Коротко о главных событиях за минувшую неделю.
Киберпреступники активно эксплуатируют уязвимость в популярном плагине WP GDPR Compliance для установки бэкдоров и перехвата управления сайтами на WordPress. Злоумышленники применяют атаки двух типов. В первом случае они используют уязвимость в плагине для модификации настроек и создания новой учетной записи администратора и устанавливают на скомпрометированном сайте бэкдор (файл wp-cache.php), позволяющий загружать дополнительные вредоносные модули. Во втором случае атакующие добавляют новую задачу в WP-Cron - встроенный планировщик задач WordPress. С какой целью совершаются атаки, пока неясно. По мнению экспертов в области кибербезопасности, атакующие могут готовить инфраструктуру для будущих кампаний или «копят» ресурсы для дальнейшей продажи доступа к ним другим киберпреступным группировкам.
Как сообщили специалисты компании Volexity, финансируемая государством кибершпионская группировка активно взламывает серверы Adobe ColdFusion и внедряет бэкдоры для дальнейших атак. Судя по всему, преступники осуществили реверс-инжиниринг сентябрьских обновлений от Adobe и нашли способ проэксплуатировать уязвимость CVE-2018-15961. Как и в предыдущем случае, цели злоумышленников неизвестны, вполне возможно, они намерены использовать взломанные серверы в качестве прокси или как площадку для рассылки спама или хранения вредоносного ПО.
Криптовалюты по-прежнему остаются одним из главных интересов киберпреступников. На минувшей неделе сразу два криптовалютных сервиса подверглись кибератакам – украинская блокчейн-сеть Karbo [Карбованец] и криптовалютная биржа Gate.io. В первом случае атакующие осуществили атаку повторного расходования («атака 51%»), а во втором киберпреступники внедрили вредоносный скрипт в счетчик StatCounter для вывода биткойнов. Точный объем ущерба неизвестен, поскольку для перевода похищенных средств воры использовали множество различных кошельков. Учитывая, что ежедневно через Gate.io проходят миллионы долларов (из них около $1,6 млн только в биткойнах), речь может идти о довольно внушительной сумме.
В последние несколько месяцев в Сети разрастается новый ботнет , получивший название BCMUPnP_Hunter. В настоящее время в его составе насчитывается более 100 тыс. зараженных домашних маршрутизатров. В отличие от подавляющего большинства существующих в настоящее время IoT-ботнетов вредоносное ПО BCMUPnP_Hunter написано с нуля, а не на основе доступных в Сети исходных кодов. Судя по всему, операторы ботсети используют инфицированные маршрутизаторы для связи с сервисами электронной почты (в частности Yahoo!, Outlook и Hotmail) в рамках масштабных спам-кампаний.
Сотрудники команды Cisco Talos обнаружили ряд кампаний, направленных против пользователей популярного мессенджера Telegram и фотохостинга Instagram в Иране, в том числе с использованием BGP-перехвата трафика. В рамках атак злоумышленники создают приложения-клоны Telegram и Instagram, доступные для загрузки в неофициальных интернет-каталогах. Приложения собирают данные о списке контактов жертвы и сообщениях, а также информацию о сессиях и отправляют ее на управляющий сервер. Имея на руках эти сведения, преступники могут «полностью перехватить контроль над используемой учетной записью». Помимо указанной активности, фальшивые приложения не выполняют какие-либо другие вредоносные действия.
Международный финансовый гигант HSBC стал жертвой кибератаки с использованием украденных учетных данных (credential stuffing). Инцидент произошел в октябре 2018 года. Злоумышленникам удалось похитить имена, адреса и даты рождения пользователей, а также такую банковскую информацию, как номера и балансы счетов, история транзакций и номера счетов получателей. Использовались ли похищенные данные в преступных целях, представители HSBC не уточнили.