавал для компании. Согласно документам суда, Тинли предоставлял услуги подразделениям Siemens в Монровилле, штат Пенсильвания, в течение почти десяти лет. В число его обязанностей входило создание электронных таблиц для управления заказами на оборудование. Электронные таблицы включали скрипты, обновляющие содержимое файла на основе текущих заказов. Сбой в работе таблиц стал наблюдаться с 2014 года. Как оказалось, Тинли внедрял так называемые логические бомбы (код, который запускается при определенных временных или информационных условиях для осуществления вредоносных действий), срабатывающие в определенное время и повреждающие файлы. В каждом таком случае Siemens обращалась к Тинли, который за определенную плату решал "проблемы". Мошенническая схема была выявлена сотрудниками Siemens спустя два года, в то время, когда Тинли был в отъезде. Ему пришлось передать работникам компании пароль администратора, чтобы они сами могли исправить нерабочий скрипт. Дэвиду Тинли были предъявлены обвинения в мае 2019 года. 19 июля он признал себя виновным в организации мошеннической схемы. Слушание по его делу назначено на 8 ноября текущего года. В случае признания виновным Тинли грозит наказание в виде тюремного заключения сроком до 10 лет или штраф в размере 250 тыс. долларов либо и то, и другое

Киберпреступники из FIN8 вооружились вредоносным ПО BADHATCH для кражи данных карт



Злоумышленники используют новую вредоносную программу, разработанную для атак на PoS-терминалы. Киберпреступная группировка, известная как FIN8, вооружилась новым вредоносным ПО под названием BADHATCH, говорится в отчете команды Gigamon. Злоумышленники используют новую вредоносную программу, разработанную для атак на PoS-терминалы. По оценкам специалистов, группировка FIN8 продолжает развиваться и адаптировать свои инструменты. При рассмотрении версий вредоносов ShellTea и PoSlurp исследователи обнаружили ранее не встречавшийся вариант, получивший название BADHATCH. Атака обычно начинается с вредоносной рассылки, содержащей вложения в виде документов Microsoft Word с вредоносным макросом, при активации которого на устройстве загружается загрузчик PowerSniff (PUNCHBUGGY). “BADHATCH включает самоудаляющийся скрипт PowerShell, содержащий большой байтовый массив 64-разрядного shell-кода, который копируется в память процесса PowerShell и выполняется с вызовом CreateThread. Данный скрипт отличается тем, что команды закодированы в base64, возможно, для обхода продуктов безопасности”, — отмечают исследователи. В отличие от PowerSniff BADHATCH не содержит методов обнаружения песочницы. Кроме того, вредонос не проверяет, в какой среде находится и не обладает встроенными механизмами, обеспечивающими сохранение постоянного присутствия на системе. Программа PoSlurp является одним из важнейших инструментов FIN8, так как она извлекает номера кредитных карт во время их обработки платежной системой. “Большинство скрэперов проверяют номер карт по алгоритму, определяющему их валидность. Примечательно, что PoSlurp не запускает алгоритм Luhn для номеров собранных карт. Проверка может быть выполнена в автономном режиме после извлечения данных карты, но в любом случае FIN8 известна среда, и PoSlurp атакует непосредственно ПО для обработки данных карт, а не произвольно извлекает данные из других процессов в памяти”, — говорится в отчете.

Раскрыты личности предполагаемых участников китайской группировки APT17



APT17 связывают с бюро Министерства государственной безопасности Китая в Цзинане. Группировка Intrusion Truth раскрыла личности предполагаемых членов кибергруппировки APT17 (она же DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 и AuroraPanda), предположительно связанной с правительством Китая. Ранее Intrusion Truth обличила участников двух других китайских хакерских группировок — APT3 и APT10. APT17 — кибергруппировка, ответственная за серию кибератак в 2010-2015 годах на различные структуры — от частных компаний до государственных учреждений в странах всего мира. Ранее APT17 также связывали с компрометацией приложения CCleaner, произошедшей в 2017 году. За последнюю неделю Intrusion Truth опубликовала данные о трех лицах, которые предположительно являются участниками APT17. Один из них владеет четырьмя компаниями в Китае и предположительно является сотрудником Министерства государственной безопасности КНР. Остальные два участника являлись работниками указанных компаний. Все трое проживали в городе Цзинань, столице китайской провинции Шаньдун. По данным Intrusion Truth, троица проводила хакерские операции по заказу регионального управления Министерства государственной безопасности в Цзинане. Китайские киберпреступники продолжают активно проводить операции по кибершпионажу. В частности, ранее стало известно об атаках группировки Winnti на крупные немецкие компании BASF, Siemens и Henkel.

Вредоносное ПО семилетней давности до сих пор популярно среди злоумышленников



Вредоносы являются простыми в использовании, дешевыми или даже бесплатными. Одними из самых популярных вредоносных программ в даркнете до сих пор остаются вредоносы, использующие эксплоиты, которым уже много лет, сообщают ИБ-специалисты из компании Recorded Future. Эксперты проанализировали подпольные форумы на различных языках, включая английский, русский, китайский, испанский и арабский в период с 2018-2019 года и обнаружили, что наиболее популярными были самые простые в использовании, дешевые или даже бесплатные вредоносы. Среди лидеров продаж оказались троян для удаленного доступа njRat, впервые обнаруженный в 2012 году; SpyNote – инструмент удаленного администрирования для Android, содержащий функционал кейлоггинга и GPS; GandCrab - вымогатель, который предлагает партнерскую схему, позволяющую злоумышленникам легко распространять шифровальщик; DroidJack - троян для Android, пожизненную лицензию на который можно купить всего за 200 долларов. Напомним , в начале июня 2019 года операторы GandCrab заявили о решении свернуть бизнес и дали указания партнерам прекратить распространение вредоноса. За время существования GandCrab принес своим операторам около $2 млрд (в среднем $2,5 млн в неделю). Размер чистой прибыли составил $150 млн, которые, по утверждениям операторов, были выведены и вложены в легальные компании. «Участники форумов больше обсуждают и используют доступные программы, нежели покупают или изобретают новые инструменты. Вредоносное ПО с открытым исходным кодом является бесплатным, а многие программы с закрытым исходным кодом, такие как SpyNote, были ранее взломаны, это означает, что многие участники форума теперь распространяют неавторизованные копии вредоносного ПО, как правило, по более дешевым ценам», - отметила эксперт из Recorded Future Виннона де Сомбре (Winnona de Sombre). Хотя большинству вредоносных программ уже много лет, и они направлены на эксплуатацию уже давно исправленных уязвимостей, такие инструменты все равно остаются эффективными, поскольку существует множество систем, для которых не выпускаются исправления в течение многих лет, оставляя их уязвимыми для старых вредоносов, используемых в простых атаках, включая фишинг, взлом паролей и пр., пишут эксперты.

Из-за кибератаки жители Йоханнесбурга остались без электричества



IT-отдет City Power продолжает бороться с последствиями вымогательского ПО. Ответственная за электроснабжение финансовой столицы Южной Африки Йоханнесбурга компания City Power заявила в своем аккаунте в Twitter о совершенной на нее масштабной кибератаке. Злоумышленники использовали вымогательское ПО, которое зашифровало базы данных, приложения и сеть City Power. Произошедшая 25 июня 2019 года кибератака привела к тому, что многие жители Йоханнесбурга, пользующиеся тарифом с предоплатой остались без электроэнергии. Жители города продолжают звонить на местные радиостанции и жаловаться на проблему. Клиенты City Power до сих пор не могут зайти на web-сайт компании, просмотреть и оплатить счета. В настоящее время сотрудники IT-отдела продолжают бороться с последствиями заражения. О каком именно вредоносном ПО идет речь, компания не сообщает. Напомним , ранее стало известно о том, что немецкие компании BASF, Siemens и Henkel стали жертвами кибератак с целью шпионажа. В общей сложности в ходе вредоносных атак пострадало восемь немецких компаний, шесть из которых являются крупнейшими акционерными корпорациями Германии.

Остановивший WannaCry британец останется на свободе



Суд приговорил Маркуса Хатчинса к сроку заключения, равному тому, который британец находился под стражей. Суд в США вынес приговор в отношении британского программиста Маркуса Хатчинса (Marcus Hutchins), также известного как MalwareTech, обвиняемого в создании и распространении банковского трояна Kronos. Окружной суд в Милуоки приговорил Хатчинса к сроку заключения, равному тому, который британец находился под стражей. Осужденному предписано в течение года соблюдать условия надзорного режима. Программисту, в апреле признавшему себя виновным , грозило до 10 лет тюрьмы. Хатчин получил широкую известность после того, как в мае 2017 года сумел временно приостановить эпидемию вымогательского ПО WannaCry, от которой пострадали миллионы компьютеров по всему миру. Британец был арестован 2 августа 2017 года в аэропорту Лас-Вегаса, откуда возвращался домой с посвященных кибербезопасности конференций Black Hat и DEF CON. В апреле нынешнего года он признал свою вину по первым двум из десяти пунктов обвинения, предъявленных ему в США. В частности, британец сознался в создании банковских троянов UPAS-Kit и Kronos и распространении их с помощью сообщника, известного как Vinny или VinnyK. Согласно судебным документам, Хатчинс был вовлечен в киберпреступную деятельность в 2012-2015 годах. Как отметил окружной судья Джей. Пи. Стедтмюллер (J.P. Stadtmueller) при вынесении приговора, вредонос, который Хачинс помог остановить, был более опасным, чем созданная им вредоносная программа.

Злоумышленники распространяют вымогатель Sodinokibi от имени немецкой спецслужбы



Преступники побуждают жертв открыть электронные письма с вредоносным файлом. Злоумышленники распространяют по электронной почте программу-вымогатель Sodinokibi (также известный как REvil и Sodin), выдавая себя за сотрудников немецкого Федерального управления по информационной безопасности (Bundesamt für Sicherheit in der Informationstechnik). Используя в качестве темы сообщения «Предупреждение о скомпрометированных пользовательских данных» («Warnmeldung kompromittierter Benutzerdaten»), злоумышленники побуждают своих жертв открыть вложение с вредоносным PDF документом, говорится в сообщении BSI. После открытия документа на системе запускается hta-файл с помощью легитимной утилиты mshta.exe, далее на систему загружается вымогательское ПО Sodinokibi. Инфицировав систему, вредонос удаляет теневые копии файлов и отключает восстановление при загрузке Windows. Затем Sodinokibi шифрует файлы на системе и за их восстановление требует $2500 в биткойнах, по прошествии указанного срока сумма возрастает до $5000. Ранее стало известно об атаках, в рамках которых операторы Sodinokibi взламывали провайдеров управляемых услуг через Webroot SecureAnywhere и заражали системы их клиентов вымогательским ПО. В июне компания Oracle исправила уязвимость десериализации в WebLogic Server, используемую ранее для распространения вымогательского ПО Sodinokibi и майнеров криптовалют.

Злоумышленники внедряют мультишлюзовый скиммер через поддельные домены Google



Cкиммер cпособен автоматически изменять свое поведение, если панель инструментов разработчика открыта в браузерах Chrome или Firefox. Одна из киберпреступных группировок Magecart использует поддельные домены Google для размещения и загрузки скиммера с поддержкой нескольких платежных шлюзов. Специалисты из Sucuri провели исследование и обнаружили, что один из web-сайтов был заражен скиммером для хищения данных платежных карт, загружающим JavaScript-код с вредоносного интернационализированного домена google-analytîcs[.]com. Magecart — термин, объединяющий несколько киберпреступных группировок, специализирующихся на внедрении скриптов для хищения данных банковских карт в платежных формах на сайтах. Они ответственны за атаки на такие компании, как Amerisleep , MyPillow , Ticketmaster , British Airways , OXO и Newegg . Недавно исследователи раскрыли вредоносную кампанию, в ходе которой злоумышленники успешно взломали 962 сайта электронной коммерции. Злоумышленники используют интернационализованные доменные имена (IDN) для маскировки серверов, на которых размещается вредоносный контент, с целью замаскировать трафик от вредоносных доменов под пакеты, доставляемые с легитимных сайтов. Использование IDN для маскировки сервера — одна из популярных тактик, используемых злоумышленниками в фишинговых кампаниях. Поскольку существуют определенные символы, которые могут казаться одинаковыми, но иметь разные коды ASCII (например, «а» в кириллице и латинская буква «а»), злоумышленник может «подделать» URL-адрес web-страницы. Вместо перехода на легитимный сайт пользователя могут перенаправить на вредоносный портал, идентичный реальному. Таким образом преступники могут собирать личную или финансовую информацию, а затем использовать и/или продавать ее. Одной из отличительных возможностей скиммера, используемого в новых атаках Magecart, является возможность автоматически изменять свое поведение, если сайт открывается в браузерах Google Chrome или Mozilla Firefox. В таком случае во избежание обнаружения скиммер не будет отправлять собранные данные на C&C-сервер. Скрипт скиммера Magecart также поддерживает десятки платежных шлюзов, что указывает на тщательную подготовку преступников к этой кампании, отмечают специалисты Sucuri

QNAP и Synology предупредили об атаках шифровальщика на NAS-устройства



За восстановление файлов атакующие требовали 0,06 биткойна. Компании QNAP и Synology предупредили пользователей о текущих атаках с использованием вымогательского ПО eCh0raix на сетевые накопители. Согласно предупреждению Synology, несколько пользователей уже пострадали от атак, в рамках которых злоумышленники похитили учетные данные администратора и с их помощью получили доступ к устройствам и зашифровали хранящуюся на них информацию. Согласно сообщениям пострадавших, за восстановление файлов атакующие требовали 0,06 биткойна (примерно $587). «Мы считаем, что это организованная атака. После тщательного расследования мы выяснили, что атакующие использовали ботнет для сокрытия IP-адреса, с которого исходили атаки. Злоумышленники получили учетные данные администратора с помощью брутфорса, атака была осуществлена 19 июля», - отмечается в сообщении Synology. Ранее компания QNAP Systems также предупредила владельцев сетевых накопителей ее производства об атаках с использованием вымогательского ПО eCh0raix. Вредонос компрометирует устройства путем брутфорса и эксплуатации известных уязвимостей. Для предотвращения подобных атак компания рекомендует обновить прошивку устройства, установить надежные пароли администратора, отключить SSH и Telnet, если они не используются, а также не использовать дефолтные порты 443 и 8080.

Хакеры начали продавать адреса банкоматов, популярных у клиентов



На черном рынке появились предложения по продаже адресов банкоматов, которыми пользовался клиент банка в течение месяца, говорится в исследовании DeviceLock. Эксперты также отмечают, что цены на данные банковских клиентов в первой половине 2019 года резко выросли, сообщает «Коммерсант». Аналитик Positive Technologies Вадим Соловьев подтвердил информацию о появлении предложения «на множестве площадок» по продаже данных об используемых клиентом банкоматах. Стоимость этой услуги составляет 8–15 тыс. рублей. Такие данные могут быть использованы в более традиционных криминальных схемах, поясняет Соловьев. Например, мошенничество с использованием социальной инженерии при звонке клиенту для повышения достоверности звонка. Стоимость получения данных по картам или выписки по операциям выросла в 3–7 раз. Эксперты отмечают, что цена банковской тайны увеличилась как за счет резкого спроса на подобную информацию из-за увеличения количества атак на граждан, так и из-за активизации борьбы банков с утечкой информации. По мнению экспертов, основная причина роста цен на услуги по «пробиву» данных клиентов банков — смена типа атак на граждан. Если раньше чаще использовались технические методы, то сейчас более 90% хищений осуществляется с помощью методов социальной инженерии, где успех зависит от наличия у мошенников персональных данных клиентов. Также отмечаются возросший спрос на необходимые для таких атак сведения и успешная монетизация купленных данных. В исследовании DeviceLock отмечается сокращение числа банков, по которым есть предложения по «пробиву» информации. По словам экспертов, это означает, что банки серьезно занялись проблемой неправомерного доступа к данным, а также то, что инсайд из разных банков имеет разную ценность. В Банке России сообщили изданию, что стоимость подобных нелегальных услуг зависит от уровня риска, которому подвергается мошенник. «Если стоимость выросла, это говорит о том, что методы противодействия утечкам в банках существенно осложнили «бизнес» злоумышленникам», — уверены в ЦБ. Собеседник «Коммерсанта», близкий к правоохранительным органам, также отметил их активную работу по выявлению источников «сливов», которая вынуждает последних повышать цены.

Бывшая сотрудница Amazon взломала базу данных Capital One



Утечка данных затронула около 100 млн лиц в США и 6 млн жителей Канады. Американская банковская холдинговая компания Capital One сообщила о масштабной утечке данных более 100 млн жителей США и 6 млн жителей Канады. Злоумышленницей оказалась 33-летняя жительница Сиэтла (штат Вашингтон) Пэйдж Томпсон (Paige Thompson), ранее работавшая в компании Amazon. Женщина имела доступ к публичному облаку Amazon Web Services (AWS), где размещалась база данных пострадавшей компании. По словам представителя Capital One, компания действительно хранила данные в облаке AWS, однако злоумышленница получила к ним доступ не путем взлома или эксплуатации уязвимости в системах AWS. По словам прокуроров, доступ к банковским данным осуществлялся через неправильно настроенный межсетевой экран, используемый для защиты одного из приложений. Утечка данных произошла между 12 марта и 17 июля нынешнего года. Скомпрометированной оказалась персональная информация пользователей, оформлявших кредитные карты в период с 2005 по начало 2019 года. Информация включала имена, адреса, почтовые индексы, номера телефонов, адреса электронной почты, сведения о дате рождения и доходах. Утечка затронула номера социального страхования 140 000 владельцев карт, а также порядка 80 000 номеров привязанных к картам банковских счетов. Компания оценила ущерб от взлома в $100–150 млн. Сотрудники ФБР предъявили женщине обвинение в кибермошенничестве. Она останется под стражей до четверга, 1 августа 2019 года — на этот день назначено первое судебное слушание. Ей грозит наказание в виде лишения свободы сроком до пяти лет и штраф в размере $250 000. Это одна из самых крупных утечек персональных данных за последние несколько лет. В 2017 году в результате кибератаки злоумышленники получили доступ к персональным данным более 140 млн клиентов компании Equifax.

Взлом всего 20% беспилотных автомобилей приведет к огромным пробкам



Кибератаки на беспилотные автомобили приведут к полной заморозке транспортного движения в городе. По словам ученых из Технологического института Джорджии, в будущем количество беспилотных автомобилей вырастет до 10 млн. Ученые опасаются, что киберпреступники смогут парализовать городской трафик, взломав лишь небольшую часть беспилотных автомобилей. Главными последствиями таких кибератак на беспилотные автомобили станут дорожно-транспортные происшествия, а также огромные пробки, в которые попадут машины скорой помощи с ранеными, больными и умирающими людьми. Исследователи смоделировали ситуацию, как взлом нескольких беспилотных автомобилей может повлиять на городской трафик в Манхэттене (район Нью-Йорка). По словам исследователей, остановка всего 20% автомобилей в час пик полностью парализует транспортное движение в городе. Город будет разделен на несколько секторов, что позволит перемещаться между кварталами, однако добраться в другой конец уже будет невозможно. Взлом и принудительная остановка 10% автомобилей в час пик приведет к блокировке движения машин скорой помощи. Результаты исследования также показали, что такие последствия могут возникнуть и в любое другое время дня. Исследователи рекомендуют инженерам беспилотных автомобилей связывать машины несколькими цифровыми сетями, чтобы предотвратить доступ злоумышленнику к каждому автомобилю путем компрометации одной или двух сетей.

Злоумышленники взламывают сетевые накопители Lenovo Iomega и требуют выкуп



От жертвы требуют перевести от 0,01 до 0,05 биткойна на указанный адрес, иначе файлы пропадут навсегда или будут проданы в Даркнете. Пользователи сети сообщили об атаках на сетевые накопители Lenovo Iomega, в ходе которых злоумышленники удаляли файлы с устройства и оставляли записки с требованиями выкупить файлы за биткойны. В уведомлениях с требованием выкупа сообщалось, что файлы пользователя были зашифрованы и перемещены в безопасное место. Суммы и текст сообщений внутри записок различается. Чаще всего от пользователя требуют перевести от 0,01 до 0,05 биткойна (примерно от $95 до $477) на указанный адрес, иначе файлы пропадут навсегда или будут проданы в даркнете. Однако, по данным ресурса BleepingComputer, в действительности файлы удаляются, а не зашифровываются и хранятся в безопасном месте. Некоторым жертвам удалось успешно восстановить файлы после подключения сетевого накопителя к ПК через порт USB. Остается неизвестным, как злоумышленники получают доступ к устройствам жертвы, но поиск в Shodan показывает многочисленные сетевые накопители Iomega, подключенные напрямую к Интернету. Незащищенные устройства Iomega имеют общедоступные интерфейсы, которые позволяют удаленно получать доступ к файлам через интернет, удаляя или загружая папки с сетевых накопителей. За последнее время сетевые накопители Iomega оказались не единственными устройствами, подвергшимися атакам вымогателей. Недавно стало известно о вымогательском ПО eCh0raix, который атаковал сетевые накопители QNAP, требуя за восстановление файлов 0,06 биткойна (примерно $587).

Киберпреступник из Ярославля взламывал базы данных по всей России



Злоумышленник требовал у жертв выкуп за восстановление данных. Прокуратура Ленинского района направила в суд уголовное дело по обвинению 26-летнего жителя Ярославля в 6 эпизодах использования и распространения вредоносных компьютерных программ. В период с 2014 года по 2015 год ярославец с помощью удаленного доступа и специального программного обеспечения подбирал учетные данные к компьютерам организаций в Кемеровской, Тюменской и Курганской областях, в Республике Мордовия и Ставропольском крае. Злоумышленник внедрял в системы вредоносную программу и блокировал доступ к базам данных. Далее преступник требовал от жертв выкуп в размере от 3 до 6 тыс. рублей за восстановление информации. Это преступление он совершил, находясь на испытательном сроке за аналогичные действия. Молодой человек обвиняется по ч. 2 ст. 273 УК РФ (использование и распространение вредоносных компьютерных программ, совершенных из корыстной заинтересованности). Уголовное дело направлено в Ленинский районный суд Ярославля.

Обнаружен новый способ кражи денег с бесконтактных карт Visa



В реальной жизни обнаруженная уязвимость неопасна, поскольку у мошенников редко оказываются на руках чужие карты, считает Visa. Эксперты по кибербезопасности из компании Positive Technologies обнаружили уязвимость, эксплуатация которой позволяет злоумышленникам обойти ограничение на списание крупных сумм бесконтактным способом с карт Visa. Обычно бесконтактные карты не позволяют провести оплату большой суммы без PIN-кода. Например, пользователям в Великобритании необходимо вводить PIN-код при покупке от £30 (примерно 2300 рублей). Если преступники украдут карту и попытаются провести несколько транзакций на большие суммы, то банк заблокирует карту. По словам экспертов из Positive Technologies, существует два способа обойти это ограничение. В первом случае они воспользовались аппаратом для перехвата и замены сообщений в канале связи между картой и считывающим устройством. С его помощью на карту посылался ложный сигнал о списании суммы менее £30, а на терминал — сообщение о верификации, проведенной другим способом. Данная уязвимость затрагивает только карты Visa, поскольку в других платежных системах большие транзакции подтверждаются только PIN-кодом. Во втором варианте исследователи использовали два мобильных телефона. Один телефон собирал с карты так называемую криптограмму платежа, гарантирующую подлинность будущих транзакций. Второй — принимал криптограмму и имитировал карту. Компания Visa не планирует принимать меры по пресечению данных видов мошенничества. По мнению компании, для осуществления махинации злоумышленникам необходимо иметь карту на руках, а такое редко случается. Однако исследователи не согласны с тем, что карту нужно обязательно красть. Как показали результаты эксперимента, злоумышленнику достаточно ненадолго подобраться близко к карте жертвы и считать платеж.

Злоумышленники атаковали компьютерную сеть МИД Чехии



Киберпреступники взломали несколько ящиков электронной почты сотрудников МИД, но не смогли обойти системы защиты сервера. В среду, 31 июля, злоумышленники атаковали компьютерную сеть Министерства иностранных дел Чехии, сообщает ежедневная газета Deník N. Злоумышленникам не удалось получить доступ к конфиденциальной информации. Они взломали несколько ящиков электронной почты сотрудников МИД, но не смогли обойти защиту сервера, через который проходит служебная переписка. По факту хакерского нападения на компьютерную сеть МИД Чехии возбуждено уголовное дело, и следствию предстоит выяснить, кто осуществил кибератаку. Экспертам чешских спецслужб предстоит установить, существует ли взаимосвязь между произошедшим инцидентом кибератаками на МИД в 2017 и 2018 годах. В 2017 году неизвестные злоумышленники взломали учетные записи электронной почты десятков сотрудников Министерства иностранных дел Чехии и похитили сообщения из почтовых ящиков, в том числе секретную информацию, касающуюся союзников страны.В апреле нынешнего года Министерство иностранных дел Бельгии было вынуждено на целый день отключить свои электронные сервисы, в том числе выдачу паспортов и легализацию документов из-за кибератаки.

Новая кибергруппировка Hexane атакует промышленные предприятия на Ближнем Востоке



Преступники обходят защиту объектов через доверенных поставщиков, компрометируя устройства и программное обеспечение. Исследователи безопасности из компании Dragos идентифицировали новую киберпреступную группировку, получившую название Hexane, нацеленную на системы промышленного контроля на предприятиях в нефтегазовом и телекоммуникационном секторах. По словам специалистов, злоумышленники начали свою преступную деятельность в середине 2018 года, и используют вредоносные документы для проникновения в сеть. В первой половине 2019 года группировка сконцентрировала атаки на нефтяных и газовых компаниях на Ближнем Востоке, в основном в Кувейте. Преступники также совершили попытки атак на телекомпровайдеров в странах Ближнего Востока, Центральной Азии и Африки. По словам специалистов, преступники обходят защиту объектов через доверенных поставщиков, компрометируя устройства, программное обеспечение и телекоммуникационные сети, используемые целевыми объектами в рамках АСУ ТП. Преступная деятельность Hexan демонстрирует сходство с атаками группировок Magnallium (APT33) и Chrysene, поскольку все они нацелены на нефтегазовые объекты и используют подобные методы. Chrysene сосредоточена на компаниях и организациях в Северной Америке, Европе, Израиле и Ираке, и использует сложное вредоносное ПО не только для атак, но и для шпионажа. В июне нынешнего года хакерская группировка Xenotime расширила свой список целей, включив в него энергетические предприятия в США и странах Азиатско-Тихоокеанского региона. В прошлом году команда специалистов из Dragos включила вышеуказанные группы в список группировок, представляющих наибольшую опасность для АСУ ТП.

«Лаборатория Касперского» предупредила о мошенниках на YouTube



Злоумышленники заманивают жертв с помощью платной таргетированной рекламы, обещая легкие деньги. Специалисты из «Лаборатории Касперского» предупредили пользователей YouTube о новом виде мошенничества, связанном с платной рекламой. Злоумышленники нацелились в основном на пользователей России и других стран СНГ. По словам экспертов, злоумышленники заманивают жертв на фишинговые сайты с помощью платной таргетированной рекламы, обещая легкие деньги за прохождение опроса, в рамках благотворительной акции или розыгрыша подарков. Видеоролики также сопровождаются фальшивыми комментариями и отзывами для большей правдоподобности. Но если такой вид мошенничества существовал и раньше, то использование преступниками платной рекламы стало новым подходом. По расчетам злоумышленников, пользователи будут с легкостью доверять такому ресурсу, так как уже привыкли к подобного рода рекламе. «С начала этого года защитные решения компании заблокировали почти 17 миллионов попыток перехода на подобные фишинговые сайты, обещающие солидные выигрыши», — сообщили в пресс-службе компании. Специалисты компании рекомендуют пользователям использовать надежные антивирусные программы, включающие защиту с технологией распознавания и блокирования фишинговой угрозы.

«Уже не паранойя»: Роскачество посоветовало заклеивать камеру ноутбука



Роскачество опубликовало на своём сайте набор рекомендаций по «цифровой гигиене». Организация советует регулярно обновлять ПО компьютера, пользоваться антивирусом, а также заклеивать на ноутбуках камеру и микрофон. Кроме того, в ведомстве предупредили, что «сами гаджеты постоянно шпионят за своими владельцами». Однако эксперты считают, что далеко не все россияне будут придерживаться этих правил. Для того чтобы лучше защититься от мошенничества в интернете, необходимо следовать ряду простых рекомендаций, считают эксперты Роскачества. В частности, стоит заклеивать камеру и микрофон ноутбука, чтобы вредоносные программы или хакеры не получали информацию о пользователе. «Если вы не хотите стать жертвой киберпреступника, помимо того что на вашем компьютере обязательно должен быть установлен антивирус и обновлённое ПО, всё-таки стоит заклеивать камеру и микрофон до востребования. Это увеличит ваши шансы на приватность и спокойствие», — говорится в сообщении на сайте организации. Осторожность нужно проявлять и в отношении смартфонов, говорят эксперты Роскачества. По их словам, устройства собирают информацию о владельце. Впоследствии собранные данные используются для персонализированной рекламы.

Обзор инцидентов безопасности за период с 29 июля по 4 августа



Прошедшая неделя ознаменовалась новыми атаками группировок Magecart, утечкой данных Comodo, атаками на NAS-устройства и сетевые накопители и появлением новой киберпреступной группировки, атакующей нефтегазовые компании на Ближнем Востоке. Об этих и других инцидентах безопасности мы расскажем далее в материале. Специалисты компании Sucuri обнаружили , что одна из киберпреступных группировок, объединенных под общим названием Magecart, использует поддельные домены Google для размещения и загрузки скиммера с поддержкой нескольких платежных шлюзов. Отличительной чертой скиммера является его способность автоматически изменять поведение. Если сайт открывается в браузерах Google Chrome или Mozilla Firefox, во избежание обнаружения скиммер не отправляет собранные данные на C&C-сервер. Исследователю безопасности Элле Урсему (Jelle Ursem) удалось авторизоваться в принадлежащей компании Comodo учетной записи OneDrive и получить доступ к внутренним документам, файлам и удостоверяющему центру с помощью электронного адреса и пароля, находившихся в открытом доступе. По словам Урсема, аккаунт до этого уже был взломан и с него рассылался спам. Компании QNAP и Synology сообщили о текущих атаках на сетевые накопители с использованием вымогательского ПО eCh0raix. Жертвами атак уже стали несколько пользователей. Злоумышленники похитили учетные данные администратора, получили с их помощью доступ к устройствам и зашифровали хранящуюся на них информацию. Согласно сообщениям пострадавших, за восстановление файлов атакующие требовали 0,06 биткойна (примерно $587 согласно курсу на то время). На прошлой неделе также стало известно об атаках шифровальщиков на сетевые накопители Lenovo Iomega. Вредонос удалял файлы с устройства и оставлял записку с требованиями выкупить файлы за биткойны. Сумма выкупа составляла от 0,01 до 0,05 биткойна (примерно от $95 до $477 согласно курсу на то время). 31 июля неизвестные осуществили кибератаку на Министерство иностранных дел Чехии. Злоумышленники взломали несколько ящиков электронной почты сотрудников МИДа, но не смогли обойти защиту сервера, через который проходит служебная переписка. Конфиденциальная информация в результате инцидента скомпрометирована не была. На прошлой неделе стало известно о появлении новой киберпреступной группировки под названием Hexane. Злоумышленники атакуют АСУ ТП на предприятиях нефтегазового и телекоммуникационного секторов в странах Ближнего Востока.

За последние полгода удвоилось число атак на промышленные предприятия



Как сообщают специалисты команды X-Force IRIS компании IBM, за последние шесть месяцев количество атак на промышленные предприятия увеличилось в два раза. Половина атакованных предприятий задействованы в производственном секторе, а целью атак является подрыв производственных процессов, пишет ZDNet. Главным предназначением вредоносного ПО наподобие Industroyer, NotPetya или Stuxnet является не скрытое похищение данных, а выведение из строя оборудования. В их функционал входит блокировка компьютера, выведение системы из строя, удаление файлов и т.п. По словам исследователей, обычно вредоносное ПО Stuxnet, Shamoon или Dark Seoul, предназначенное для выведения из строя промышленного оборудования, используется хакерами, действующими в интересах того или иного государства. Тем не менее, с конца 2018 года компоненты для удаления файлов в свое ПО стали добавлять рядовые киберпреступники. Ярким примером являются атаки с использованием вымогательского ПО LockerGoga и MegaCortex. По данным IBM, в первой половине 2019 года количество атак с использованием подобного вредоносного ПО удвоилось по сравнению со вторым полугодием 2018 года. Наибольшему риску кибератак с использованием деструктивного вредоносного ПО подвергаются компании нефтегазовой промышленности и образовательные учреждения. Большая часть таких атак, зафиксированных IBM, пришлась на организации в Европе, США и странах Среднего Востока. Наиболее распространенный вектор заражения – фишинговые письма, похищение учетных данных для авторизации во внутренней сети, атаки watering hole и взлом подрядчиков, имеющих прямую связь с целевой организацией. Эксперты отмечают две формы целевых атак. Первая предполагает продолжительное нахождение атакующего в сети жертвы до непосредственного нападения. Вторая форма – быстрая атака, осуществляемая сразу же после проникновения в сеть.

Ботнет Gwmndy превращает маршрутизаторы Fiberhome в узлы для SSH туннелирования



Зачем операторам ботнета понадобилось превращать маршрутизаторы в узлы для SSH туннелирования, не понятно. Специалисты из 360 Netlab обнаружили новый, весьма необычный ботнет из маршрутизаторов Fiberhome. Ботнет растет довольно медленно – за один день в него добавляется всего 200 устройств. «В отличие от типичных ботнетов, старающихся заразить как можно больше жертв, этот прекращает поиски новых ботов, набрав 200 за день. Похоже, его создателя устраивает такое количество, вероятно, предоставляющее ему достаточно прокси для чего бы то ни было», – сообщили исследователи. Вторая отличительная особенность ботнета – его предназначение. В отличие от большинства ботнетов, он не используется ни для DDoS-атак, ни для криптоджекинга, ни для рассылки спама, ни для похищения информации. Единственная цель ботнета – изменить настройки маршрутизатора таким образом, чтобы превратить его в прокси-узел для SSH туннелирования. Зачем это нужно его операторам, не понятно. Для заражения маршрутизаторов злоумышленники используют ранее не известное ПО Gwmndy. Инфицирование происходит с помощью исполняемого файла в формате ELF, который попадает на устройство одним из множества стандартных способов. «Мы не увидели, как Gwmndy распространяется, но знаем, что в некоторых маршрутизаторах Fiberhome используют очень ненадежные пароли и присутствуют уязвимости», – пояснили исследователи. Попав на устройство, вредонос устанавливает бэкдор, а также создает SSH туннель для динамической переадресации портов и локальный сервис SOCKS5. Как отмечают исследователи, вредоносное ПО, выступающее в качестве прокси, – случай весьма редкий. Одни вредоносные программы используют прокси или TOR для подключения к своим C&C-серверам, другие и вовсе передают данные в открытом виде без прокси. Однако вредонос, который является прокси сам по себе и может использоваться другими программами, загружаемыми вместе с ним, заслуживает пристального внимания, уверены эксперты.

Fancy Bear атакует популярные IoT-устройства



Скомпрометировав корпоративное IoT-устройство, злоумышленники проникали в сеть и готовились к дальнейшим атакам. Печально известная APT-группа Fancy Bear (другое название APT28) атакует корпоративные IoT-устройства с целью проникновения в сети компаний и создания плацдарма для дальнейших атак. «В апреле исследователи безопасности Microsoft Threat Intelligence Center обнаружили, что инфраструктура известного противника подключается к нескольким внешним устройствам. В ходе дальнейших исследований были выявлены попытки злоумышленников скомпрометировать популярные IoT-устройства (телефон VOIP, офисный принтер, видеодекодер)», - сообщают специалисты компании Microsoft. В двух случаях злоумышленники использовали заводские пароли по умолчанию, а еще в одном проэксплуатировали уязвимость в устройстве, на котором не были установлены последние обновления. Через скомпрометированное IoT-устройство атакующие могли проникнуть в корпоративную сеть и взломать подключенные к ней уязвимые компьютеры. С помощью несложного сканирования они могли продвигаться по сети и получать доступ к привилегированным учетным записям. Используя анализатор пакетов tcpdump, атакующие анализировали трафик в локальной сети в поисках дополнительных данных о следующих жертвах и административных группах. На каждое скомпрометированное устройство группировка устанавливала shell-скрипт, непрерывно передающий на C&C-сервер поток информации, позволяющей ей сохранять свое присутствие в корпоративной сети. Хотя специализацией Fancy Bear является кибершпионаж, специалисты Microsoft затрудняются сказать, какие цели преследовала группировка в данной конкретной кампании. Атаки были обнаружены на ранних стадиях, и установить их цель пока нельзя.

Казахские мошенники пользуются очередями в детсад для похищения персональных данных



В Сети обнаружены мошеннические сайты, предлагающие устроить ребенка в детский сад и собирающие электронные подписи. Казахстанские мошенники собирают персональные данные жителей города Нур-Султан, пользуясь большими очередями в детские сады. Служба реагирования на компьютерные инциденты Республики Казахстан KZ-CERT предупредила жителей столицы о мошеннических сайтах, предлагающих устроить ребенка в детский сад. Во время мониторинга Сети специалисты KZ-CERT обнаружили в соцсетях и на сайтах объявлений рекламу ресурсов, через которые за определенную сумму якобы можно устроить ребенка в детский сад. На самом же деле ресурсы незаконно собирают персональную информацию, в том числе цифровые подписи. «Это общедоступный сайт, для любого жителя РК, чьи дети стоят в общей очереди в ДДУ (детское дошкольное учреждение). Сайт выполняет вход с помощью электронного ключа ЭЦП (Электронно-цифровая подпись). От вас лишь требуется выбрать подходящий вам сад, и предоставить ключ ЭЦП», - говорится в рекламном объявлении. По словам руководителя отдела стратегии, анализа и цифровых технологий Управления образования города Нур-Султан Жазира Асанова, запись ребенка в очередь, просмотр номера очереди и получение направления в детский сад осуществляется самим родителем бесплатно на портале e.astana.kz, и ключ ЭЦП для этого не требуется. Завладев ЭЦП, злоумышленники могут пользоваться государственными услугами и получать доступ к персональным данным граждан на портале «Электронное правительство».

Жительницу Пыть-Яха обманули на 250 тыс. рублей



Денежные сбережения исчезли с банковской карты после разговора с «сотрудниками банка». 23-летняя жительница обратилась в дежурную часть полиции города Пыть-Яха с заявлением, что она стала жертвой мошенников, сообщает издание «Комсомольская Правда». По словам пострадавшей, ей позвонила неизвестная женщина и, представившись сотрудником Сбербанка, сообщила о совершении подозрительного перевода денежных средств во Владивосток. Мошенница «приостановила» денежную операцию и предупредила девушку о раскрытии ее персональных данных. Также девушка сообщила о наличии карты другого банка, и через некоторое время с ней связался другой «сотрудник». В целях безопасности неизвестный порекомендовал установить специальную программу для сканирования сотового телефона. Установив на своем телефоне приложение «Team Viewer», она предоставила доступ «сотруднику банка» к своему сотовому телефону. Через некоторое время девушка заподозрила неладное и обратилась в отделение банка, где узнала о пропаже 250 тыс. рублей со своей банковской карты. По данному факту возбуждено уголовное дело по статье «Кража».

Фишеры похищают учетные данные пользователей Amazon через PDF-документы



Вместо вредоносных ссылок или поддельных доменов фишеры стали использовать PDF-документы со скриптами JavaScript. Специалисты компании ReversingLabs предупредили о новой фишинговой кампании, в ходе которой злоумышленники используют для выманивания учетных данных пользователей не лендинговые страницы, а PDF-документы. «Одним из векторов атак, который можно легко упустить из виду, является похищение учетных данных через документы с активированными скриптами JavaScript. Метод атаки основывается не на использовании вредоносных ссылок или спуфинге доменов, а на скриптах в документах, обеспечивающих такой же результат», - сообщили исследователи. В ходе обнаруженной специалистами ReversingLabs фишинговой кампании, нацеленной на пользователей в Германии, злоумышленники рассылают поддельные налоговые накладные от Amazon, для просмотра которых пользователю якобы нужно авторизоваться в своей учетной записи Amazon Seller. При открытии вложенного в электронное письмо PDF-документа появляется созданное с помощью JavaScript окно авторизации, запрашивающее электронный адрес и пароль. Неискушенный пользователь может подумать, что так должно быть и это просто новый способ защиты данных, и ввести свой пароль. После того, как информация была введена в поле, она сразу же отправляется мошенникам.

Мошенники используют машинное обучение для похищения данных россиян



С помощью глубокого обучения мошенники создают фишинговые видеоролики с участием звезд шоу-бизнеса. Эксперты компании Group-IB предупредили о новом виде мошенничества с использованием глубокого обучения (deep learning), направленного на похищение персональных данных россиян. По словам специалистов, злоумышленники распространяют в Сети фальшивые видеоролики, в которых звезды российского шоу-бизнеса предлагают принять участие в розыгрыше ценных призов (мобильных устройств, автомобилей, денежных сумм). В частности, можно найти такие видео с участием Егора Крида, Филиппа Киркорова, Михаила Галустяна, Ольги Бузовой и Эвелины Хромченко. Однако все вышеперечисленные лица на самом деле не произносили текст, который слышат пользователи. С помощью технологий глубокого обучения мошенники смогли заменить движения их губ и мимику, заставив «говорить» нужные слова. Мошеннические ролики сопровождаются ссылками, ведущими на фишинговые страницы, где у пользователей запрашивается их банковская информация. Глубокое обучение – совокупность методов машинного обучения (с учителем, с частичным привлечением учителя, без учителя, с подкреплением), основанных на обучении представлениям (feature/representation learning), а не специализированным алгоритмам под конкретные задачи.