Группировка eGobbler за 2 месяца распространила более 1 млрд вредоносных баннеров



Преступники эксплуатируют уязвимости в Chrome для iOS-устройств и в настольных версиях Chrome и Safari. Киберпреступная группировка eGobbler эксплуатирует уязвимости в браузере Google Chrome для iOS, а также в настольных версиях браузеров Chrome и Safari для показа всплывающей рекламы и перенаправления пользователей на вредоносные сайты. По словам специалистов из компании Confiant, в период с 1 августа по 23 сентября нынешнего года преступники распространили вредоносную рекламу около 1,16 млрд раз. Жертвами атак стали пользователи в США и Европе, в основном в Италии. В апреле нынешнего года эксперты зафиксировали масштабную вредоносную кампанию, в рамках которой группировка eGobbler эксплуатировала уязвимость в iOS-версии Chrome. Проблема затрагивала исключительно Chrome для iOS и не распространялась на Safari и другие версии Chrome. Теперь преступники используют новую уязвимость, затрагивающую WebKit — браузерный движок, реализованный в версиях Chrome и Safari. Для эксплуатации используется событие «onkeydown» — функция JavaScript, которая выполняется при каждом нажатии клавиш. EGobbler использует его для отображения всплывающих окон при взаимодействии с сайтом. По словам исследователей, Apple исправила данную проблему с выпуском iOS 13, патч для Chrome пока недоступен. EGobbler обычно действует быстро, а атаки длятся всего несколько дней. В активные периоды группа покупает рекламу на легитимных сервисах и внедряет в нее вредоносный код. Таким образом вредонос может выйти за пределы плавающего фрейма объявления и выполнять действия в пользовательских браузерах, включая показ всплывающих окон с рекламой различных сомнительных продуктов или перенаправление пользователя на вредоносный сайт злоумышленников. Впервые о группировке eGobbler стало известно в феврале нынешнего года, когда жители США столкнулись с масштабной вредоносной рекламной кампанией, ориентированной главным образом на сбор персональной и финансовой информации пользователей. За три дня было зафиксировано 800 млн показов вредоносных рекламных объявлений.

Хакеры атаковали нефтяные компании США с помощью трояна Adwind



Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее п рименялся против компаний электроэнергетического сектора. По словам исследователей из Netskope, атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Остается неясным, является ли участники группировки клиентами Westnet или они скомпрометировали учетные записи клиентов и используют их для распространения Adwind. Adwind RAT предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах. По словам исследователей, в новом варианте Adwind преступники реализовали сложные методы обфускации. Анализ вредоносного ПО показал, что оно использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО. Согласно проведенному анализу, злоумышленники в первую очередь интересуются документами, файлами и другими локально сохраненными данными. Они также заинтересованы в поиске такой информации, как FTP-пароли и SSH-ключи, которые могут дать больший доступ к сети.

Скоро в продаже появится USB-кабель для взлома компьютеров



После подключения кабеля преступник может удаленно запускать команды и получить доступ к файлам жертвы. В скором времени в продаже появится кабель, который выглядит как официальный кабель Lightning от Apple, но на самом деле позволяющий удаленно взламывать компьютеры. Исследователь безопасности Майк Гровер (Mike Grover), разработавший данный инструмент, объявил об успешном начале производства. O.MG Cable представляет собой кабель, который не только заряжает телефоны и передает данные так же, как и кабель Apple, но содержит беспроводную точку доступа, к которой может подключиться злоумышленник. После этого преступник может запускать команды на компьютере и получить доступ к файлам жертвы. «Кабель O.MG является результатом месяцев работы, в результате которой был получен хорошо замаскированный вредоносный USB-кабель. Как только кабель будет подключен, им можно управлять с помощью интерфейса беспроводной сети, встроенного в кабель», — отмечается на сайте компании Hak5, которая занимается массовым выпуском продукта. По словам Гровера, несмотря на очевидную вредоносность O.MG Cable, он создан с благими намерениями. С помощью данного устройства он хочет доказать, что угрозы могут исходить не только от интернета и разных накопителей, но и встречаются даже среди безобидных на первый взгляд кабелей.

Группировка Turla использует новое вредоносное ПО для перехвата TLS-трафика



Киберпреступная группировка Turla (также известна как Venomous Bear или Waterbug) распространяет новое вредоносное ПО, получивший название Reductor, для перехвата зашифрованного TLS-трафика и заражения целевой сети. По словам исследователей из «Лаборатории Касперского», между Reductor и ранее обнаруженным трояном COMPfun есть сходство, указывающее на общего создателя. Как считают эксперты, троян COMPfun, предположительно разработанный Turla, используется в качестве загрузчика. Злоумышленники применяют два разных метода для распространения Reductor. В первом варианте они используют установщики зараженного программного обеспечения с встроенными 32- и 64-разрядными версиями Reductor. Данные установщики могут быть представлены такими популярными программами, как Internet Download Manager, WinRAR, пиратские сайты и пр. Во втором сценарии цели уже заражены трояном COMpfun, который использует атрибут COM CLSID для достижения персистентности на системе. Получив доступ к адресной строке браузера, троян может выполнить команду на загрузку дополнительных модулей с C&C-сервера, в том числе дроппер/расшифровщик Reductor. Вредонос добавляет цифровые сертификаты из своего раздела на целевой хост и предоставляет операторам возможность добавлять дополнительные сертификаты удаленно через именованный канал (named pipe). Авторы вредоноса разрывают TLS-рукопожатие без перехвата интернет-трафика. Вместо этого они анализируют исходный код браузеров Mozilla Firefox и бинарный код Google Chrome для исправления соответствующих функций генерации псевдослучайных чисел (ГПСЧ) в памяти процесса. Браузеры используют ГПСЧ для генерации «случайной клиентской» последовательности для сетевого пакета в самом начале TLS-рукопожатия. Reductor добавляет зашифрованные уникальные аппаратные и программные идентификаторы для жертв в поле «случайный клиент». Для исправления функций системы ГПСЧ разработчики использовали небольшой встроенный дизассемблер длины команд от Intel. «Вредоносное ПО не выполняет MitM-атаку. Однако изначально мы полагали, что установленные сертификаты могут способствовать атакам MitM на TLS-трафик, и поле «случайный клиент» с уникальным идентификатором в рукопожатии будет идентифицировать интересующий трафик. Дальнейший анализ подтвердил наши догадки», — сообщают исследователи. Согласно данным телеметрии, злоумышленники уже имели некоторый контроль над сетевым каналом жертвы, благодаря которому они заменяли вредоносный установщик легитимным. «Все сообщения C&C-сервера обрабатываются в отдельном потоке. Редуктор отправляет HTTP POST-запросы с уникальным идентификатором оборудования цели, зашифрованный с помощью AES 128, скриптам /query.php на C&C-сервере, указанным в его конфигурации», — поясняют исследователи. Вредоносная программа получает команды с C&C-сервера для выполнения различных операций, которые включают скачивание и загрузку файлов, поиск имени хоста, обновление установленного цифрового сертификата, создание нового процесса, удаление пути к файлу, проверку подключения к интернету и пр. Именованный канал (named pipe) — один из методов межпроцессного взаимодействия, расширение понятия конвейера в Unix и подобных ОС. Именованный канал позволяет различным процессам обмениваться данными, даже если программы, выполняющиеся в этих процессах, изначально не были написаны для взаимодействия с другими программами.

Microsoft сообщила о попытке иранских киберпреступников вмешаться в ход предвыборной кампании в США



Преступники предприняли более 2700 попыток определить владельцев учетных записей электронной почты. Предположительно спонсируемая Ираном киберпреступная группировка APT35, (также известная как Phosphorus, Charming Kitten и Ajax Security Team) атаковала 241 почтовый ящик, связанный с предвыборной кампанией в США, текущими и бывшими американскими чиновниками, а также освещающими мировую политику журналистами, сообщила Microsoft, не уточняя, кто именно попал под прицел группировки. Киберпреступники предприняли более 2700 попыток идентифицировать определенных владельцев учетных записей электронной почты, а затем атаковали 241 из них. Атаки осуществлялись в период с августа по сентябрь нынешнего года. Преступники взломали четыре учетные записи, которые не были связаны с президентской кампанией в США или действующими и бывшими должностными лицами правительства страны. Phosphorus использовала собранную о своих жертвах информацию, в том числе телефонные номера, для сброса пароля или доступа к связанным с целевым аккаунтом учетных записей с целью дальнейшего взлома. Атаки не были технически сложными, однако преступники использовали огромный объем личной информации как для идентификации владельцев учетных записей, так и для компрометации. По всей видимости, Phosphorus обладает высоким уровнем мотивации и готова инвестировать значительное время и ресурсы в исследования и другие способы сбора информации.

Киберпреступник взломал форумы «для взрослых» с помощью уязвимости в vBulletin



Похищенные данные преступник выставил на продажу на общедоступном хакерском форуме. Болгарский киберпреступник взломал online-форумы EscortForumIt.xxx (Италия) и Hookers.nl (Нидерланды), посвященные секс-услугам, и похитил персональные данные более 333 тыс. пользователей ресурсов. Похищенную информацию злоумышленник выставил на продажу на одном из общедоступных хакерских форумов. Пострадавшие форумы работали на базе устаревших версий популярного форумного движка vBulletin. Напомним, в конце сентября в Сети была опубликована информация и PoC-код для критической уязвимости в vBulletin (CVE-2019-16759), эксплуатация которой позволяет вводить команды и удаленно выполнять код на системе. Вскоре разработчики форумного движка выпустили обновление, исправляющее опасные уязвимости в ПО. По данным издания ZDNet, похищенные базы данных включают логины, адреса электронной почты и пароли пользователей. Организатором взлома является некто, известный как InstaKilla, — киберпреступник, ранее разместивший в Сети данные болгарского Национального агенства по доходам (Националната агенция за приходите). Отметим, что InstaKilla не осуществлял фактический взлом сайта ведомства, а только опубликовал данные в интернете. Помимо взлома форумов EscortForumIt.xxx и Hookers.nl, злоумышленник также несет ответственность за компрометацию форума Comodo Forums и утечку данных его пользователей. Как сообщает издание, InstaKilla предлагает персональные данные пользователей не только указанных форумов, но также более 10 других, работающих на базе vBulletin (каких именно, ZDNet не уточняет).

Кибератаки на банкоматы почти перестали приносить выгоду преступникам



В последнее время злоумышленники активно стали прибегать к мошенничеству с отменой транзакций. Атаки на банкоматы в европейских странах с использованием вредоносных программ и джекпоттинга (jackpotting) оказались неэффективными в первой половине 2019 года. Киберпреступникам удалось заработать менее 1000 евро за одно успешное ограбление. Согласно отчету Европейской ассоциации безопасных транзакций (European Association for Secure Transactions, EAST), в указанный период банки сообщили в общей сложности о 35 атаках на банкоматы по всей Европе. В 3 атаках применялось вредоносное ПО, в остальных случаях — джекпоттинг. По словам специалистов, потери банков снизились на 100% (с 0,25 млн евро до 0,00 млн евро), и только в одном случае был зафиксирован небольшой ущерб (менее 1000 евро). Но, как и в случае с вредоносным ПО для банкоматов, джекппоттинг применяется все реже. Основная причина заключается в том, что подобные атаки навсегда уничтожают банкоматы, требуют дорогих инструментов и большого количества времени для выполнения. В связи с этим преступники прибегли к методам, которые можно использовать бесчисленное количество раз, например, скимминг или мошенничество с отменой транзакций. В течение многих лет оба типа атак были очень успешными в Европе, нанося ущерб в пределах от 250 до 350 млн евро в год. Но, согласно последнему отчету EAST, в первой половине 2019 года использование скиминговых устройств достигло рекордно низкого уровня и уступило место менее известному методу мошенничества с отменой транзакций. Мошенничество с отменой транзакции, или TRF-атаки (transaction reversal fraud), предполагает использование ошибок в обычном режиме работы банкомата. В рамках TRF-атаки мошенники вводят действительную карту в банкомат, правильный PIN-код и запрашивают снятие наличных. Однако, когда банкомат извлекает платежную карту, преступник оставляет ее в слоте банкомата. Злоумышленники намеренно оставляют карту в банкомате до тех пор, пока он не сочтет, что карта застряла и необходимо отменить предыдущую банковскую транзакцию, фактически повторно добавив деньги на счет мошенника. На данном этапе преступник использует инструмент (например, отвертку) для принудительного открытия заслонки банкомата и получения денежных средств, которые были предварительно подготовлены к выдаче для отмененной транзакции. Подобные атаки стали преобладающей формой мошенничества с банкоматами в Европе. На их долю приходится 5649 случаев в первой половине 2019 года (против 2292 в прошлом году) и 45% от всех случаев мошенничества с банкоматами. По прогнозам EAST, в обозримом будущем данная тенденция сохранится — количество вредоносных программ, джекпоттинга и скиммеров будет снижаться, а TRF-атак, наоборот, возрастет. Джекпоттинг (Jackpotting) — тип атак, подразумевающий использование злоумышленниками внешних электронных устройств, либо же вредоносных программ, с помощью которых им удается получить контроль над аппаратной составляющей банкомата.

Раскрыта операция по распространению бэкдора под видом ПО для трейдинга



Злоумышленники скопировали легитимное ПО QT Bitcoin Trader и распространяют его вредоносную версию под названием JMT Trader. Исследователь безопасности, известный как MalwareHunterTeam, обнаружил новую схему распространения ПО для трейдинга криптовалюты, устанавливающего бэкдор на компьютеры под управлением macOS и Windows. По словам исследователя, злоумышленники создали фиктивную компанию, предлагающую бесплатную трейдинговую платформу под названием JMT Trader. Во время ее установки на компьютер также устанавливается троян. Для того чтобы у жертв не возникало никаких сомнений в легитимности JMT Trader, мошенники создали качественно оформленный сайт и завели соответствующую страницу в Twitter (правда, последняя запись на ней датирована еще июнем нынешнего года). При попытке установить JMT Trader жертва попадает в репозиторий GitHub, откуда можно скачать исполняемые файлы приложения для macOS и Windows, а также исходный код платформы для тех, кто хочет скомпилировать ее под Linux. Исходный код не является вредоносным. С помощью JMT Trader пользователь может создавать различные профили на биржах и вполне легитимно использовать их для трейдинга криптовалюты. Дело в том, что само приложение и его страница на GitHub полностью скопированы с подлинной программы QT Bitcoin Trader, которую злоумышленники приспособили под свои цели. В процессе инсталляции JMT Trader установщик также распаковывает вторичное ПО CrashReporter.exe и сохраняет его в папку %AppData%\JMTTrader. Данный компонент является вредоносным и детектируется только 5 из 69 решений безопасности на VirusTotal. После установки создается запланированная задача JMTCrashReporter для запуска исполняемого файла CrashReporter.exe при каждой авторизации пользователя на компьютере. Когда вредоносный файл запустился, бэкдор подключается к C&C-серверу beastgoc[.]com и получает от него команды. Загружает ли бэкдор дополнительное вредоносное ПО, или просто используется для похищения криптовалютных кошельков и учетных данных для авторизации на биржах, пока неизвестно. Тем не менее, проанализировав вредоносную кампанию, MalwareHunterTeam обнаружил большое сходство с другой вредоносной операцией под названием AppleJeus, за которой предположительно стояла киберпреступная группировка Lazarus.

Преступники из FIN7 загружают вредонос RDFSNIFFER в ПО производителя банкоматов



Вредонос предоставляет операторам возможность осуществлять MitM-атаки. Киберпреступная группировка FIN7 вооружилась новыми инструментами BOOSTWRITE и RDFSNIFFER. Исследователи из команды Mandiant компании FireEye обнаружили несколько образцов нового вредоносного дроппера, названного BOOSTWRITE, способного загружать бэкдор Carbanak и троян для удаленного доступа (RAT) RDFSNIFFER. Полезная нагрузка RDFSNIFFER была разработана для внедрения в работу клиента Aloha Command Center производителя банкоматов и платежных терминалов NCR Corporation. Aloha Command Center представляет набор инструментов удаленного администрирования, предназначенный для управления и исправления проблем на системах обработки платежных карт, на которых запущен Command Center. Вредоносная программа загружается в тот же процесс, что и Command Center, нарушая порядок загрузки DLL-библиотеки легитимной утилиты Aloha. Недавно обнаруженный RAT попадает на скомпрометированные системы после того, как загрузчик BOOSTWRITE расшифровывает встроенную полезную нагрузку, используя при запуске ключи шифрования от операторов. BOOSTWRITE использует технику перехвата поиска DLL (DLL Search Order Hijacking) для загрузки собственных вредоносных DLL-библиотек в память зараженной системы, а затем загружает вектор инициализации и ключ, необходимый для дешифрования встроенных полезных нагрузок. Один из образцов BOOSTWRITE был подписан цифровым сертификатом, выданным компанией MANGO ENTERPRISE LIMITED. «Используя доверие, предоставляемое цифровыми сертификатами, FIN7 увеличивает свои шансы обойти различные меры безопасности и успешно скомпрометировать системы жертв», — отмечают исследователи. Вредонос RDFSNIFFER позволяет преступникам «перехватывать установки Aloha Command Center и взаимодействовать с целевыми системами посредством существующих легитимных процессов двухфакторной авторизации». RDFSNIFFER загружается в процесс RDFClient каждый раз, когда на скомпрометированных компьютерах запускается легитимное программное обеспечение. Вредонос может отслеживать или изменять соединения, созданные с помощью RDFClient, предоставляя операторам возможность осуществлять MitM-атаки (Man-In-The-Middle), а также содержит бэкдор, позволяющий злоумышленнику загружать, скачивать, выполнять и удалять произвольные файлы. Несмотря на то, что один из лидеров FIN7 признал себя виновным в мошенничестве, киберпреступная группировка все еще активна и продолжает пополнять свой арсенал новым предоносным ПО.

К производству китайского самолета C919 были привлечены киберпреступники



В рамках вредоносной кампании были атакованы иностранные фирмы, поставляющие компоненты для самолета C919.

Исследователи из компании Crowdstrike рассказали об одной из крупных киберпреступных операций, в которую были вовлечены сотрудники Министерства государственной безопасности Китая, хакеры и исследователи безопасности, а также сотрудники компаний по всему миру. Целью данной операции было заполучить интеллектуальную собственность для сокращения технологического разрыва Китая в авиационной промышленности, и помочь китайскому государственному авиационно-космическому производителю Comac построить собственный авиалайнер — самолет C919 для конкуренции с такими компаниями, как Airbus и Boeing. Скоординированная многолетняя вредоносная кампания систематически атаковала иностранные компании, поставляющие компоненты для самолета C919. Как утверждают исследователи, конечная цель заключалась в заполучении интеллектуальной собственности, необходимой для производства всех компонентов C919 внутри Китая.



По словам исследователей, Министерство государственной безопасности КНР поручило Бюро Цзянсу осуществить данные атаки, а оно, в свою очередь, поручило двум ведущим сотрудникам координировать процесс. Один отвечал за киберпреступную команду, в то время как другой нанимал инсайдеров, работающих в авиационных и аэрокосмических компаниях.В период с 2010 по 2015 год злоумышленники атаковали разные компании и взломали системы таких поставщиков для C919, как Ametek, Honeywell, Safran, Capstone Turbine, GE и пр. Согласно обвинительному заключению Министерства юстиции США, ответственными за совершение атак были киберпреступники, которых вербовало Бюро Цзянсу. Им было поручено взломать целевые сети, где они обычно развертывали вредоносные программы, такие как Sakula, PlugX и Winnti, и использовать их для поиска конфиденциальной информации и ее передачи на удаленные серверы. В тех редких случаях, когда преступники не могли взломать сеть, второй сотрудник Бюро Цзянсу нанимал гражданина Китая, работающего на целевую компанию, и использовал его для установки Sakula в сети жертвы, обычно через USB-носители. Киберпреступная группировка, получившая название Turbine Panda, совершила ошибку, когда атаковала таких крупных поставщиков, как Anthem и Управление кадровой службы США. Атаки привлекли внимание правительства США, позволив обнаружить вредоносную кампанию. Первыми были рассекречены инсайдеры, поскольку они не имели защиты от правительства Китая. Далее был обнаружен создатель вредоносного ПО Sakula по имени Ю, который вскоре был арестован во время участия в конференции по безопасности в Лос-Анджелесе. Исследователи предполагают, что атаки на иностранные авиационные фирмы будут продолжаться в будущем, поскольку самолет Comac C919 не является тем результатом, которого ожидало китайское правительство. В настоящее время предпринимаются усилия по созданию модели C929.

Хакерам из группировки Cobalt ужесточили приговор



Верховный суд Якутии ужесточил наказание братьям Дмитрию и Ивану Булаховым, признанным виновными в хищении более 21 млн рублей через банкоматы в Якутске. Условный приговор суда первой инстанции заменили реальными сроками заключения в колонии общего режима, сообщается в четверг на сайте суда. В зале Верховного суда РС(Я) взяты под стражу братья Булаховы, которые в июле 2017 года с помощью компьютерных программ похитили 21 749 000 рублей из банкоматов, расположенных на территории Якутска. Ранее городской суд назначил им наказание в виде 7 лет лишения свободы условно со штрафом 500 тысяч рублей и 8 лет лишения свободы условно со штрафом 800 тысяч рублей. В итоге ВС сократил сроки до 5 и 6,5 лет соответственно, однако заменил условное наказание на исправительную колонию общего режима. Суд установил, что в марте 2016 года неизвестный предложил одному из братьев присоединиться к деятельности преступной группы, которая планировала похищать средства через банкоматы. Как сообщала пресс-служба МВД РФ, в июле 2017 года обвиняемые с неустановленными соучастниками, распространив в интернете вредоносное программное обеспечение, получили доступ к компьютерам коммерческого банка, расположенного в Якутске, а также возможность дистанционно управлять его банкоматами. После этого они похитили более 21,5 млн рублей, которые перевели в криптовалюту и вывели из России. В отношении злоумышленников было возбуждено уголовное дело по статьям 272 ("Неправомерный доступ к компьютерной информации"), 273 ("Создание и использование вредоносных компьютерных программ") и 159.6 ("Мошенничество в сфере компьютерной информации") УК РФ. Якутский городской суд ранее удовлетворил гражданский иск Алмазэргиэнбанка, банкоматы которого подверглись атаке преступников. Представитель банка заявлял в суде, что подсудимые добровольно возместили ущерб в размере 14 млн рублей и просил взыскать с них в пользу банка 7,7 млн рублей материального ущерба. Международная преступная группировка хакеров Cobalt активно действует с 2016 года. Атакам хакеров подвергались кредитные организации стран СНГ, Восточной и Западной Европы, Юго-Восточной Азии, Северной и Южной Америки. Название преступники взяли из проекта Cobalt Strike, созданного для определения уязвимостей системы.

Обзор инцидентов безопасности за период с 21 по 27 октября 2019 года



На прошедшей неделе одним из наиболее обсуждаемых в Рунете событий стало известие об отключении серверов стриминогового плеера Moonwalk, которым пользовались примерно 80% пиратских сайтов в России. Отключение серверов стало результатом усилий Нидерладского фонда защиты авторских прав (BREIN), Американской ассоциации кинокомпаний (MPAA) и Альянса креативности и развлечений (ACE), направленных на борьбу с пиратством. Спецслужбы Чехии заявили о разоблачении деятельности группы хакеров, которая была создана ФСБ и получала финансирование от российского посольства в Праге. По словам представителя Службы безопасности и информации Чехии, российские хакеры планировали атаковать цели в Чехии и других европейских странах. Предполагалось, что группа будет работать «под прикрытием двух частных компаний в Праге», используя их компьютерное оборудование и программное обеспечение. В минувший понедельник чешская компания Avast сообщила о взломе своей внутренней сети через скомпрометированный VPN-профиль одного из ее сотрудников. Как считают в компании, цель злоумышленников заключалась в заражении вредоносным ПО утилиты CСleaner. Хотя атака была выявлена еще 23 сентября нынешнего года, Avast намеренно оставила скомпрометированный VPN-профиль активным, чтобы отслеживать злоумышленника и наблюдать за его действиями. Наблюдение продолжалось до 15 октября, когда компания завершила аудит предыдущих выпусков CCleaner и выпустила новое обновление. Вслед за Avast компания NordVPN также призналась в том, что неизвестным злоумышленникам удалось скомпрометировать ее серверы в марте 2018 года. Скомпрометирован был сервер с системой удаленного управления, оставленной арендодателем ЦОДа. Как заверили в компании, хакеры не могли манипулировать персональными данными пользователей, однако эксперты поставили под сомнение данное утверждение. В Сети объявилась некая киберпреступная группировка, выдающая себя за небезызвестную APT-группу Fancy Bear, подозреваемую во взломе серверов Демократической партии США в 2016 году. «Имитаторы» промышляют тем, что совершают DDoS-атаки на компании финансовой сферы и требуют выкуп. Сумма, требуемая вымогателями, составляет 2 биткойна (около $15 тыс.). Если жертва не уплатит выкуп в течение недели, киберпреступники угрожают превратить демо-атаки в реальные. Для демо-атак киберпреступники используют совокупность протоколов DNS, NTP, CLDAP, ARMS и WS-Discovery. Специалисты обнаружили фишинговую кампанию, направленную на гуманитарные организации ООН. В числе целевых объектов оказались детский фонд UNICEF, Всемирная продовольственная программа, Программа развития ООН и пр. Атаки осуществляются при помощи фишинговых сайтов, имитирующих официальные ресурсы организаций ООН. Злоумышленников интересуют не отдельные сотрудники, а вся организация в целом. Завладев учетными данными одних сотрудников, киберпреступники изучают их электронные ящики в поисках других сотрудников и пытаются скомпрометировать их учетные записи.

ЦБ РФ может обязать банки пользоваться услугами «белых хакеров»



Регулятор совместно с ФСБ и ФСТЭК разрабатывает стандарты оценки качества работы IT-аудиторов. Центробанк России совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) работает над стандартами оценки качества работы компаний, проверяющих надежность банковской инфраструктуры. Об этом «Известиям» сообщил заместитель главы департамента информационной безопасности ЦБ РФ Артем Сычев. По словам Сычева, аудит защищенности платежной инфраструктуры, проводимый независимыми компаниями по заказу кредитных организаций, чаще всего оставляет желать лучшего. В связи с этим для обеспечения безопасности средств граждан и корпораций компетентные органы решили разработать стандарты и механизмы контроля качества IT-аудиторов. Замглавы отказался предоставить подробности, однако близкий к Центробанку источник сообщил, что аудиторов могут обязать пользоваться услугами «белых хакеров» для проведения тестов на проникновение и имитации кибератак. Факт обсуждения такого норматива также подтвердил источник на финансовом рынке. Напомним, в апреле нынешнего года ЦБ РФ обязал банки проводить независимую оценку защищенности своих систем. Кредитные организации должны ежегодно тестировать свою платежную инфраструктуру (мобильные приложения, беспроводные сети и пр.) на проникновение с привлечением внешних независимых экспертов. Тем не менее, в настоящее время нормативная база для таких проверок отсутствует, поэтому, нанимая аудиторов, каждый банк руководствуется собственными критериями качества.

APT-группа Fancy Bear начала подготовку к Олимпиаде в Токио



В прошлом месяце группировка начала волну атак на спортивные и антидопинговые организации. Перед летней Олимпиадой-2020 в Токио APT-группа Fancy Bear (она же APT28) снова взялась атаковать антидопинговые агентства и спортивные организации по всему миру. Как сообщают специалисты Microsoft, вредоносная кампания началась 16 сентября и была нацелена как минимум на 16 национальных и международных спортивных и антидопинговых организаций на трех континентах. Хотя некоторые атаки и увенчались успехом, большинство оказались провальными. В ходе новой кампании Fancy Bear использует свои стандартные техники. К таковым в частности относятся: целенаправленный фишинг, так называемое «распыление» паролей или password spraying (попытка взлома учетной записи, когда к одному распространенному паролю привязывается множество имен пользователей), эксплуатация уязвимостей в подключенном к интернету оборудовании, а также использование вредоносного ПО с открытым исходным кодом наряду с кастомными программами. Microsoft уведомила об атаках всех затронутых клиентов и сотрудничает с теми, кто желает защитить скомпрометированные учетные записи и системы. Названия атакованных организаций компания не раскрывает. Fancy Bear не впервые интересуется спортивными организациями в канун проведения Олимпийских игр. Напомним, в январе 2018 года перед зимней Олимпиадой в Пхенчхане группировка опубликовала переписку нескольких членов Олимпийского комитета, а исследователи безопасности выявили поддельные домены WADA, Антидопингового агентства США (USADA) и Олимпийского совета Азии (OCASIA).

Мошенническая «техподдержка» использует новую ошибку блокировки в Firefox



Злоумышленники блокируют браузер жертвы и отображают уведомление о необходимости обратиться в техподдержку. Выдающие себя за техподдержку мошенники активно эксплуатируют ошибку в браузере Firefox с целью вынудить жертв обратиться к ним за «помощью». Речь идет об ошибке в работе браузера, обнаруженной три месяца назад и затрагивающей стабильные сборки Firefox 70.x, бета-версии 71.x и ночные версии 72.x. С ее помощью злоумышленники могут блокировать браузер жертвы и отображать поддельное уведомление о необходимости скорейшего обращения в техподдержку, иначе через 5 минут система будет отключена. Закрыть вкладку с уведомлением жертва не может. Для блокировки браузера злоумышленники отправляют большое количество запросов на подтверждение авторизации, поскольку ограничений на их количество нет никаких. Жертва может вернуть себе контроль над браузером, завершив связанный с Firefox процесс в «Диспетчере задач» Windows. Как сообщает исследователь безопасности Жером Сегура (Jérôme Segura), мошенники, использующие данный баг, стараются запугать пользователей. Текст отображаемого ими уведомления гласит: «Не игнорируйте это важное предупреждение. Остановитесь и не выключайте ваш ПК. Ключ реестра вашего компьютера заблокирован. Почему мы заблокировали ваш компьютер? Ключ реестра Windows незаконный. Этот Windows-компьютер использует пиратское ПО. Этот Windows-ПК рассылает вирусы по интернету. Этот Windows-ПК взломан. Мы заблокировали компьютер ради вашей безопасности. Пожалуйста, позвоните нам в течение 5 минут, иначе ваш компьютер будет отключен». В настоящее время Mozilla работает над исправлением ошибки.

Китайский рынок DDoS-услуг лишился крупнейшего ботнета



Полиция арестовала операторов крупнейшего китайского ботнета. Сотрудники китайских правоохранительных органов пресекли деятельность и арестовали участников киберпреступной группировки, управляющей DDoS-ботнетом из 200 тыс. инфицированных сайтов. Операция является первым серьезным шагом властей Китая в борьбе с впечатляющим местным рынком DDoS-услуг, пишет ZDNet. После публикации в 2016 году исходного кода IoT-ботнета Mirai, китайские киберпреступники стали активно создавать на его основе новые ботнеты и сдавать их в аренду за деньги. В 2017 году специалисты Cisco Talos зафиксировали резкий всплеск числа китайских сервисов, предлагающих услуги по осуществлению DDoS-атак. Исследователи обвиняли правоохранительные органы КНР в бездействии и нежелании предпринимать какие-либо меры по борьбе со стремительно растущим рынком DDoS-сервисов. В настоящее время китайские DDoS’еры существенно расширили свои горизонты и помимо IoT-устройств и Mirai стали использовать другие ресурсы. К примеру, для создания ботнетов они начали эксплуатировать уязвимости в web-серверах и PHP-фреймворке . В конце концов число ботнетов увеличилось настолько, что власти больше не могли игнорировать их, и полиции пришлось действовать. Операция по закрытию крупнейшего в Китае ботнета началась еще в августе 2018 года. Как сообщали местные СМИ, полиции провинции Цзянсу стало известно об огромном количестве взломанных серверов, принадлежащих компании Xuzhou Telecom. Серверы были заражены бэкдорами, предоставляющими киберпреступниками контроль над ними. В ходе дальнейшего расследования была выявлена преступная операция по внедрению вредоносного ПО на сайты через уязвимости. Скомпрометированными оказались 200 тыс. сайтов, в том числе правительственные порталы. На этой неделе, спустя более года с начала расследования, сотрудники полиции в 20 городах КНР арестовали 41 подозреваемого, в том числе двух операторов ботнета, и конфисковали у них 10 млн юаней (порядка $1,4 млн). Управляемый киберпреступниками ботнет использовался в основном для осуществления DDoS-атак (пиковая мощность достигала 200 Гбит/с), однако иногда он также использовался для внедрения на взломанные сайты спама, рекламы и майнеров криптовалюты.

APT-группа Platinum обзавелась «невидимым» бэкдором



В арсенале APT-группы Platinum появился новый троян с функциями бэкдора под названием Titanium, позволяющий киберпреступникам проникать в атакуемые системы и получать над ними полный контроль. Отличительной чертой Titanium является его способность прятаться на самом видном месте. В частности, троян маскируется под решения безопасности, аудиодрайверы или ПО для записи DVD. Группировка Platinum (TwoForOne по версии «Лаборатории Касперского») активна с 2009 года, а ее целями являются правительственные организации, оборонные предприятия, спецслужбы, дипломатические миссии и телекоммуникационные компании в странах Южной и Юго-Восточной Азии. Как с ообщает «Лаборатория Касперского», в рамках новой вредоносной кампании группировка использует длинную цепочку заражений, включающую в себя несколько этапов загрузок и установок, и финальным этапом является инфицирование атакуемой системы бэкдором Titanium. Данный бэкдор загружается в память и запускается с помощью загрузчика полезной нагрузки, использующего технику обфускации через вызовы API Windows. Для установки связи с C&C-сервером Titanium отправляет зашифрованные с помощью base64 запросы, содержащие SystemID, имя компьютера и серийный номер жесткого диска. Команды от сервера «прячутся» в PNG-файлах с использованием стеганографии. Среди прочих, вредонос получает команды читать и отправлять на C&C-сервер любые файлы файловой системы, удалять, загружать и запускать файлы файловой системы, запускать командную строку и отправлять результаты выполнения на C&C-сервер, обновлять параметры конфигурации (за исключение ключа шифрования AES) и включать интерактивный режим. Это режим позволяет атакующему получать входные данные от консольных программ и отправлять выходные данные на C&C-сервер. Антивирусные решения не детектируют никаких вредоносных файлов в файловой системе из-за использования шифрования и бесфайловых технологий.

Приложения Facebook, Instagram и WeChat не обновляются в Google Play Store



Злоумышленники могут получать данные о местоположении из Instagram, изменять сообщения в Facebook и читать сообщения в WeChat. Даже после выпуска обновлений популярные приложения остаются неисправленными в интернет-каталоге Google Play Store, выяснили специалисты компании Check Point в рамках проведенного исследования. В частности, говорят они, злоумышленники могут получать данные о местоположении из Instagram, изменять сообщения в Facebook и читать сообщения в WeChat. Считается, что, если пользователь регулярно обновляет используемые программы до свежих релизов, он защищен от хакерских атак, однако, как показала практика, это не так. Эксперты в течение месяца сканировали последние версии ряда наиболее популярных мобильных приложений на наличие ранее известных уязвимостей и выяснили, что «патчи в высококлассных приложениях — Facebook, Instagram, WeChat — фактически не были исправлены в Google Play Store». В частности, приложения были исследованы на предмет трех критических уязвимостей, обнаруженных в 2014, 2015 и 2016 годах. Речь идет о проблемах CVE-2014-8962 (уязвимость переполнения буфера в версиях libFLAC ниже 1.3.1), CVE-2015-8271 (уязвимость удаленного выполнения кода в RTMPDump 2.4) и CVE-2016-3062 (затрагивает версии Libav до 11.7 и FFmpeg младше 0.11, может использоваться для DoS-атак или удаленного выполнения кода). Согласно полученным результатам, уязвимость в аудиокодеке FLAC и библиотеки, использующие уязвимый код, были обнаружены в ряде приложений, в том числе LiveXLive и Moto Voice BETA, вторая уязвимость была выявлена в приложениях Facebook, Facebook Messenger, ShareIt и WeChat, а третья затрагивала приложения AliExpress, Video MP3 Converter и Lazada (с полным списком уязвимых приложений можно ознакомиться в блоге Check Point). «Исследование доказывает, что злоумышленники все еще могут выполнять вредоносный код в последних версиях мобильных приложений в Google Play Store, несмотря на обновления, выпускаемые приложениями [...] Теоретически, хакеры могут перехватывать и изменять сообщения в Facebook, выгружать данные о местоположении из Instagram и читать SMS-сообщения в WeChat», - поясняют специалисты. По их словам, популярные мобильные приложения обычно задействуют десятки повторно используемых компонентов, написанных на низкоуровневом языке, таком как C. Данные компоненты нередко создаются на основе проектов с открытым исходным кодом или включают фрагменты такого кода и, когда уязвимость устраняется в открытом проекте, его сопровождающие, как правило, не контролируют библиотеки и приложения, в которых этот код используется. Таким образом, приложение может продолжать использовать устаревшую версию кода даже спустя годы после обнаружения уязвимости, отметили специалисты.

Группировки ProCC и RevengeHotels атакуют отели по всему миру



Специалисты из «Лаборатории Касперского» обнаружили две киберпреступные группировки, нацеленные на сферу отельного бизнеса. Первая группировка получила название RevengeHotels, а вторая — ProCC. Злоумышленники в ходе атак используют разные методы социальной инженерии, выдавая себя за представителей государственных организаций или частных компаний, желающих забронировать номера для большого количества людей. Операторы вредоносной кампании также используют динамические DNS-службы и продают учетные данные уязвимых систем жертв, предоставляя другим киберпреступникам удаленный доступ к зараженным сетям. RevengeHotels развернула целенаправленную кампанию против отелей, хостелов, гостиничных и туристических компаний, расположенных в Бразилии (преимущественно) и других странах. Эксперты выявили более 20 подвергнувшихся атакам отелей в Бразилии, а также в других странах, в частности в Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции. Целью злоумышленников являлась кража данных кредитных карт посетителей и путешественников, хранящихся в компьютерных системах гостиниц и популярных туристических online-агентств (Booking.com и пр.). Основным вектором атаки являлась фишинговые письма с прикрепленными вредоносными документами в формате Microsoft Word, Excel или PDF. Злоумышленники эксплуатировали уязвимость удаленного выполнения кода (CVE-2017-0199) в MS Office для установки троянов RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT на компьютер жертвы.

Мошенники собирают персональные данные на сайтах с акцией «Черная пятница»



Роскомнадзор предупредил пользователей о появлении в интернете целевых страниц сайтов злоумышленников, которые под видом маркетинговых распродаж в рамках акции «Черная пятница» незаконно собирают персональные данные. Преступники собирают персональную информацию, в том числе ФИО, номер телефона, адрес почты и банковские реквизиты, с целью последующего ее использования для рассылки спама или кражи данных банковских карт. Специалисты рекомендуют пользователям проверять оригинальность домена интернет-магазина, поскольку мошенники регистрируют похожие на настоящий сайт домены с целью ввести покупателя в заблуждение, а также используют логотипы известных брендов, участвующих в акции. Пользователям также необходимо проверять web-страницы на наличие SSL-сертификата. Страницы с вводом персональных данных используют SSL-шифрование «https://», поэтому если сайт крупной компании начинается на «http://», то есть повод усомниться в его оригинальности.

Европол задержал 79 человек по подозрению в online-мошенничестве



В 200 аэропортах мира прошла двенадцатая международная многопрофильная операция Global Airline Action Days. Европол совместно с правоохранительными органами ряда стран задержал 79 человек, подозреваемых в мошенничестве с авиабилетами. Как сообщает пресс-служба Европола, 18-22 ноября нынешнего года в более чем 200 аэропортах мира прошла двенадцатая международная многопрофильная операция Global Airline Action Days (GAAD). Целью GAAD является борьба с незаконной покупкой авиабилетов через интернет с использованием скомпрометированных данных банковских карт. В ходе операции было выявлено 165 подозрительных транзакций и задержано 79 человек, подозреваемых в покупке авиабилетов с использованием похищенных, скомпрометированных или поддельных данных банковских карт. Ряд случаев был связан с незаконной иммиграцией – у некоторых задержанных были обнаружены поддельные или чужие удостоверения личности. «Мошенничество с авиабилетами по своей сути не имеет границ. Эта операция стала кульминацией многих месяцев тщательного планирования, в котором приняли участие Европол, правоохранительные органы, судебные и пограничные органы, авиалинии и кредитные компании, и является прекрасным примером того, как совместными усилиями можно внести заметный вклад в борьбу с действующими через границы преступными синдикатами», - отметил заместитель исполнительного директора по операциям Европола Уил ван Гемерт (Wil van Gemert). Как сообщает Европол, мошенническая схема, предполагающая оплату товаров с помощью скомпрометированных данных банковских карт, приобретает большую популярность в странах Европы. Помимо авиабилетов, мошенники используют похищенные данные для аренды автомобилей и оплаты проживания в отелях. Авиакомпании являются одними из наиболее частых жертв подобного мошенничества – убытки достигают $1 млрд в год.

Мошенники совершенствуют методы хищения денежных средств



Мошенники нацелились на пожилых людей и женщин, пытающихся снять деньги из банкомата за пределами банков. Преступники начали использовать новый способ обмана клиентов банков. Как сообщают «Известия», мошенники нацелились на пожилых людей и женщин, пытающихся снять деньги из банкомата за пределами банков. Схема заключается в следующем: в очереди к банкомату неизвестный, который стоит перед жертвой, якобы забывает свою карту в картоприемнике. Ничего не подозревающий человек с большой вероятностью решает извлечь ее, поскольку ему необходимо воспользоваться банкоматом. Сразу после данных действий к жертве подходит тот самый человек, забывший карту, и забирает ее. Затем он внезапно решает проверить баланс на карте и сообщает о потере нескольких тысяч рублей (5, 10 или 15 тыс.). Сообщник мошенника появляется рядом и в качестве свидетеля подтверждает версию «потерпевшего». Далее «пострадавший» начинает угрожать вызовом полиции, указывая на оставшиеся на карте отпечатки пальцев. Таким образом организованная группа мошенников при помощи угроз и психологического давления вынуждает человека вернуть якобы похищенные денежные средства. Как отмечает издание, подобные ситуации никогда не случаются в офисах банков или в людных местах, где рядом может находиться полиция. Мошенники определяют жертву по ее внешнему виду и выбирают в основном «пожилых одиноких» людей.

Вымогатели LockerGoga, MegaCortex и Ryuk заразили около 1800 предприятий по всему миру



Злоумышленники атакуют крупные организации с доходами в миллионы или миллиарды долларов. Центр национальной компьютерной безопасности (NCSC) в Нидерландах предупредил об атаках трех семейств вымогателей, заразивших по меньшей мере 1800 компаний по всему миру. NCSC не указал названия пострадавших компаний, но сообщил, что злоумышленники атакуют крупные организации с доходами в миллионы или миллиарды долларов. Жертвами атак стали представители различных секторов, в том числе автомобильной промышленности, строительной сферы, химической промышленности, здравоохранения, питания и развлечений. Как сообщается, от атак пострадал по крайней мере один поставщик критически важной инфраструктуры в Нидерландах, связанной с поставками питьевой воды, доступом в интернет и энергией. Как считают в NCSC, злоумышленники эксплуатировали уязвимости нулевого дня в программном обеспечении. В ходе вредоносных кампаний использовалось вымогательское ПО LockerGoga, MegaCortex и Ryuk, замеченные в недавних атаках на бизнес-компании. В частности, в мае нынешнего года вымогательское ПО MegaCortex использовалось в атаках на корпоративные сети компаний. Вредонос LockerGoga вызвал настоящую панику среди промышленных предприятий в марте. Его жертвой стал один из мировых лидеров по производству алюминия Norsk Hydro, потерявший в результате атаки порядка $40 млн. Что касается Ryuk, то его недавней жертвой стала испанская ИБ-компания Prosegur. В результате атаки вся сеть Prosegur была отключена, а сотрудников отпустили домой.

Злоумышленники научились похищать переписки в Telegram



Пользователи Telegram, включившие единственный фактор аутентификации с помощью SMS-кодов, рискуют стать жертвами киберпреступников. Специалисты компании Group-IB сообщили о взломах ряда учетных записей пользователей Telegram, где единственным фактором аутентификации были SMS-сообщения. По словам специалистов, жертвами взломов стали владельцы как iOS-, так и Android-устройств, являющиеся абонентами разных операторов связи. Эксперты Group-IB выявили инциденты, когда к ним обратилось несколько российских предпринимателей с жалобами на то, что посторонние получили доступ к их перепискам в Telegram. В начале атаки жертва получала в Telegram сообщение от сервисного канала мессенджера с кодом подтверждения, который она не запрашивала. Далее приходило SMS-сообщения с кодом активации, и практически сразу же в учетную запись осуществлялся вход с нового устройства. «Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре», - сообщили специалисты. В ходе экспертизы мобильных устройств, предоставленных Group-IB жертвами взломов, никаких вредоносных или шпионских программ выявлено не было. Специалисты также не обнаружили признаков компрометации учетных записей или подмены SIM-карт. Во всех случаях киберпреступники получали доступ к мессенджеру с помощью SMS-кодов, получаемых при авторизации в учетной записи на новом устройстве. Как происходит атака? При активации мессенджера на новом устройстве, Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) – соответствующую «смску» на телефон. Атакующий инициирует запрос на отправку мессенджером SMS-кода, который затем перехватывает и использует для авторизации в учетной записи жертвы. Таким образом он может получить доступ ко всем текущим чатам (за исключением секретных), истории переписки, в том числе к файлам и фотографиям. Какой именно способ использовали злоумышленники для обхода фактора SMS, специалисты пока не установили. Не исключено, что они проэксплуатировали уязвимости в протоколах SS7 (ОКС-7) или Diameter, используемых в мобильных сетях. Расследование инцидентов продолжается.

Необычная MiTM-атака позволила мошенникам похитить $1 млн



Необычайно терпеливые и скрупулезные мошенники выдавали себя за сотрудников израильского стартапа. Кибермошенники похитили у китайской венчурной компании $1 млн с помощью мошенничества с электронными письмами. Как сообщают специалисты компании Check Point Technologies, злоумышленники выдавали себя за сотрудников реально существующего израильского стартапа, желающего привлечь в качестве инвесторов китайских венчурных капиталистов. С электронного адреса, очень похожего на адрес настоящего стартапа, мошенники вели переговоры с менеджером по работе с клиентами китайской инвестиционной компании. Только тогда, когда $1 млн был переведен злоумышленникам и настоящий стартап обнаружил, что деньги он не получил, инвестиционная компания осознала произошедшее. Специалисты не сообщают название пострадавших организаций, лишь отмечают, что инцидент имел место в начале нынешнего года. В отличие от классической BEC-атаки, когда злоумышленники получают доступ к электронной почте высшего руководства компании и, прежде чем похитить средства, осуществляют мониторинг входящих и исходящих писем, в этом случае мошенники зарегистрировали два поддельных домена. Один домен якобы принадлежал стартапу, а второй – венчурной компании. Единственное отличие от настоящих организаций – дополнительная буква «s» в названии каждой из них. Каждое письмо от обеих сторон переговоров на самом деле отправлялось не настоящей организации, а на поддельный домен. Злоумышленники читали письма, решали, нужно ли их отредактировать, а затем отправляли соответствующему адресату. Таким образом они осуществляли атаку «человек посередине» без необходимости взламывать электронную почту ни одной из сторон переговоров. Всего было отправлено 18 писем китайской компании и 14 – израильскому стартапу. «Терпение, внимание к деталям и тщательное зондирование сделали эту атаку успешной», – отметили в Check Point.

GALLIUM атаковала крупные телекоммуникационные компании по всему миру



Злоумышленники эксплуатируют уязвимости в сервере приложений с открытым исходным кодом WildFly. Команда исследователей из Microsoft Threat Intelligence Center (MSTIC) предупредила о продолжающихся атаках киберпреступной группировки GALLIUM, направленных на телекоммуникационных провайдеров в Юго-Восточной Азии, Европе и Африке. Злоумышленники эксплуатируют уязвимости в сервере приложений с открытым исходным кодом WildFly (ранее JBoss Application Server). Проникнув в сеть компании, преступники начинают собирать учетные данные с использованием распространенных инструментов и TTP (тактик, методов и процедур). Они используют скомпрометированные учетные данные и утилиту PsExec для перемещения в сети и выполнения процессов на других системах. «Операторы полагаются на дешевую и легко заменяемую инфраструктуру, которая состоит из DNS-доменов и повторно используемых точек перехода», — пояснили исследователи. В числе инструментов GALLIUM, выявленных экспертами во время прошлых кампаний, есть HTRAN (перенаправление пакетов), Mimikatz и Windows Credential Editor (восстановление токенов авторизации), NBTScan (для обнаружения DNS-серверов NETBIOS в локальной или удаленной сети), Netcat (чтение и запись с использованием TCP- или UDP-протоколов), PsExec (удаленное выполнение команд на системе), а также WinRAR. С помощью web-оболочек преступники обеспечивают персистентность на целевой системе и загружают полезную нагрузку. В дополнение к бэкдору China Chopper, группировка использует созданный на его основе web-шелл BlackMould для различных целей и задач, включая поиск локальных дисков, выполнение основных файловых операций, настройку атрибутов файла, эксфильтрацию и удаление файлов, а также выполнение вредоносных команд на скомпрометированных устройствах. В рамках второго этапа группировка загружает модифицированные версии вредоносов Gh0st RAT и Poison Ivy, разработанные для предотвращения обнаружения. Как отметили специалисты, вместо разработки собственных вредоносных программ, GALLIUM изменяла чужие инструменты для повышения эффективности атак.

Violin Panda последние два года «тихо» атаковала компании по всему миру



Преступники скрывали свои следы, регулярно удаляя инструменты для кражи данных с зараженных компьютеров. Киберпреступная группировка APT20 (также известная как Violin Panda и th3bug) предположительно спонсируемая правительством Китая, в течение последних двух лет без лишнего шума атаковала компании и правительственные учреждения, похищая пароли и обходя двухфакторную аутентификацию для сбора данных По словам специалистов из ИБ-фирмы Fox-IT, атаки группировки затронули компании в 10 странах, включая США, Великобританию, Францию, Германию и Италию. Киберпреступники провели глобальную шпионскую кампанию, которую специалисты назвали «Operation Wocao», нацеленную на такие отрасли, как авиация, строительство, финансовая сфера, здравоохранение, страхование, азартные игры и энергетика. Как полагают эксперты, киберпреступники принадлежат к группировке APT20, которая в период с 2009 по 2014 год организовала кампании, нацеленные на университеты, а также военные, медицинские и телекоммуникационные компании. Группировка несколько лет оставалась в тени, но сейчас возобновила свою деятельность. Преступники обычно получают доступ к системам организации, эксплуатируя уязвимость в web-серверах, которыми управляет компания или государственное учреждение. Затем они продвигаются дальше по сети в поисках системных администраторов с привилегированным доступом к наиболее важным частям компьютерной системы. APT20 загружала кейлоггеры на компьютерные системы администраторов для записи нажатий клавиш и хищения паролей. По словам специалистов, группа также смогла как минимум в одном случае обойти систему двухфакторной аутентификации RSA SecurID, скопировав ее коды. Преступники эффективно скрывают свои следы, регулярно удаляя инструменты для кражи данных с зараженных компьютеров. В ходе кампании они использовали такие инструменты, как web-шеллы для загрузки файлов и выполнения команд, скрипт для сканирования системы на предмет необходимой преступнику информации, кастомный бэкдор XServer, CheckAdmin для определения авторизованных администраторов и пр.

Кто-то удаляет вредоносное ПО Phorpiex с зараженных компьютеров



Неизвестный предположительно взломал ботнет Phorpiex и саботирует его операторов. Неизвестные лица (или лицо) удаляют вредоносное ПО Phorpiex (Trik) с зараженных систем. На системах пользователей также появляется окно с рекомендацией установить антивирусное ПО и обновить компьютер. Первоначально многие пользователи подумали, что это была шутка, закодированная внутри вредоносной программы командой Phorpiex с целью троллинга ИБ-экспертов. Однако вскоре оказалось, что вредоносное ПО в самом деле удаляется с пользовательских систем. «Это действительно происходит. Мы внимательно следили за данным семейством вредоносных программ и недавно зафиксировали подобное поведение», — сказал руководитель отдела кибер-исследований в Check Point Янив Балмас (Yaniv Balmas) изданию ZDNet. Балмас также поделился своими теориями касательно данной ситуации: операторы вредоноса могли собственноручно отключить ботнет, это может быть дело рук правоохранительных органов, неизвестного исследователя безопасности или же операторов конкурирующих вредоносных программ, саботирующих команду Phorpiex.

Опубликованы новые данные об инструментах APT- группы Lazarus



Вредоносное ПО применяется в новой фишинговой кампании, направленной на кражу денежных средств. Киберкомандование США обнародовало подробности о шести новых вредоносных инструментах из арсенала северокорейской хакерской группировки Lazarus (она же Hidden Cobra). По мнению американских властей, данное вредоносное ПО применяется в новой фишинговой кампании, направленной на кражу денежных средств. Список инструментов включает «полнофункциональный RAT» BISTROMATH , загрузчик под названием SLICKSHOES , вредонос CROWDEDFLOUNDER , служащий для распаковки бинарного кода трояна для удаленного доступа в памяти, полнофункциональный имплант HOTCROISSANT для «рекогносцировки, загрузки/выгрузки файлов и выполнения команд», имплант ARTFULPIE для загрузки DLL-библиотек, а также инструмент BUFFETLINE , применяемый для загрузки/выгрузки, удаления и выполнения файлов, доступа к интерфейсу командной строки Windows, создания и завершения процессов. Кроме прочего, ведомство обновило данные о бэкдоре HOPLIGHT , информация о котором была обнародована в прошлом апреле. В сентябре 2018 года Министерство юстиции США предъявило обвинения предполагаемому участнику группировки Lazarus, а спустя год Управление по контролю за иностранными активами Министерства финансов США объявило о санкциях против трех киберпреступных группировок, предположительно спонсируемых государством Северной Кореи, которые совершали кибератаки на правительственные и частные организации по всему миру. В санкционный список попали три группировки, а именно Lazarus Group, Bluenoroff и Andarie

Флирт оказался опасным для израильских солдат



Участники палестинского исламистского движения ХАМАС пытались взломать мобильные телефоны израильских солдат через приложения для флирта. Как сообщается на сайте Армии обороны Израиля, начиная с января нынешнего года представители ХАМАС под видом привлекательных молодых девушек знакомились с солдатами в соцсетях Facebook, Instagram, а также мессенджерах WhatsApp и Telegram. Фотографии и персональные данные женщин были взяты с реальных аккаунтов. Преступники от имени девушек отправляли текстовые и голосовые сообщения, предлагая загрузить по ссылке приложение для обмена фотографиями по типу Snapchat, которое на самом деле являлось вредоносной программой для хищения данных с телефонов. Ссылки вели на три вредоносных приложения — Catch & See, ZatuApp и GrixyApp. Как сообщили в пресс-службе Армии обороны Израиля, данное вредоносное ПО было связано с серверами ХАМАСа, и по крайней мере один из профилей злоумышленников в социальных сетях уже использовался в предыдущих вредоносных кампаниях. После установки приложения ХАМАС получал доступ к хранящейся на смартфоне информации, а само устройство начинало использоваться злоумышленниками для прослушки. Солдаты вовремя сообщили о подозрительной активности, что позволило армии и израильской службе внутренней безопасности Шабак пресечь действия преступников и предотвратить ущерб национальной безопасности страны. Это далеко не первая кибератака со стороны участников движения ХАМАС, нацеленная на израильскую армию. Напомним, в 2018 году спецслужбы Израиля обвинили преступников из организации ХАМАС в попытке получить доступ к телефонам израильских военных через развлекательные приложения, одно из которых было посвящено чемпионату мира по футболу. Специалисты израильской разведки выявили в Google Play Store три вредоносных приложения — Golden Cup, Glance Love и Wink Chat.

Вымогатели атаковали американского оператора газопровода



Киберпреступники атаковали оператора газопровода и заразили его компьютерные сети вымогательским ПО. Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США не указало название оператора, но поделилось подробностями кибератаки. Злоумышленники использовали фишинговую ссылку для получения первоначального доступа к информационным компьютерным сетям организации, а затем нацелились на OT-сеть (Operational Technology). После получения доступа к ОТ-сети преступники загрузили вымогательское ПО, зашифровали данные одновременно в IT- и OT-сетях для нанесения максимального ущерба, и только потом потребовали выкуп. Вымогательское ПО не затронуло программируемые логические контроллеры (ПЛК), напрямую взаимодействующие с заводским оборудованием. По словам специалистов, данные других промышленных процессов, таких как человеко-машинные интерфейсы (HMI), программы Data Historian и серверов опроса, не могли быть прочитаны, что привело к частичной потере работоспособности персонала на объекте. В качестве меры предосторожности оператор трубопровода решил осуществить «преднамеренное и контролируемое прекращение работы». Остановка длилась приблизительно два дня, после чего нормальные операции были возобновлены. Как отметили представители CISA, преступник не получил возможность контролировать или манипулировать промышленными операциями, поскольку жертва отключила ЧМИ. Американские чиновники не раскрыли название вида вымогательского ПО.