Обзор инцидентов информационной безопасности за период с 10 по 16 февраля 2022 года

Криптобиржа KLAYswap потеряла $1,9 млн в результате хитроумного взлома цепочки поставок, NFT-платформа Cent заблокировала транзакции из-за массового мошенничества, самый популярный телеканал Словении подвергся кибератаке, а пользователи криптобиржи Gemini лишились $36 млн из-за взлома консалтинговой компании. Об этих и других событиях в мире ИБ за период с 10 по 16 февраля 2022 года читайте в нашем обзоре.

Самый популярный телеканал Словении Pop TV пострадал от кибератаки, предположительно с использованием вымогательского ПО. Инцидент затронул компьютерную сеть Pop TV, в результате чего компания не могла использовать заставки с компьютерной графикой в вечернем выпуске ежедневных новостей 24UR. Ночной выпуск программы пришлось отменить полностью, однако ее урезанная версия все же транслировалась на сайте телеканала.

Предположительный разработчик вымогательского ПО Maze, Egregor и Sekhmet, назвавшийся Topleak, опубликовал ключи для восстановления файлов. По его словам, утечка является запланированной и не связана с недавними операциями правоохранительных органов, которые привели к захвату серверов и арестам партнеров вымогателей. Как заявил Topleak, ни один из членов его команды никогда не вернется к вымогательскому ПО, а исходный код вредоноса был уничтожен.

ИБ-эксперты раскрыли группировку низкоквалифицированных хакеров, которым удавалось как минимум пяти лет атаковать предприятия аэрокосмического, транспортного и оборонного секторов. Группировка TA2541 действует из Нигерии и полагается на вредоносные документы Microsoft Word для установки инструмента для удаленного доступа (RAT).

Неизвестные киберпреступники начали распространять поддельные установщики обновлений Windows 11 среди пользователей Windows 10, обманом заставляя их загружать и запускать инфостилер RedLine. Время атак совпадает с объявлением Microsoft о широкомасштабном этапе развертывания Windows 11 – злоумышленники были хорошо подготовлены к этому событию и ждали подходящего момента для своей операции.

Специалисты ИБ-компании SentinelLabs раскрыли деятельность APT-группы, получившей название ModifiedElephant. Группировка активна уже десять лет и действует, предположительно, в интересах правительства Индии. Она специализируется на целенаправленных атаках на активистов, правозащитников, ученых и адвокатов в Индии, и «работает» по сей день.

Хакеры шесть месяцев следили за иранской компанией через зараженный сервер HPE. Киберпреступники внедрили сложный вредонос в прошивку сервера HPE и имели удаленный доступ даже к отключенному устройству.

Не обошлось и без северокорейских хакеров. Южнокорейские исследователи из компании AhnLab зафиксировали новую волну активности со стороны северокорейской хакерской группировки Kimsuky (также известной как TA406). Киберпреступники используют общедоступные инструменты для удаленного доступа с открытым исходным кодом и специальный бэкдор Gold Dragon. В текущей кампании Kimsuky использует инструмент для удаленного доступа xRAT для осуществления атак на южнокорейские организации. Кампания началась 24 января 2022 года и продолжается до сих пор.

Американская финансовая организация IRA Financial Trust, помогающая людям управлять своими индивидуальными пенсионными счетами, стала жертвой взлома, в результате которого злоумышленники похитили у ее клиентов $36 млн в криптовалюте. Согласно опубликованному на прошлой неделе уведомлению Gemini, платформе известно о случившемся, но сама она взломана не была и по-прежнему защищена.

«Хотя счета IRA Financial обслуживаются на платформе Gemini, Gemini не управляет безопасностью систем IRA Financial. Безопасность платформы Gemini не была затронута, и мы предложили IRA Financial помощь в расследовании», - говорится в уведомлении.

Злоумышленники похитили порядка $1,9 млн у южнокорейской криптовалютной платформы KLAYswap с помощью хитроумного взлома протокола BGP в серверной инфраструктуре одного из ее поставщиков. Атаке подвергся популярный южнокорейский мессенджер KakaoTalk 3 февраля нынешнего года. Хакеры воспользовались техникой, известной как перехват BGP, которая обычно используется для перехвата интернет-маршрутов и переадресации пользователей на вредоносные сайты.

NFT-платформа Cent заблокировала большинство транзакций, поскольку пользователи продают токены контента, который им не принадлежит. По словам учредителя Cent Кэмерона Хеджази (Cameron Hejazi), это является «фундаментальной проблемой» быстрорастущего рынка цифровых активов. Хеджази назвал три основные проблемы на платформе Cent: продажа неавторизованных копий чужих NFT, чеканка NFT-токенов чужого контента и продажа наборов NFT-токенов, похожих на ценные бумаги. По его словам, проблемы становятся неконтролируемыми, поскольку пользователи «чеканят, и чеканят, и чеканят поддельные цифровые активы».

Специалисты компании Google выпустили версию Chrome 98.0.4758.102 для Windows, macOS и Linux, исправляющую опасную уязвимость нулевого дня. Уязвимость активно эксплуатируется злоумышленниками в реальных атаках. Проблема представляет собой уязвимость после освобождения в анимации ( CVE-2022-0609 ) и имеет высокий уровень опасности. Google зафиксировала атаки, эксплуатирующие данную уязвимость, однако не предоставила никакой дополнительной информации об этих инцидентах или технические подробности о проблеме.

Специалисты компании Adobe выпустили исправление для критической уязвимости нулевого дня в продуктах с открытым исходным кодом Adobe Commerce и Magento. Уязвимость активно эксплуатируется хакерами в реальных атаках. Проблема ( CVE-2022-24086 ) получила оценку 9,8 баллов из максимальных 10 по шкале CVSS и связана с некорректной проверкой вводимых которая может быть использована для выполнения произвольного кода. Об уязвимости стало известно после того, как специалисты компании Sansec зафиксировали атаки группировки Magecart, в ходе которых преступники скомпрометировали 500 сайтов на базе Magento 1.