Обзор инцидентов безопасности за период с 9 по 15 ноября 2020 года

Обзор инцидентов безопасности за период с 9 по 15 ноября 2020 года

Краткий обзор главных событий в мире ИБ за прошедшую неделю.

Прошедшая неделя оказалась чрезвычайно богатой всевозможными инцидентами безопасности. Атаки вымогательского ПО, утечки, новые ботнеты, уязвимости нулевого дня, похищения данных и пр. – об этих и других событиях в мире ИБ, имевших место на прошлой неделе, читайте в нашем обзоре.

Начало недели ознаменовалось сообщением о появлении нового ботнета Gitpaste-12, использующего GitHub и Pastebin для хранения кода компонентов. Примечательной чертой вредоноса является использование 12 разных способов компрометации системы. Gitpaste-12 в основном атакует серверы x86 на базе Linux и IoT-устройства на базе процессоров Linux ARM и MIPS.

Помимо нового ботнета, на прошлой неделе также появились сообщения о новом вымогательском ПО, способном шифровать корпоративные сети всего за час. Жертвами Pay2Key уже стал ряд компаний в Израиле. По словам специалистов, преступники обычно осуществляют атаки после полуночи, когда в компаниях работает меньше IT-сотрудников. Вредонос Pay2Key предположительно проникает в сеть организаций через слабо защищенное RDP-соединение. Проникнув в локальную сеть, хакеры устанавливают на одном из устройств прокси-сервер для обеспечения связи всех копий вредоноса с C&C-сервером. Запуск полезной нагрузки (Cobalt.Client.exe) осуществляется удаленно с помощью легитимной утилиты PsExec.

На прошлых выходных жертвой вымогательского ПО Egregor стала одна из крупнейших компаний розничной торговли в Южной Америке. В результате кибератаки работа некоторых сервисов в магазинах, принадлежащих ритейлеру Cencosud, была нарушена.

Кибератаке с использованием вымогательского ПО также подвергся крупнейший в мире производитель офисной мебели Steelcase. В результате компании пришлось отключить свои системы и прекратить все связанные с ними операции. Судя по всему, ответственность за атаку несет киберпреступная группировка Ryuk.

Второй по величине в мире производитель ноутбуков, тайваньская компания Compal, на чьих заводах производились ноутбуки для Apple, Acer, Lenovo, Dell, Toshiba, HP и Fujitsu, также была атакована вымогательским ПО. Судя по скриншоту записки с требованием выкупа, за атакой может стоять киберпреступная группировка DoppelPaymer.

Во вторник, 10 ноября, компания Microsoft выпустила плановые ежемесячные обновления безопасности в своих продуктах. Помимо прочего, обновления исправляют уязвимость нулевого дня в Windows ( CVE-2020-17087 ), активно эксплуатируемой киберпреступниками. Уязвимость существует в ядре Windows и затрагивает все поддерживаемые версии ОС. Уязвимость эксплуатируется в связке с уязвимостью нулевого дня в Chrome ( CVE-2020-15999 ) для атак на пользователей Windows 7 и Windows 10. С помощью CVE-2020-15999 атакующие запускают вредоносный код в браузере, а затем используют уязвимость нулевого дня в Windows для обхода песочницы в Chrome и повышения привилегий кода, чтобы он мог атаковать ОС.

На прошлой неделе компания Google исправила еще две активно эксплуатирующиеся хакерами уязвимости в Chrome, ставшие четвертой и пятой уязвимостями нулевого дня в браузере за последние несколько недель. Проблемы были исправлены в версии Chrome 86.0.4240.198 для Windows, Mac и Linux, которую пользователи получат в ближайшие несколько дней/недель.

Не обошлось на прошлой неделе и без утечек данных. В результате кибератаки на крупнейшего в мире производителя очков популярных брендов (в том числе Ray-Ban, Persol и Oakley), итальянский конгломерат Luxottica Group, произошла утечка данных пациентов LensCrafters, Target Optical и EyeMed. В результате атаки были скомпрометированы персональные и медицинские данные пациентов, в том числе контактная информация, даты и время посещения врачей, истории болезни, рецепты, диагнозы и пр. Кроме того, злоумышленники получили доступ к номерам кредитных карт и социального страхования.

Из-за некорректной настройки бакета Amazon Web Services S3, используемого популярной платформой для бронирования гостиничных номеров, произошла утечка 10 млн файлов, связанных с постояльцами различных отелей по всему миру. Как сообщают обнаружившие проблемный бакет специалисты компании Website Planet, инцидент затронул 24,4 ГБ данных. Поскольку многие записи содержат данные групп постояльцев отелей, бронировавших номера совместно, количество людей, которые могут пострадать от утечки, превышает 10 млн.

Специалисты компании KELA обнаружили киберпреступную группировку, продающую административный доступ к сетям Пакистанских международных авиалиний. Доступ продается на двух русскоязычных и одном англоязычном подпольном форуме за $4 тыс.

Исходный код набора инструментов Cobalt Strike предположительно утек в Сеть и был опубликован в репозитории GitHub. В конце прошлого месяца на GitHub был создан репозиторий, содержащий исходный код версии Cobalt Strike 4.0. Судя по файлу src/main/resources/about.html, исходный код Cobalt Strike 4.0 был выпущен 5 декабря 2019 года. Как видно из исходного кода, проверка лицензии для Cobalt Strike была закомментирована, что, по сути, взломает программу для любого, кто решит ее скомпилировать.

Компания Microsoft сообщила на прошлой неделе о кибератаках российских и северокорейских хакеров на семь компаний, которые занимаются разработкой вакцин и лекарств от коронавируса. За нападениями стоят три группировки – Strontium (известная также как Fancy Bear, APT28, Sofacy, Pawn storm, Sedni) из России, а также Zinc и Cerium из Северной Кореи.

Исследователи безопасности из компании Blackberry сообщили о вредоносной кампании «хакеров по найму» (Hackers for Hire, HfH), в рамках которой использовалось ранее неизвестное вредоносное ПО для осуществления атак на финансовые учреждения Южной Азии и развлекательные компании по всему миру. Операция, получившая название CostaRicto, предположительно организована хакерами, которые обладают сложным вредоносным инструментом и комплексными возможностями VPN-прокси и SSH-туннелирования.

Исследователи безопасности из подразделения Unit 42 компании Palo Alto Networks рассказали о двух бэкдорах, которые преступники из группировки xHunt использовали во время атак на сервер Microsoft Exchange одной из правительственных организаций в Кувейте в августе 2019 года. В ходе анализа эксперты выяснили, что злоумышленники обновили свой арсенал инструментов. Хакеры использовали два бэкдора: один получил название TriFive, а другой является вариантом ранее обнаруженного бэкдора на основе PowerShell (получившего название CASHY200), который исследователи назвали Snugy.

Источник: Securitylab