Обзор инцидентов безопасности за период с 27 января по 3 февраля 2022 года

DDoS-атака рекордной мощности, кража $80 млн у DeFi-платформы, атаки кибервымогателей, APT и NFT-мошенников – об этих и других событиях в мире ИБ за период с 27 января по 3 февраля 2022 года читайте в нашем обзоре.

Группа брокеров начального доступа под названием Prophet Spider связана с вредоносной кампанией, в ходе которой эксплуатируется уязвимость Log4Shell ( CVE-2021-44228 ) в серверах VMware Horizon. Киберпреступники использовали уязвимость для установки полезной нагрузки второго этапа на скомпрометированные системы.

Кастомизированная версия публично доступного эксплоита для Log4Shell стала использоваться в атаках на сетевые установки Ubiquiti с установленным программным обеспечением UniFi. Первые атаки начались 20 января 2022 года. Злоумышленники использовали PoC-эксплоит, ранее опубликованный на GitHub. Разработанный компанией Sprocket Security PoC-эксплоит позволяет эксплуатировать уязвимость Log4Shell в утилите Log4j на UniFi-устройствах Ubiquiti.

Федеральное ведомство по охране конституции Германии (Bundesamt für Verfassungsschutz, BfV) предупредило о текущих атаках, координируемых китайской хакерской группировкой APT27 (также известной как TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger и LuckyMouse). Вредоносная кампания нацелена на немецкие коммерческие организации. Злоумышленники используют троян для удаленного доступа HyperBro для внедрения бэкдоров в сети. HyperBro позволяет хакерам обеспечивать себе персистентность в сетях жертв, действуя как бэкдор в памяти с возможностями удаленного администрирования. Группировка стремится украсть конфиденциальную информацию, а также атаковать клиентов своих жертв (атака на цепочку поставок).

Высокопоставленные правительственные чиновники и крупные компании оборонной промышленности в Западной Азии стали целью вредоносной кампании с использованием вредоносного ПО Graphite. По словам специалистов из компании Trellix (появившейся в результате слияния McAfee Enterprise и FireEye), операция проводилась с октября по ноябрь прошлого года и была разделена на несколько этапов с целью избежать обнаружения. Цепочка заражения началась с загрузчика Microsoft Excel, использующего уязвимость в MSHTML ( CVE-2021-40444 ) для выполнения кода в памяти, и продолжилась вредоносным ПО под названием Graphite. Как предполагают исследователи, атаки могут быть связаны с группировкой APT28 (также известной как Fancy Bear, Pawn Storm, Sednit, Strontium и Tsar Team).

Иранская киберпреступная группировка Charming Kitten (также известная как Phosphorous, APT35 и TA453) обновила свой арсенал вредоносных инструментов, включив в него новый имплантат на основе PowerShell под названием PowerLess. Новый бэкдор способен загружать и выполнять дополнительные модули, такие как инфостилеры и кейлоггеры. Кроме того, с тем же разработчиком бэкдора потенциально могут быть связаны ряд других артефактов вредоносного ПО, включая аудиозаписывающий модуль, более ранний вариант инфостилера и то, что исследователи считают незавершенным вариантом программы-вымогателя на языке .NET.

Французское правительство инициировало расследование после заявления кибервымогательской группировки LockBit о похищении данных из компьютерных систем Министерства юстиции. Министерство юстиции Франции было добавлено на сайт утечек LockBit вместе с данными десятков европейских компаний и городов, в том числе французского города Сен-Клод.

Тайваньская компания по производству электроники Delta Electronics, являющаяся подрядчиком Apple, Tesla, HP и Dell, стала жертвой кибератаки с использованием вымогательского ПО. Delta Electronics является крупнейшим в мире поставщиком импульсных источников питания, и объем ее продаж в прошлом году составил более $9 млрд. Как сообщило новостное издание CTWANT, инцидент затронул только некритические системы и не оказал существенного влияния на работу компании. Кибератака произошла 18 января нынешнего года.

Две нефтяные компании в Германии также подверглись кибератаке. Киберпреступники парализовали работу нефтебаз Oiltanking и Mabanaft по всей территории страны. В результате инцидента пострадали 233 заправочные станции (в основном, на севере Германии), что составляет 1,7% от общего числа АЗС по стране. На некоторых из них нельзя было расплатиться кредитной картой или изменить цены на топливо, но в некоторых случаях можно было заплатить наличными.

Компания QNAP в принудительном порядке обновила сетевые устройства хранения данных (NAS) клиентов для защиты от программы-вымогателя DeadBolt, которая зашифровала более 3,6 тыс. устройств. Операторы вымогателя предположительно эксплуатируют уязвимость нулевого дня для взлома устройств QNAP и шифрования файлов с помощью DeadBolt, который добавляет расширение .deadbolt к именам файлов. Вымогатель также заменяет обычную HTML-страницу авторизации в системе запиской требования выкупа в размере 0,03 биткойна (около $1,1 тыс.) в обмен на ключ для дешифрования и восстановления данных.

Qubit Finance на базе Binance Smart Chain (BSC) подверглась хакерской атаке. По оценке компании по информационной безопасности и аналитике блокчейнов PeckShield, злоумышленники вывели из пула проекта цифровые активы стоимостью около $80 млн. Пока детали взлома неизвестны, однако аналитики отметили, что хакеры воспользовались эксплоитом кроссчейн-сервиса QBridge, который позволил им выпустить «огромное» количество токенов xETH. Последние использовались для обеспечения нелегитимного займа на платформе.

Крупные суммы биткойнов, украденные с криптовалютной биржи Bitfinex шесть лет назад, были перемещены хакерами на новый адрес. 94 643,29 биткойнов (примерно $3,55 млрд) были перемещены в ходе 23 транзакций из кошелька, связанного с кражей у Bitfinex в 2016 году. Маловероятно, что средства будут обналичены в ближайшее время, полагают эксперты. Криптовалюта, полученная в результате взлома, медленно отмывается уже более пяти лет, и обналичивание больших объемов за короткий период времени привлечет нежелательное внимание.

Мошенники смогли обманом заставить коллекционера, собирающего NFT-картинки с изображениями обезьян и мутантов, передать им свою коллекцию, которую они затем успешно продали более чем за полмиллиона долларов. В понедельник, 31 января, пользователь Twitter, называющий себя larrylawliet (@iloveponzi), сообщил о потере своей коллекции и попросил помощи. По словам исследователя безопасности, специализирующегося на криптовалюте, злоумышленники, похоже, смогли заставить larrylawliet разрешить своему кошельку взаимодействовать с их кошельком. Этот вид мошенничества приобретает все большую популярность в криптомире, в особенности сейчас, когда NFT-искусство стоит тысячи, а то и миллионы долларов.

Microsoft сообщила о сдерживании самой мощной на сегодняшний день DDoS-атаки на пользователей облачной платформы Azure. Согласно отчету корпорации, мощность DDoS-атаки составила 3,47 терабит в секунду. DDoS-атаку, совершенную в ноябре 2021 года, в Microsoft Azure назвали мощнейшей в истории интернета. Как сообщается, для организации DDoS были задействованы более 10 тысяч источников из десятков стран. В их числе — США, Китай, Южная Корея и Россия.