Обзор инцидентов безопасности за период с 11 по 17 ноября 2021 года

Пакистанские хакеры создали целый магазин Android-приложений, чтобы атаковать противников нового режима в Афганистане, компания Cloudflare отразила многовекторную DDoS-атаку, мощность которой достигала почти 2 Тбит/с, ботнет Emotet снова начал проявлять признаки жизни после долгого отсутствия, а испанцы чуть не лишились любимого пива из-за атаки хакеров на пивзавод Damm. Об этих и других громких событиях в мире ИБ за неделю читайте в нашем обзоре.

Второй по величине производитель пива в Испании Damm был вынужден приостановить производство на своей основной пивоварне за пределами Барселоны в результате кибератаки. Атака на несколько часов полностью парализовала завод в Эль-Прат-де-Льобрегат. Помимо всемирно известного бренда Estrella Damm, испанская пивоварня Damm производит несколько других брендов пива (Voll-Damm, Xibeca, Estrella Levante). К большому облегчению любителей пива, благодаря имеющимся запасам производитель смог выполнить все поставки в бары, рестораны и супермаркеты.

Кибервымогательская группировка Pysa (другое название Mespinoza) одновременно выложила на своем сайте утечек десятки жертв, сразу после того, как правительство США объявило о принятии ряда мер против кибервымогательских группировок. В настоящее время на сайте утечек Pysa представлено 50 компаний, университетов и организаций. Однако у многих специалистов истинное время осуществления атак вызывает вопросы, поскольку Pysa обычно добавляет жертв на свой сайт через некоторое время после атаки.

Хакеры взломали внешнюю систему электронной почты Федерального бюро расследований (ФБР) США и разослали от его имени десятки тысяч электронных писем с предупреждением о возможной кибератаке. Глава одного из отделов компании по кибербезопасности BlueVoyant Остин Берглас пояснил, что у ФБР есть несколько систем электронной почты. По его словам, та, которая была взломана, общедоступна. Ее могут использовать агенты и сотрудники ФБР для электронной переписки с гражданами. Специалист отметил, что для передачи секретной информации агенты используют отдельную систему электронной почты.

Как стало известно, в течение девяти месяцев неизвестные хакеры находились на серверах с данными клиентов крупной государственной компании водоснабжения в Квинсленде (Австралия) SunWater. У злоумышленников был доступ к данным клиентов SunWater в период с августа 2020 года по май 2021 года. Похоже, что их не интересовала персональная информация, поскольку они просто внедрили на сервер кастомное вредоносное ПО для увеличения трафика online-видеоплатформы.

Специалисты ИБ-компании Trend Micro рассказали о киберпреступной группировке Void Balaur, предлагающей услуги хакинга за деньги. Уже более пяти лет она похищает электронные письма и высокочувствительную информацию и продает ее как преступникам, преследующим финансовую выгоду, так и шпионам. Жертвами Void Balaur являются более 3,5 тыс. человек и организаций различных сфер деятельности (телекоммуникационной сферы, торговой, финансовой, здравоохранения и биотехнологической) по всему миру, в том числе руководители российских телекоммуникационных компаний. Свои услуги группировка рекламирует на русскоязычных киберпреступных форумах.

Пакистанская хакерская группировка создала и управляла поддельным магазином Android-приложений с целью заражения вредоносным ПО устройства лиц, связанных с бывшим правительством Афганистана до и во время его свержения Талибаном. Согласно новому отчету специалистов Facebook, хакерская операция проводилась с апреля по август нынешнего года группировкой SideCopy. Злоумышленники зарегистрировали в Facebook поддельные профили и, выдавая себя за молодых девушек, связывались с намеченными жертвами с целью убедить их нажать на вредоносную ссылку.

Новая хакерская группировка под названием Moses Staff, преследующая политические мотивы, предположительно стоит за волной целенаправленных атак на израильские организации, начавшихся в сентябре 2021 года. Хакеры похищали из атакованных сетей конфиденциальную информацию, после чего шифровали файлы своих жертв без возможности восстановить доступ или договориться о выкупе. Группировка открыто заявляет о том, что атакует израильские организации с целью причинения ущерба путем утечки похищенных чувствительных данных и шифрования сетей жертв без требования выкупа.

Сотрудники ИБ-компании Sophos Labs стали жертвами спама с использованием социальной инженерии. По словам исследователей, в ходе новой фишинговой кампании BazarBackdoor. В одном из писем, отправленном «помощником главного менеджера Sophos», несуществующий Адам Уильямс (Adam Williams) пытался узнать, почему исследователь не ответил на жалобу клиента. Письмо также содержало ссылку на сообщение в формате PDF. Ссылка на самом деле была ловушкой и раскрыла экспертам «новый» метод, используемый для развертывания вредоносного ПО BazarBackdoor.

Исследователи в области кибербезопасности из компании Cleafy рассказали о новом трояне для Android, который использует специальные возможности устройств для хищения учетных данных пользователей банковских и криптовалютных сервисов в Италии, Великобритании и США. Вредоносная программа, получившая название SharkBot, предназначена для поражения в общей сложности 27 сервисов, включая 22 неназванных международных банка в Италии и Великобритании, а также пять приложений для работы с криптовалютой в США. Основная цель SharkBot — инициировать денежные переводы со взломанных устройств с помощью системы автоматических переводов, минуя механизмы многофакторной аутентификации.

Специалисты компании Cloudflare нейтрализовали мультивекторную распределенную атаку типа «отказ в обслуживании» (DDoS), максимальная мощность которой составила почти 2 Тбит/с. Атака продолжалась одну минуту, включала DNS-усиление и UDP-флуд, а также была осуществлена с использованием примерно 15 тыс. ботов. Боты запускали вариант вредоносного кода Mirai на скомпрометированных IoT-устройствах и экземплярах GitLab, содержащих уязвимость CVE-2021-22205 .

Исследователи в области кибербезопасности из Cryptolaemus , GData и Advanced Intel выявили случаи установки вредоносным ПО TrickBot загрузчика для вредоносной программы Emotet, ликвидированного в начале 2021 года правоохранительными органами. Если раньше Emotet устанавливал TrickBot, то теперь злоумышленники используют метод, получивший название Operation Reacharound, для восстановления ботнета Emotet с использованием существующей инфраструктуры TrickBot. Эксперты не зафиксировали никаких признаков того, что ботнет Emotet рассылает спам, и не обнаружили каких-либо вредоносных документов, загружающих вредоносное ПО. Отсутствие спам-рассылки, вероятно, связано с перестройкой инфраструктуры Emotet с нуля.

Операторы нового ботнета под названием BotenaGo используют более тридцати эксплоитов в ходе вредоносной кампании, нацеленной на маршрутизаторы и IoT-устройства. BotenaGo написан на языке Golang (Go), популярность которого в последние годы растет среди киберпреступников. Только 6 из 62 антивирусных движков на VirusTotal помечают образец BotenaGo как вредоносный, а некоторые идентифицируют его как Mirai.

ИБ-специалисты из компании Zimperium обнаружили текущую вредоносную кампанию, в ходе которой киберпреступники используют шпионское ПО PhoneSpy для отслеживания жителей Южной Кореи. PhoneSpy маскируется под Android-приложения с целью кражи конфиденциальной информации, шпионажа и получения удаленного доступа к устройствам. Мошеннические приложения маскируются под безобидные утилиты для изучения йоги и просмотра фотографий. Кроме того, вредоносное ПО не зависит от Google Play Store или неофициальных магазина приложений, что указывает на использование хакерами социальной инженерии или метода перенаправления web-трафика.

Финансируемые правительством хакеры использовали политические новостные сайты в Гонконге для заражения компьютеров, работающих под управлением macOS, бэкдором путем эксплуатации связки из двух уязвимостей, в том числе одной ранее неизвестной. Атаки начались как минимум с августа 2021 года. С их помощью злоумышленники получали привилегии суперпользователя на атакуемой macOS и загружали, а затем устанавливали на нее вредоносное ПО MACMA или OSX.CDDS. Этот никогда ранее не встречавшийся вредонос обладает функциями, характерными как для бэкдора, так и для шпионского ПО.

Северокорейская киберпреступная группировка Lazarus Group снова атакует исследователей в области кибербезопасности. На этот раз хакеры используют троянизированную версию популярного приложения для реверс-инжиниринга IDA Pro. Это приложение преобразует исполняемый файл в язык ассемблера, позволяя исследователям и программистам анализировать работу программы и обнаруживать потенциальные ошибки. Исследователи безопасности обычно используют IDA для анализа легитимного программного обеспечения на наличие уязвимостей и вредоносных программ, а также для выявления вредоносного поведения. Однако IDA Pro является дорогостоящим приложением, и некоторые исследователи скачивают пиратскую взломанную версию. Как и в случае с любым пиратским программным обеспечением, всегда существует риск запуска вредоносных исполняемых файлов.

Компания HPE сообщила , что репозитории данных для ее платформы мониторинга сети Aruba Central были скомпрометированы, и злоумышленникам удалось получить доступ к собранным данным о пользовательских устройствах. Aruba Central – облачное сетевое решение, позволяющее администраторам управлять большими сетями и компонентами с одной панели. Согласно сообщению HPE, злоумышленники получили «ключ доступа», с помощью которого могли видеть все хранящиеся в среде Aruba Central пользовательские данные. Ключ находился в распоряжении хакеров в течение 18 дней (с 9 по 27 октября 2021 года), а затем HPE отозвала его.

Специалисты из компании TrendMicro рассказали о новой вредоносной кампании, в ходе которой киберпреступная группировка TeamTNT атакует некорректно настроенные серверы Docker. Преступники преследуют три разные цели — установить майнеры криптовалюты Monero, сканировать Сеть на предмет других доступных уязвимых установок Docker и выполнить побег из контейнера для доступа к основной сети.