Обзор инцидентов безопасности за период с 24 по 30 июля 2021 года

Обзор инцидентов безопасности за период с 24 по 30 июля 2021 года

Краткий обзор главных событий в мире ИБ за неделю.

Новые атаки через уязвимости ProxyLogon, кибератака на транспортную компанию, возвращение нашумевшей кибервымогательской группировки DoppelPaymer и появление «наследника» группировок DarkSide и REvil – только малая толика событий в мире информационной безопасности за период с 24 по 30 июля 2021 года. Об этих и других инцидентах читайте в нашем обзоре.

После двух месяцев почти полного отсутствия активности на кибервымогательскую арену вернулась группировка DoppelPaymer. Хакеры провели ребрендинг, сменив название группировки на Grief или Pay or Grief. Хакеры предположительно похитили данные 5 организаций, в том числе одной в Мексике. По словам экспертов, DoppelPaymer и Grief использовали один и тот же зашифрованный формат файла и один и тот же канал распространения – ботнет Dridex. Несмотря на попытки злоумышленников сделать Grief похожим на отдельное «вымогательское ПО как услугу» (RaaS), сходство с DoppelPaymer невозможно игнорировать.

Помимо DoppelPaymer, над совершенствованием своего вымогателя также работает группировка LockBit. Исследователи обнаружили новую версию вымогателя, получивший целый ряд улучшений, в том числе функцию шифрования доменов Windows с помощью групповых политик Active Directory. Новая версия LockBit также получила функцию, ранее использовавшуюся вымогательским ПО Egregor, – печать записки с требованием выкупа на всех подключенных к сети принтерах.

На этой неделе на киберпреступную арену также вышла новая кибервымогательская группировка, заявившая, что является преемником нашумевших и ныне нефункционирующих Darkside и REvil. В настоящее время BlackMatter занимается поиском партнеров и уже разместила соответствующие объявления на хакерских форумах Exploit и XSS. Согласно рекламному объявлению, группировку интересует доступ только к крупным компаниям, чей годовой доход составляет $100 млн и больше.

Жертвой вымогательского ПО Death Kitty стала южноафриканская госкомпания Transnet, которая управляет крупными портами Южной Африки, включая Дурбан и Кейптаун. По словам представителей компании, атака привела к нарушению бизнес-процессов и функций TPT, а также к повреждению оборудования и данных. В сообщении с требованием выкупа, оставленным на зараженных системах, хакеры утверждали , что зашифровали файлы компании, включая 1 ТБ персональных данных, финансовые отчеты и прочие документы.

Кибератака, ранее в этом месяце парализовавшая работу железной дороги в Иране, была осуществлена с использованием не вымогательского ПО, как предполагалось ранее, а вайпера Meteor, стирающего все хранящиеся в системе данные. Этот инцидент является первым случаем применения Meteor, и специалистам пока не удалось связать его с какой-либо известной киберпреступной группировкой.

Китайская киберпреступная группировка, известная своими атаками на страны Юго-Восточной Азии, эксплуатирует уязвимости ProxyLogon в Microsoft Exchange Server для заражения атакуемых систем ранее неизвестным трояном для удаленного доступа (RAT). Подразделение Unit 42 ИБ-компании Palo Alto Networks отнесло атаки на счет киберпреступной группировки PKPLUG (другие названия Mustang Panda и HoneyMyte). Специалисты выявили новый вариант модульного вредоносного ПО PlugX под названием Thor, который был доставлен на один из взломанных серверов в качестве постэксплуатационного инструмента.

Операционная система Windows 11 еще официально не вышла, но уже доступна для скачивания и предварительного знакомства. И этим, конечно же, пользуются злоумышленники, пытающиеся под видом новой ОС подсунуть пользователям вредоносное ПО. Опасный вредонос был обнаружен специалистами «Лаборатории Касперского» в файле под названием 86307_windows 11 build 21996,1×64 + activator.exe. Он весит 1,75 ГБ, и якобы является установочным файлом операционной системы, но при его запуске происходит распаковка вируса, после чего на компьютере появляются рекламные приложения и даже лишние программы.

Иранские хакеры в течение 18 месяцев маскировались под инструктора по аэробике в ходе кампании по кибершпионажу, нацеленной на сотрудников и подрядчиков в оборонной и аэрокосмической сферах. Преступники заражали системы жертв вредоносным ПО для кражи учетных данных и другой конфиденциальной информации. В ходе кампании, действующей по крайней мере с 2019 года, злоумышленники использовали социальные сети Facebook и Instagram. Специалисты связали данную кампанию с группировкой TA456 (также известной как Tortoiseshell), поддерживаемой правительством Ирана и связанной с иранскими вооруженными силами Корпуса стражей исламской революции.

В понедельник, 26 июля, в СМИ были обнародованы пять секретных документов, в которых предположительно изложены планы кибератак Ирана на инфраструктуру западных стран. Сообщения об атаках на инфраструктуру, осуществляемых Ираном и другими странами, появляются в прессе довольно часто, однако это первый случай, когда СМИ удалось заполучить внутренние документы киберподразделения Корпуса стражей исламской революции с изложением планов кибератак. Согласно документам, одна из кибератак была запланирована на систему балластных вод грузового судна и могла вызвать необратимые повреждения. Еще одна атака была запланирована на автоматические манометры некоторых заправочных станций.

Киберпреступная группировка TG1021 (или Praying Mantis), предположительно связанная с Китаем, эксплуатировала уязвимость в популярном инструменте для создания опросов Checkbox Survey для осуществления атак на организации в США. В ходе атак преступники эксплуатировали уязвимость десереализации ( CVE-2021-27852 ) в инструменте Checkbox Survey. Уязвимость может использоваться удаленно без аутентификации и затрагивает версию приложения Checkbox Survey 6. Уязвимость отсутствует в версии 7.0 (выпущенной в 2019 году), но более старые версии больше не поддерживаются и не будут получать исправления.

Команда экспертов по безопасности компании Microsoft обнаружила продолжающуюся в течение нескольких недель спам-кампанию с использованием техники HTML smuggling для обхода систем безопасности электронной почты и доставки вредоносного ПО на устройства жертв. HTML smuggling позволяет злоумышленникам собирать вредоносные файлы на устройствах пользователей с помощью HTML5 и JavaScript.

Microsoft также предупредила своих пользователей о распространении вредоносное ПО LemonDuck. По словам специалистов, попадая на компьютер, LemonDuck мгновенно создает сеть ботнет для майнинга криптовалюты Monero. Вредонос попадает на компьютеры посредством фишинговых писем, флеш-накопителей USB и уязвимости системы безопасности. Чаще всего от него страдают владельцы устройств на базе операционных систем Windows и Linux, предупредили в Microsoft.

Личные данные сторонников Фонда борьбы с коррупцией (ФБК, признан экстремистской организацией и НКО-иноагентом в России), в очередной раз оказались в открытом доступе. В сеть утекли более 111 тысяч e-mail пользователей, зарегистрировавшихся в проекте «Умное голосование».

На форуме RAID один из пользователей выложил файл размером 751 гигабайт. Он заявляет, что это исходный код FIFA 21, который украла группа хакеров в июне 2021 года. Видимо, отчаявшись получить деньги с «Electronic Arts» и не найдя покупателя исходников, вымогатели выложили их в свободный доступ.

Киберпреступники скомпрометировали учетные данные владельцев билетов на летние Олимпийские и Паралимпийские игры-2020 в Токио, а также данные волонтеров мероприятия. Как сообщило информационное агентство Kyodo, украденные учетные данные могут быть использованы для авторизации волонтеров и владельцев билетов на web-сайтах мероприятия, подвергая риску раскрытия таких данных, как имена, адреса и номера банковских счетов.

На неделе на продажу в даркнете была выставлена полная база телефонных номеров Clubhouse. В базе содержится информация о 3,8 млрд телефонных номеров как участников Clubhouse, так и пользователей из синхронизированных списков их контактов.

Израильская компания NSO Group неоднократно отрицала, что шпионское ПО Pegasus использовалось для взлома телефонов многих политиков. Однако, как сообщил генеральный директор WhatsApp Уилл Кэткарт (Will Cathcart) изданию The Guardian, правительства предположительно использовали программное обеспечение Pegasus для атак на высокопоставленных правительственных чиновников по всему миру в 2019 году, в том числе чиновников, отвечающих на нацбезопасность ведомств, которые были союзниками США.

Поставщик систем безопасности Intezer предупредил о кибератаках, в ходе которых злоумышленники используют движок рабочих процессов Argo Workflows для осуществления атак на кластеры Kubernetes и развертывания криптомайнеров. Эксперты Intezer выявили ряд уязвимых контейнеров, которые использовались организациями в технологическом, финансовом и логистическом секторах.

мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

Источник: Securitylab