Полезные знания Обзор событий по кибербезопасности

[fenix]

Взломанные сайты распространяют TeamViewer через сообщения о просроченных сертификатах.

Специалисты Malwarebytes обнаружили, что хакеры взламывают серверы Windows IIS,а затем предлагают пользователям загрузить вредоносный установщик, маскируя малварь под уведомление об истекшем сертификате.

Исследователи пишут, что малварь, установленная с помощью такого поддельного установщика обновлений и подписанная сертификатом Digicert, это TVRAT (он же TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT), известная с 2013 года и предназначенная для предоставления хакерам удаленного доступа к зараженным системам.


Так, после развертывания на устройстве жертвы вредонос автоматически установит и запустит TeamViewer. Затем он свяжется с управляющим сервером, сообщив, что установка прошла успешно и к машине можно получить удаленный доступ.


Пока неизвестно, как именно злоумышленники компрометируют серверы Windows IIS, и какие цели преследуют хакеры. Можно предположить, что они используют эксплоит для уязвимости CVE-2021-31166, выявленной в мае текущего года. Также можно вспомнить о том, что ранее серверы IIS успешно атаковала хак-группа Praying Mantis (она же TG1021), используя для этого RCE-уязвимость в Checkbox Survey (CVE-2021-27852), эксплоиты, связанные с сериализацией в VIEWSTATE, а также эксплоиты для проблем Telerik-UI (CVE-2019-18935, CVE-2017-11317).

 

[fenix]

Оператору DDoS-сервиса DownThem грозит до 35 лет тюрьмы.

Калифорнийский суд присяжных признал виновным бывшего администратора DDoS-сервисов (DownThem и Ampnode). Платные пользователи этих сервисов осуществили более 200 000 DDoS-атак как на частных лиц, так и на организации по всему миру.

Согласно судебным документам, 32-летний житель штата Иллинойс Мэтью Гатрел (Matthew Gatrel) управлял сайтами DownThem и Ampnode как минимум с октября 2014 года. Первый сервис предлагал мощности для DDoS-атак по подписке, а AmpNode предоставлял услуги «пуленепробиваемого» хостинга клиентам, которым нужны были предварительно настроенные серверы с инструментами для DDoS-атак и готовыми списками уязвимых систем, которые могли усилить нападение. Напомню, что DownThem был закрыт в декабре 2018 года, и вскоре Гатрелу предъявили обвинения.

Клиенты Гатрела могли выбирать из нескольких вариантов подписки, каждая из которых предоставляла различные возможности (продолжительность, мощность и возможность одновременных атак). Следователи говорят, что в общей сложности у DownThem было более 2000 зарегистрированных клиентов, которые успели провести свыше 200 000 DDoS-атак. Их цели варьировались от частных лиц, до школ, университетов, сайтов муниципальных и местных органов власти, а также финансовых учреждений со всего мира.

Известно, что Гатрел управлял этими ресурсами не один: в администрировании сайта DownThem ему помогал 28-летний Хуан Мартинес (Juan Martinez) из Пасадены. Мартинес уже признал себя виновным и теперь ожидает приговора, назначенного на 2 декабря текущего года. Ему грозит до 10 лет лишения свободы.

Теперь, после вынесения обвинительного приговора, Гатрелу тоже грозит немалый срок — до 35 лет тюрьмы. Оглашение его приговора назначено на 27 января 2022 года.

 

[fenix]

От взлома Epik пострадали 15 млн пользователей, а не только клиенты компании.

Хактивисты Anonymous взломали базу данных доменного регистратора и хостера Epik, который ранее часто подвергался критике из-за того, что размещал у себя «правые» сайты, включая 8chan, Gab, Parler и The Donald. Похищенные данные (более 180 Гб) были опубликованы в формате торрента и, по данных хакеров, содержат информацию за последнее десятилетие.

Так как в компании тогда отрицали факт взлома, хакеры посмеялись над Epik и дополнительно взломали базу знаний хостера, добавив в нее собственные издевательские правки.

Как теперь сообщает издание ArsTechnica, в общей сложности опубликованный хакерами дамп содержал 15 003 961 адрес электронной почты, которые принадлежат как клиентам Epik, так и людям, которые не имели никаких дел с этой компанией. Журналисты объясняют, что Epik скрэйпил записи WHOIS доменов, включая те, что не принадлежали компании, и хранил эти записи у себя. В итоге контактная информация людей, которые никогда не взаимодействовал с Epik напрямую, тоже хранилась компанией.

Агрегатор информации об утечках данных HaveIBeenPwned уже начал рассылать предупреждения миллионам пострадавших, чьи email-адреса оказались скомпрометированы. Одним из пострадавших оказался сам основатель этого сервиса, Трой Хант, хотя он никогда не имел никакого отношения к Epik.

В ходе опроса, проведенного в Twitter, Хант спросил у своих подписчиков, хотят ли пострадавшие пользователи, не являющиеся клиентами Epik, получать уведомления о нарушениях. Большинство ответили на вопрос утвердительно.

«В результате утечки был обнаружен огромный объем данных не только о клиентах Epik, но также записи WHOIS, принадлежащие частным лицам и организациям, которые не были клиентами компании», —

Для просмотра ссылки необходимо нажать Вход или Регистрация

. — Эти данные включают более 15 млн уникальных email-адресов (включая анонимные для обеспечения приватности домена), имена, номера телефонов, физические адреса и пароли, хранящиеся в различных форматах».

Журналисты ArsTechnica отмечают, что видели часть файла whois.sql, чей размер составляет примерно 16 Гб. Он заполнен email-адресами, IP-адресами, доменами, физическими адресами и номерами телефонов пользователей. При этом некоторые записи WHOIS явно устарели и содержат неверную информацию о владельцах доменов (люди более не владеют этими активами).

Журналисты ArsTechnica отмечают, что видели часть файла whois.sql, чей размер составляет примерно 16 Гб. Он заполнен email-адресами, IP-адресами, доменами, физическими адресами и номерами телефонов пользователей. При этом некоторые записи WHOIS явно устарели и содержат неверную информацию о владельцах доменов (люди более не владеют этими активами).

Как пишут ИБ-специалисты Эмили Горченски и Адам Скулторп, представители Epik наконец признали факт взлома и теперь уведомляют своих клиентов о «несанкционированном вторжении» в свои системы. В компании призывают клиентов сохранять бдительность и наблюдать за любой информацией, которую они использовали во время работы с сервисами компании (включая платежную информацию, номера кредитных карт, имена, имена пользователей, адреса электронной почты и пароли).

Хотя пока в компании не знают точно, подверглись ли компрометации данные банковских карт клиентов, в качестве меры предосторожности пользователям советуют «связаться с компаниями, выпустившими банковские карты, использованные для транзакций с Epik, и уведомить их о потенциальной компрометации данных».

 

[fenix]

1 октября

Неизвестные хакеры взломали около шести тысяч аккаунтов пользователей Coinbase. Они воспользовались уязвимостью для обхода двухфакторной аутентификации с помощью SMS.

Издание Bleeping Computer опубликовало письмо Coinbase пострадавшим, в котором говорится о масштабном взломе с марта по май 2021 года. В компании признали вину, исправили ошибку и пообещали выплатить компенсации.

Киберпреступники задействовали уязвимость в системе двухфакторной аутентификации (2FA), которую использовала криптовалютная биржа Coinbase. С помощью бага злоумышленники украли средства более чем 6 тысяч пользователей. Согласно имеющейся информации, преступники знали имена пользователей, пароли и телефонные номера, к которым были привязаны аккаунты на бирже. Благодаря этим данным атакующие смогли обойти систему аутентификации, которая полагается на проверочные коды в СМС-сообщениях.

«К сожалению, в период между 20 марта и 20 мая вы стали жертвой кампании киберпреступников, которым удалось получить несанкционированный доступ к аккаунтам клиентов Coinbase. Как минимум шесть тысяч пользователей потеряли свои средства, включая вас», — гласит официальное уведомление о киберинциденте.
Также в письме уточнялось, что злоумышленникам для атаки был необходим адрес электронной почты, пароль и телефонный номер, привязанный к учётной записи. Получив эти сведения, преступники использовали брешь в функции восстановления доступа к аккаунту.

Так в руки атакующих попали коды двухфакторной аутентификации. К счастью, администраторы криптобиржи пересмотрели процесс восстановления аккаунта по СМС и обновили соответствующие протоколы. Осталось лишь выяснить, как киберпреступники смогли добраться до учётных данных и номеров телефонов. Возможно, тут имела место социальная инженерия, фишинг или же утечка у самой Coinbase.

 

[fenix]

Cobalt Strike Beacon для Linux​

Эксперты компании Intezer Lab обнаружили Vermilion Strike — адаптированную для Linux вариацию Cobalt Strike Beacon, которую хакеры уже используют в атаках против организаций по всему миру.

Cobalt Strike — легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию. К сожалению, он давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. Хотя он недоступен для рядовых пользователей и полная версия оценивается примерно в 3500 долларов за установку, злоумышленники все равно находят способы его использовать (к примеру, полагаются на старые, пиратские, взломанные и незарегистрированные версии).

Обычно преступники используют Cobalt Strike для постэксплуатации, после развертывания так называемых маяков (beacon), которые обеспечивают устойчивый удаленный доступ к скомпрометированным устройствам. Используя маяки, хакеры могут получить доступ к взломанным системам для последующего сбора данных или развертывания дополнительной малвари.

Однако, с точки зрения преступников, у Cobalt Strike всегда был один серьезный недостаток. Дело в том, что он поддерживает только Windows, но не Linux. Но, судя по отчету Intezer Lab, теперь это изменилось.

Впервые исследователи заметили новую реализацию маяка в августе текущего года и дали этому явлению название Vermilion Strike. В компании подчеркивают, что ELF-бинарник Cobalt Strike пока не обнаруживается антивирусными решениями.

Для просмотра ссылки необходимо нажать Вход или Регистрация

По сути, Vermilion Strike использует тот же формат конфигурации, что и маяк для Windows, он может взаимодействовать со всеми серверами Cobalt Strike, однако не использует код Cobalt Strike. Хуже того, эксперты считают, что тот же разработчик переписал оригинальную версию маяка для Windows, чтобы лучше избегать обнаружения.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Используя телеметрию, предоставленную McAfee Enterprise ATR, исследователи выяснили, что Vermilion Strike используется для атак с августа 2021 года. Преступники нацелены на самые разные компании и организации, от телекомов и государственных учреждений до ИТ‑компаний, финансовых учреждений и консалтинговых фирм по всему миру.

 

[fenix]

Не очень анонимный ProtonMail​

Вокруг защищенного почтового сервиса ProtonMail разгорелся скандал: руководство сервиса призналось, что недавно было вынуждено сохранить IP-адрес одного из своих клиентов и передать его правоохранительным органам, так как ProtonMail получил соответствующее распоряжение от швейцарских властей, которое невозможно было обжаловать или отклонить.

В итоге компания даже внесла изменения в политику конфиденциальности, заменив фразу «мы не ведем логи IP-адресов» на формулировку: «ProtonMail — это электронная почта, которая уважает конфиденциальность и ставит людей (а не рекламодателей) на первое место».

«Неважно, какой сервис вы используете, если он не находится в 15 милях от берега в международных водах, компания будет обязана соблюдать закон.
Proton может быть обязан собирать информацию об учетных записях, принадлежащих пользователям, которые находятся под уголовным расследованием в Швейцарии. Очевидно, что это делается не по умолчанию, а лишь в том случае, если Proton получает юридический приказ для конкретной учетной записи. Интернет в основном не анонимен, и если вы нарушаете закон, законопослушная компания, такая как ProtonMail, может быть юридически обязана сохранить ваш IP-адрес»

— объяснил глава ProtonMail Энди Йен (Andy Yen) в блоге компании.

 

[fenix]

Уязвимости BrakTooth​

Группа исследователей опубликовала информацию о 16 серьезных уязвимостях, влияющих на стек Bluetooth во многих популярных SoC, которые применяются в ноутбуках, смартфонах, промышленных устройствах и IoT-девайсах. Проблемы получили общее название BrakTooth: они позволяют вывести из строя или «повесить» устройство, а в худшем случае помогают выполнить произвольный код и захватить всю систему.

Специалисты изучили библиотеки Bluetooth для 13 разных SoC от 11 производителей. Как оказалась, одна и та же прошивка Bluetooth использовалась более чем в 1400 SoC, которые были основой для самых разных девайсов. Хуже того, все атаки BrakTooth можно выполнить с помощью стандартного Bluetooth-оборудования, стоимость которого не превышает 15 долларов.

Авторы доклада заявили, что количество проблемных устройств исчисляется миллиардами, хотя степень уязвимости зависит от SoC устройства и программного стека Bluetooth.

Самая серьезная проблема из состава BrakTooth — это уязвимость CVE-2021-28139, которая позволяет удаленным злоумышленникам запускать собственный вредоносный код на уязвимых устройствах посредством Bluetooth LMP. По данным исследовательской группы, этот баг влияет на «умные» устройства и промышленное оборудование на базе ESP32 SoC Espressif Systems, однако проблема может сказываться и на многих других коммерческих продуктах.

Другие баги из числа BrakTooth менее серьезны. Например, обнаружен ряд уязвимостей, которые можно использовать для сбоя Bluetooth на смартфонах и ноутбуках, отправляя устройствам искаженными пакеты Bluetooth LMP. Для таких атак уязвимы ноутбуки Microsoft Surface, настольные компьютеры Dell и несколько моделей смартфонов на базе Qualcomm. Также злоумышленники могут использовать обрезанные, увеличенные или out-of-order пакеты Bluetooth LMP, чтобы спровоцировать «зависание» устройства, после чего потребуется перезагрузка вручную.

Доклад гласит, что всех производителей уязвимого оборудования предупредили о проблемах еще несколько месяцев тому назад. Увы, несмотря на прошедшее время, не все компании сумели вовремя выпустить исправления. На данный момент только Espressif Systems, Infineon (бывший Cypress) и Bluetrum выпустили патчи, а Texas Instruments вообще заявила, что не будет устранять найденные недостатки. Другие поставщики подтвердили выводы исследователей, но пока даже не назвали точных дат выхода патчей.

Представители Bluetooth Special Interest Group, которая руководит разработкой стандарта Bluetooth, пояснили, что они осведомлены о проблемах BrakTooth, однако не могут оказывать давление на производителей в вопросах выпуска патчей, так как уязвимости влияют не на сам стандарт, но на конкретные имплементации вендоров.

Так как патчей до сих пор нет, исследовательская группа заявила, что не планирует обнародовать PoC-эксплоиты для BrakTooth.

 

[fenix]

Возвращение REvil​

В сентябре вымогатель REvil (Sodinokibi) вернулся в онлайн после нескольких месяцев простоя: летом хак‑группа ушла в офлайн без объяснения причин, отключив всю свою инфраструктуру. Это произошло после масштабной атаки REvil на клиентов известного поставщика MSP-решений Kaseya, а также компрометации компании JBS, которая является крупнейшим в мире поставщиком говядины и птицы. Тогда многие эксперты полагали, что группировка перешла грань и ею заинтересовались власти.

В прошлом представитель группировки, известный под никами Unknown или UNKN, публиковал на хакерских форумах сообщения с рекламой или последние новости об операциях REvil. Теперь новый представитель вымогателей, зарегистрировавшийся на этих сайтах как REvil, вернулся к публикациям и заявил, что, по данным хак‑группы, Unknown был арестован, а серверы группы могли быть скомпрометированы.

«Как UNKWN (он же 8800) пропал, мы (кодеры) бэкапнулись и отключили все сервера. Думали, что его приняли. Пробовали искать, но безуспешно. Подождали — он не объявился и мы подняли все с бэкапов.После пропажи UNKWN хостер писал что клирнет‑сервера были скомпрометированы и он удалил их сразу. Основной сервер с ключами мы отключили штатно незадолго после»

— рассказал новый представитель группировки (орфография и пунктуация оригинала сохранены)

 

[fenix]

Итальянская мафия и BEC-скам​

Европол, Евроюст и европейские правоохранители сообщили о ликвидации киберпреступной сети, связанной с итальянской мафией. Полицейская операция привела к арестам 106 человек (на острове Тенерифе в Испании, а также в Турине и Изернии в Италии), которых обвиняют в различных киберпреступлениях и отмывании денег.

По данным полиции, эта группа в основном специализировалась на киберпреступлениях: подмене SIM-карт, а также фишинге и вишинге, стремясь проникнуть в сети компаний, похитить средства или обманом вынудить сотрудников направить платежи на счета, которые контролировали сами злоумышленники (классическая схема, называемая BEC-скамом, от английского Business Email Compromise).

Благодаря такой тактике группа похитила и отмыла более 10 000 000 евро, используя сеть денежных мулов и подставных компаний. Большинство пострадавших от рук мошенников находились в Италии, но также группа атаковала компании из Ирландии, Испании, Германии, Литвы и Великобритании.

Испанская национальная полиция (Policía Nacional) и итальянская национальная полиция (Polizia di Stato) рассказали, что начали отслеживать эту группировку в июне 2020 года, когда было замечено, что опасные лица, связанные с итальянскими мафиозными организациями, обосновались на Канарских островах. Сообщается, что члены этой хак‑группы были связаны с четырьмя итальянскими мафиозными структурами: Camorra Napolitana, Nuvoletta, Casamonica и Sacra Corona Unita.

Испанская полиция заявляет, что весь последний год наблюдала за подозреваемыми, изучая внутреннюю структуру группы. Выяснилось, что группировка имела типичную иерархию, подобную пирамиде, с лидерами наверху и денежными мулами внизу. Руководителями выступали члены итальянской неаполитанской мафии, которые часто приезжали на Канарские острова, чтобы наблюдать за операциями.

«Для мафии этот способ финансирования был настолько важен, что они отправили нескольких находящихся в бегах членов Italian Justice контролировать на месте финансовую активность, получения и переводы денег», — рассказывают полицейские.

Также эта группа была связана с проституцией, продажей Орудия, незаконным оборотом наркотиков, похищениями людей, мошенничеством, кражей личных данных, подделкой документов, мошенничеством в сфере социального обеспечения, грабежами, вымогательством и двумя убийствами.

К примеру, группе требовались сотни банковских счетов для отмывания украденных средств, которые нужно было открывать и закрывать очень быстро, чтобы предотвратить заморозку средств. В какой‑то момент, не сумев получить доступ к новым банковским счетам, группа похитила женщину и угрозами вынудила ее открыть 50 банковских счетов от имени организации, а затем заставила опустошить собственный банковский счет, доставив к банкомату. Когда нападавшие были опознаны и задержаны, группировка угрожала жертве и ее друзьям, чтобы те не дали показания.

В общей сложности власти арестовали 106 человек, заморозили 118 банковских счетов, изъяли 224 кредитных карты, 402 куста марихуаны с секретной фермы, которой управляла группа, а также многочисленное компьютерное оборудование, телефоны и SIM-карты.

 

[fenix]

Китайская хакерская группа GhostEmperor

На конференции SAS 2021 аналитики «Лаборатории Касперского» рассказали об инструментах новой китайской кибершпионской группировки GhostEmperor, которая атакует крупные организации в Юго-Восточной Азии как минимум с июля 2020 года.

Названия пострадавших компаний не раскрываются, что исследователи сообщают, что GhostEmperor атаковала государственные учреждения и телекоммуникационные компании в Юго-Восточной Азии (Малайзия, Таиланд, Вьетнам и Индонезия), а также в Египте, Афганистане и Эфиопии.

Специалисты сообщили, что GhostEmperor использует очень сложные инструменты и в основном ориентируется на получение и сохранение долгосрочного доступа к сетям своим целей. Для этого, в частности, используется специальный руткит, который работает даже с последними версиями Windows 10.

Схема атаки

Как правило, точкой изначального проникновения в сеть жертвы для GhostEmperor становятся публичные серверы. Аналитики наблюдали, что для их компрометации группировка использовала эксплоиты для уязвимостей в Apache, Oracle и Microsoft Exchange, а уже после приходила к взлому других систем в сети жертвы.


Также известно, что хакеры используют набор различных скриптов и инструментов для развертывания бэкдоров в сетях жертв. Затем такой бэкдор применяется для загрузки и запуска инструмента Cheat Engine, часто используемого геймерами для внедрения читов. Однако хакеры применяли мощные драйверы Cheat Engine для обхода защитных функций Windows PatchGuard и установки руткита Demodex в ОС жертвы. Этот руткит специалисты называют очень продвинутым, так как он позволяет хакерам сохранить доступ к устройству жертвы даже после переустановки ОС и даже в системах с последними версиями Windows 10.

Помимо этого отмечается, что малварь группировки изобилует сложными методами защиты от криминалистики и анализа, которые должны мешать ИБ-специалистам, пытающимся проанализировать инструментарий GhostEmperor. Еще один хитрый трюк хакеров: переупаковка данных в поддельные мультимедийные форматы. В результате трафик малвари GhostEmperor, обычно замаскирован под файлы RIFF, JPEG или PNG.

 

[fenix]

Злоумышленники распространяют троян Sarwent под видом защиты от шпионского ПО Pegasus

Атаки нацелены на людей, опасающихся слежки со стороны ПО Pegasus от NSO Group.

Киберпреступники распространяют троян Sarwent через поддельный web-сайт, замаскированный под сайт правозащитной организации Amnesty International. Посетителям сайта якобы предлагается защита от мобильного шпионского ПО Pegasus.

По словам исследователей в области кибербезопасности из Cisco Talos, атаки нацелены на людей, опасающихся слежки со стороны ПО Pegasus от NSO Group.

Первоначально описанный в 2016 году, Pegasus представляет собой программный инструмент для слежки, который, использовался репрессивными режимами в кампаниях, направленных против журналистов, правозащитников и других лиц.

После подробного отчета Amnesty International о Pegasus, опубликованного в июле нынешнего года, и выпуска Apple исправлений для уязвимости zero-click уязвимости FORCEDENTRY , многие люди начали искать защиту от шпионского ПО, и злоумышленники решили этим воспользоваться.

Поддельный web-сайт предлагает антивирусный инструмент Amnesty Anti Pegasus, который якобы может защитить от шпионского ПО Pegasus от NSO Group. Однако вместо него пользователям предоставляется троян для удаленного доступа Sarwent, позволяющий злоумышленникам легко загружать и выполнять полезные нагрузки на скомпрометированных устройствах, а также похищать данные.

Как полагают в Cisco Talos, злоумышленниками в данном случае являются русскоговорящие преступники, проживающие в России и проводящие атаки на основе Sarwent как минимум с января 2021 года. В предыдущих кампаниях жертвами стали пользователи в Колумбии, Индии, США и Германии.

Злоумышленники предположительно используют вредоносное ПО Sarwent или другое с похожей инфраструктурой с 2014 года. Sarwent ранее могло использоваться другими преступниками. Вредоносное ПО Sarwent в его текущей версии на Delphi не очень часто встречается в реальных атаках. Оно имеет несколько средств выполнения удаленных задач, включая протокол удаленного рабочего стола (RDP) и виртуальные сетевые вычисления (VNC), а также имеет возможности запуска shell-оболочки и PowerShell-скриптов.

После запуска вредоносная программа связывается с сайтом medicalsystemworld [.]. Если вредоносу потребуется обновление, он способен загрузить еще одну свою копию.

Затем вредоносная программа подключится к C&C-серверу, расположенному на том же домене. Во время первого сеанса связи вредоносная программа извлекает некоторую информацию о жертве, включая версию операционной системы, установлено ли антивирусное ПО, и сведения об архитектуре системы. Затем злоумышленники могут отдавать команды через командную строку или PowerShell или получать доступ к рабочему столу удаленно через VNC или RDP.

Жертвами вредоносной кампании стали пользователи по всему миру, в том числе в США, Великобритании, Колумбии, Чехии, Индии, Румынии, России и Украине.

 

[autoritet]

Выяснилось, что группировка имела типичную иерархию, подобную пирамиде, с лидерами наверху и денежными мулами внизу. Руководителями выступали члены итальянской неаполитанской мафии, которые часто приезжали на Канарские острова, чтобы наблюдать за операциями.

единственная понятная кибер группировка совмещает приятное с полезным ..девочки..наркотики ..орудие ..на Канарах зависает )

 

[fenix]

Вредонос FluBot

Эксперты CERT NZ обнаружили, что малварь FluBot начала использовать новую приманку для компрометации Android-устройств. Злоумышленники пытаются вынудить пользователей заразить свои устройства, показывая им предупреждения о необходимости срочно установить некое обновление безопасности, так как девайс пользователя якобы уже скомпрометирован… малварью Flubot.

«Ваше устройство заражено вредоносной программой FluBot®. Android обнаружил, что ваше устройство заражено. FluBot — это шпионское ПО для Android, целью которого является кража финансовых данных и паролей с вашего устройства. Вы должны установить обновление безопасности для Android, чтобы удалить FluBot», — гласит сообщение злоумышленников.

If you are seeing this page, it does not mean you are infected with Flubot however if you follow the false instructions from this page, it WILL infect your device.
— CERT NZ (@CERTNZ) September 30, 2021

Потенциальным жертвам также предлагается разрешить установку приложений из недоверенных источников, если они увидят предупреждение о том, на их девайс может быть установлена малварь.

На такие мошеннические страницы злоумышленники заманивают пользователей посредством SMS. Обычно подобные сообщения замаскированы под пропущенные доставки посылок или якобы украденные у жертвы фотографии, которые уже загружены в сеть.

Напомню, что обычно FluBot распространялся на другие телефоны на базе Android, рассылая текстовые сообщения контактам, ранее украденным с других зараженных устройств. Пользователям велят устанавливать вредоносные приложения в виде APK-файлов, доставляемых с серверов, контролируемых злоумышленниками.

После развертывания малварь пытается обманом заставить жертву предоставить ей дополнительные права на устройстве через Android Accessibility service, что позволит ей скрывать и выполнять вредоносные задачи в фоновом режиме. В конечном итоге FluBot захватит зараженное устройство, получив доступ к платежной и банковской информации.

Также вредонос похищает и пересылает адресную книгу жертвы на свой управляющий сервер (и контакты передаются другим спам-ботам FluBot), отслеживает системные уведомления об активности приложений, читает SMS-сообщения и может совершать телефонные звонки.

 

[fenix]

В Android устранили более 50 уязвимостей в последнем обновлении октября.

Октябрьские патчи для Android устранили в мобильной ОС Google более 50 уязвимостей, серьезность которых варьируется от высокой до критической.

Так, десять проблем были устранены на уровне безопасности 2021-10-01. Самая серьезная из них была обнаружена в компоненте System и может быть использована для удаленного выполнения кода.

Также на уровне 2021-10-01 были исправлены: проблемы с высокой степенью серьезности в Android Runtime (повышение привилегий), Framework (три повышения привилегий, два раскрытия информации и одна проблема отказа в обслуживании), Media Framework (повышение привилегий) и в System (раскрытие информации).

Вторая часть патчей, на уровне 2021-10-05, устранила 41 уязвимость, три из которых были отмечены как критические. Наиболее серьезной из них является RCE-баг в компоненте System. Отслеживаемая как CVE-2021-0870, эта уязвимость затрагивает Android 8.1, 9, 10 и 11.

«Самая серьезная из этих проблем — критическая уязвимость в компоненте System которая может позволить удаленному злоумышленнику, использующему специально подготовленную передачу, выполнить произвольный код в контексте привилегированного процесса», — пишут разработчики Google.

Помимо перечисленного, к наиболее заметным багам этого месяца можно отнести уязвимость CVE-2020-11264, критическую ошибку, влияющую на компонент WLAN Qualcomm и касающуюся приема фреймов, отличных от EAPOL/WAPI, от неавторизованных пиров. Еще одни критическим багом была признана проблема CVE-2020-1130, которая влияет на компонент WLAN Qualcomm и связана с приемом незашифрованных фреймов (открытым текстом) в защищенных сетях.

Остальные 40 проблем влияют на компоненты ядра (три повышения привилегий и два раскрытия информации), Telecommunication (раскрытие информации), компоненты Qualcomm (два критических бага и одиннадцать высокой степени серьезности), а также компоненты Qualcomm с закрытым исходным кодом (еще 21 недостаток высокой степени серьезности).

 

[fenix]

Инженеры Mozilla обнаружили, что сотни тысяч пользователей человек используют пароли, так или иначе связанные с различными супергероями.

Изучив статистику агрегатора утечек Have I been pwned, исследователи обнаружили, что пароли, созданные «в честь» супергероев, это дольно распространенная среди пользователей практика. Так, чаще всего в утечках встречается пароль Superman (328 000 случаев), а за ним следуют Batman (более 226 000 случаев) и Spider-Man (чуть более 160 000 случаев). Также популярны Росомаха, Железный человек, Чудо-женщина и Сорвиголова, которые обнаруживаются в различных дампах десятки тысяч раз.

Настоящие личности супергероев тоже не остаются без внимания, причем с большим отрывом здесь лидирует Джеймс Хоулетт/Логан (более 30 000 паролей), а также встречаются Кларк Кента, Брюс Уэйна, Питер Паркер и Тони Старк.

Эксперты Mozilla шутят, что такие пароли не обладают суперзащитой и являются слабыми, скомпрометировать их достаточно легко. Если же такие пароли применяются в корпоративных средах, они и вовсе могут подвергнуть опасности всю организацию.

 

[fenix]

Microsoft: Россия стоит за 58% кибератак правительственного уровня

Согласно данным Microsoft, Россия стоит за большинством кибератак правительственного уровня. За последний год корпорация из Редмонда зафиксировала 58% целевых атак, исходящих именно от «русских хакеров».

В Microsoft подчеркнули, что излюбленными целями российских APT-групп являются государственные организации и аналитические центры, находящиеся на территории США, Украины, Великобритании, а также в странах, входящих в состав НАТО.

Исследователи приводят в пример крайне успешный для киберпреступников взлом SolarWinds, который тоже приписывают российским спецслужбам. Именно эта операция подняла процент успешных таргетированных атак России до 32% (ранее был 21%).

Тем временем Китай, по словам Microsoft, несёт ответственность менее чем за одну из десяти целевых кибератак, но процент успешных кампаний у КНР больше — 44. С соответствующими данными можно ознакомиться в отчёте техногиганта.

Также в документе эксперты предупреждают о растущей угрозе программ-вымогателей, которые в последнее время буквально затмили все остальные вредоносы. Операторы шифровальщиков сегодня мотивированы финансово как никогда раньше.

Всего 4% кибератак, зафиксированных Microsoft, были нацелены на критическую информационную инфраструктуру (КИИ). Хакеры из России заинтересованы в таких операциях меньше, чем тот же Китай или Иран.

 

[fenix]

Компания Yubico, специализирующаяся на производстве аппаратных ключей безопасности, представила новую линейку устройств YubiKey Bio, оснащенных дактилоскопическими сканерами.

Впервые серия Bio была продемонстрирована еще в 2019 году, на конференции Microsoft Ignite, но до массового производство дело дошло только теперь. Идея аппаратных ключей безопасности, поддерживающих биометрию, предельно проста: пользователи могут вставить такой ключ в ноутбук или смартфон, приложить палец к сканеру отпечатков, встроенному в устройство, и пройти аутентификацию на устройстве, в локальных приложениях или удаленных сервисах.

В целом идея добавить сканер отпечатков пальцев в ключ безопасности не нова, и аналогичные устройства есть у других производителей, включая Kensington и Feitian. Но выпуск серии YubiKey Bio примечателен тем, что за Yubico давно закрепилась репутация одного из ведущих поставщиков средств безопасности, и компания даже является подрядчиком правительства США.

Ключи YubiKey Bio представлены в версиях USB-A и USB-C по цене 80 и 85 долларов США. Новые девайсы поддерживают протоколы FIDO2, WebAuthn и U2F, и уже доступны в магазине компании.

Если аутентификация по отпечатку пальца не удалась, устройство по умолчанию будет использовать PIN-код, который устанавливается при регистрации отпечатка пальца. Также ключи Bio совместимы с приложением Yubico Authenticator for Desktop, которое позволяет пользователям управлять базой отпечатков и другими функциями.

По данным производителя, ключи серии Bio работают «из коробки» с большинством популярных приложений и онлайн-сервисов, поддерживающих FIDO2, WebAuthn и U2F. Так, компания успешно протестировала новые ключи с Citrix Workspace, Duo, GitHub, IBM Security Verify, Microsoft Azure Active Directory, Microsoft 365, Okta и Ping Identity.

 

[fenix]

Неизвестный взломал Facebook-аккаунт эсминца USS Kidd и стримил Age of Empires

Ранее на этой неделе неизвестный взломал Facebook-аккаунт американского эсминца USS Kidd. На скомпрометированной странице хакер несколько часов стримил, как он играет Age of Empires, причем играл взломщик плохо и не сумел выйти даже из каменного века.

Первым о компрометации сообщило издание Task & Purpose, обнаружившее, что на странице эскадренного миноносца типа «Кидд» кто-то уже четыре часа стримит Age of Empires под заголовком «Hahahahaha».

После этого неизвестный включал стрим Age of Empires еще пять раз и каждый раз играл не менее часа. В итоге на официальной странице USS Kidd еще довольно долго были доступны записи этих стримов с заголовками вроде «hi guys» («привет, ребята»), «play game» («играю») и «ffffffffffff».

Подписчики быстро заметили странную активность и попытались выяснить у хакера, что происходит. Однако тот не отвечал своим зрителям, лишь играл, причем, как было замечено выше – из рук вон плохо. Фактически, большую часть времени неизвестный не делал ничего, или часами добывал древесину и камень (игнорируя советы зрителей, которые уже пытались рассказать ему, как строить здания и развиваться в игре).

Как сообщают журналисты, со ссылкой на пресс-секретаря ВМС Николь Швегман, военные подтверждают факт взлома Facebook-аккауна эсминца USS Kidd, хотя никаких подробностей они не предоставили. В настоящее время записи стримов уже были удалены, и ВМС США восстановило контроль над своей учетной записью.

Нужно заметить, это не первый подобный случай. Так, в 2020 году официльный Twitter-аккаунт воинской части Форт-Брегг неожиданно опубликовал серию твитов сексуального характера и оставил комментарий к твиту модели OnlyFans. Хотя тогда военные изначально сообщили, что их учетная запись была взломана, вскоре выяснилось, что SMM-менеджер Форт-Брегг, похоже, просто забыл переключиться на свой личный аккаунт.

 

[fenix]

14 000 пользователей Gmail уведомили об атаках APT28

Компания Google разослала уведомления 14 000 пользователей Gmail, предупредив, что те стали целью направленных фишинговых атак, организованных правительственными хакерами из группы APT28. Вчера о получении подобных писем рассказывали многие пользователи.

Huh. I've had security warnings before, but this one just came to me hours after a similar Google alert to my theatlantic colleague JamesFallows. Both of us already use Advanced Protection.
— Barton Gellman (bartongellman) October 7, 2021

nuclear shitposting so good that a foreign government wants to read my emails
— Katie Mummah (@nuclearkatie) October 6, 2021

Такие оповещения — не новость, Google с 2012 года предупреждает пользователей об интересе со стороны правительственных хакеров. Первым о новой рассылке рассказало издание The Record, которое цитирует главу Google TAG Шейна Хантли:

«В конце сентября мы обнаружили фишинговую кампанию APT28, нацеленную на большое количество пользователей Gmail (около 14 000) в самых разных отраслях, — подтверждает Хантли. — Эта конкретная кампания составила 86% от всех отправленных нами предупреждений за этот месяц».

У себя в Twitter эксперт рассказывает, что получение такого письма не означает, что аккаунт пользователя уже взломан, это лишь предупреждение.

«Если вы активист, журналист, государственный служащий или связаны с нацбезопансостью, это предупреждение вряд ли было для вас сюрпризом. [Оно означает], что в какой-то момент какая-то поддерживаемая государством организация, вероятно, попытается отправить вам что-нибудь [вредоносное]», — говорит Хантли, призывая пользователей проверить настройки безопасности своей учетной записи.

Напомню, что APT28 (она же Fancy Bear, Sednit, Sofacy, Strontium и PwnStorm) считается русскоязычной хак-группой, и ИБ-специалисты связывают ее с ГРУ. В своих атаках APT28 часто полагается на целевой фишинг, так как, взломав почтовый ящик, можно получить доступ не только к конфиденциальным документам и сообщениям, но и добраться до других людей или внутренних сетей организации.

 

[fenix]

Вымогатели атаковали одну из крупнейших в мире сетей отелей Meliá

Одна из крупнейших в мире сетей отелей Meliá Hotels International была вынуждена приостановить некоторые свои операции из-за кибератаки.

Инцидент произошел 4 октября нынешнего года и затронул в основном операции в отелях Meliá в Испании. Злоумышленники вывели из строя части внутренней компьютерной сети и некоторых web-серверов, включая систему бронирования номеров и общественные web-сайты.

Как сообщили испанские СМИ, сеть отелей стала жертвой вымогательского ПО, но ни одна кибервымогательская группировка не взяла на себя ответственность за инцидент. Кроме того, ни на одном из их "сайтов утечек" Meliá не значится, но это еще ни о чем не говорит, ведь у многих кибервымогателей нет таких сайтов.

Администрация Meliá сообщила о случившемся испанским правоохранительным органам и финансовым регуляторам. Для устранения последствий кибератаки она обратилась к киберподразделению испанской телекоммуникационной компании Telefonica.

По данным источника издания The Record, Meliá восстановила свои системы из резервных копий, и они снова заработали в течение нескольких дней после атаки. В настоящее время отель обслуживает гостей в нормальном режиме.