Rose debug info
---------------

Антифишинг-дайджест № 307

Обзор новостей информационной безопасности со 14 по 19 января 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Сообщается о целевых фишинговых атаках на правительственные организации России в которых использовались вложения в формате VHDX, содержащие RAT-трояна, и документ-приманку на русском языке.

Целевая атака обычно начиналась с поддельного письма, снабженного вложением с русскоязычным именем. В качестве примеров аналитики приводят образцы фальшивок, имитирующих внутренние рассылки Россотрудничества и Министерства внешних связей Астраханской области.

Поддельное письмо Министерства внешних связей Астраханской области.
Статья об импортозамещении от 2015 года также использовалась в качестве приманки.

Использование контейнеров во вложениях помогает злоумышленникам обходить антивирусы и защитные механизмы Windows.

Обнаружена массовая рассылка фальшивых писем от имени управления Роскомнадзора по Центральному федеральному округу.

Сообщения содержали уведомления о якобы найденной запрещенной информации и предупреждения о возможной блокировке. Роскомнадзор предупреждает, что они не отправляют таких сообщений и просит не открывать вложения и не переходить по ссылкам в письмах.

В Роскомнадзоре пояснили, что на фальшивое сообщение указывают и следующие неточности:

  • Неправильный формат адреса электронной почты, который не соответствует формату, используемому Роскомнадзором;
  • Несоответствие формату официальных документов, используемых Роскомнадзором;
  • Отсутствие логотипа Роскомнадзора в письме.

Роскомнадзор просит получателей таких писем не открывать вложения и не переходить по ссылкам, а также обратиться за дополнительной информацией на официальный сайт Роскомнадзора или в службу поддержки.

Представители криптовалютного кошелька MetaMask сообщили о новом виде мошенничества, с которым массово столкнулись его пользователи.

Так называемая «атака адресов с отравлением» (Address Poisoning Attack, APA) позволяет мошенникам похитить криптовалюту без использования каких-либо уязвимостей сервиса.

Схема мошенничества

  1. Мошенники отслеживают в блокчейне последние транзакции и находят самые подходящие для подобной манипуляции кошельки. Например, такие, откуда часто совершаются переводы на один и тот же адрес.
  2. Далее мошенник использует генератор адресов, чтобы создать себе криптокошелёк с похожим или почти идентичным адресом, куда жертва недавно переводила средства.
  3. Злоумышленник переводит небольшое количество криптовалюты на адрес отправителя. Этот шаг гарантирует, что транзакция отобразится в истории кошелька жертвы.
  4. Поскольку MetaMask сокращает адреса в истории транзакций, отображаемый адрес похож на более раннюю транзакцию пользователя. Отправителю кажется, что этот кошелёк принадлежит лицу, которому он переводил криптовалюту ранее.
  5. В качестве последнего шага злоумышленник просто ждёт и надеется, что при следующем переводе жертва не будет внимательно сверять адрес, и осуществит нужную транзакцию.

Чтобы обезопасить пользователей сервиса, MetaMask предлагает использовать встроенную адресную книгу. В ней можно сохранять адреса, с которыми часто происходит обмен криптовалютой.

Мошенники крадут популярные Телеграм-каналы, накручивая на них подписчиков с помощью ботов.

Схема кампании

  1. Мошенники выбирают раскрученные блоги или чаты и внедряют туда ботов.
  2. Поскольку боты не проявляют никакой активности, ухудшается ключевой для блогеров показатель вовлеченности аудитории (отображает, какой процент подписчиков проявляет активность в отношении каждой публикации), и владелец на время закрывает свой канал, чтобы не потерять рекламодателей.
  3. Как только он это делает, злоумышленники присваивают имя канала и используют его для мошеннической рекламы, например, криптовалютных схем, либо продают. Стоимость популярного канала — от 300 тыс. рублей

Как защититься от этого способа угона канала

  1. Добавить в настройки канала опцию «заявки на вступление».
  2. Добавить в канал специального бота с капчей, который заставляет всех новых подписчиков проходить проверку на «человечность».
  3. Если боты всё-таки атаковали канал, лучше не закрывать его, а связаться с поддержкой Телеграм и сообщить о проблеме.

Атаки и уязвимости

В промышленных маршрутизаторах InHand InRouter302 и InRouter615 обнаружены пять уязвимостей, одновременное использование которых может позволить злоумышленнику удаленно выполнять код от имени пользователя root.

Большинство уязвимостей связаны с протоколом для передачи последовательности сообщений с телеметрическими данными (Message Queuing Telemetry Transport, MQTT).

Затронутые устройства используются для работы промышленных роботов, нефтяных скважин, лифтов, медицинского оборудования, станций зарядки электромобилей и интеллектуальных счетчиков.

Инциденты

Сервис рассылок Mailchimp подвергся хакерской атаке, в ходе которой злоумышленники получили доступ к внутреннему инструменту для поддержки клиентов и администрирования учетных записей. Сообщается, что из-за взлома скомпрометированы данные 133 клиентов.

Атака была обнаружена 11 января 2023 года, когда неизвестные получили несанкционированный доступ к инструментам для поддержки клиентов. По данным представителей Mailchimp, перед этим злоумышленники завладели учетным данным сотрудников, благодаря использованию социальной инженерии, которую применили как к самим сотрудникам, так и к подрядчиками компании.

Хотя расследование случившегося еще продолжается, сообщается, что во время атаки не была скомпрометирована информация о банковских картах или паролях клиентов.

Одним из пострадавших от этой атаки клиентов стал гигант e-commerce, разрабатывающий плагин WooCommerce для WordPress, которым пользуются более пяти миллионов клиентов. Разработчики WooCommerce уже разослали клиентам письма с предупреждением о том, что в ходе взлома Mailchimp были раскрыты их имена, URL-адреса магазинов, email-адреса и почтовые адреса.

Телеграм-канал «Утечки информации» сообщает, что в открытом доступе оказался дамп, содержащий 189 833 строки с данными пользователей сервиса «1С:Урок».

Сервис предназначен для использования электронных образовательных ресурсов учителями при подготовке к урокам и проведении занятий с учащимися начальной и средней школы, а также для самостоятельного освоения предложенного материала школьниками дома, говорится на сайте сервиса.

Слитые данные содержат:

  • email-адреса (185 000 уникальных адресов);
  • хешированные пароли (MD5 с солью и SHA512-Crypt);
  • ФИО;
  • телефоны (7500 уникальных номеров);
  • даты создания профилей и последнего входа в систему (с 21.08.2020 по 12.01.2023).

Из-за атаки программы-вымогателя норвежская компания DNV (Det Norske Veritas) была вынуждена отключить серверы, подключенные к собственной системе ShipManager.

«В ходе атаки пострадали 70 клиентов компании и около 1000 судов. Клиенты по-прежнему могут использовать бортовые и автономные функции программного обеспечения ShipManager. Нет никаких признаков того, что затронуто какое-либо другое критически важное программное обеспечение или данные. Отключение сервера не влияет на другие службы DNV», — заявили представители компании.

Группа хактивистов Enlace Hacktivista утверждает, что анонимный источник передал ей ПО и документацию компаний Cellebrite и MSAB, которые предоставляют правоохранительным органам многих стран мира инструменты для взлома мобильных устройств и проведения других киберкриминалистических операций.

Всего в руках хактивистов оказались 1,7 ТБ данных Cellebrite и 103 ГБ данных MSAB. Файлы уже опубликованы в открытом доступе и доступны для скачивания через сайт DDoSecrets, сайт Enlace Hacktivista и через торрент.

В общий доступ попали данные одного из крупнейших российских девелоперов — группы «Самолет».

Выложенные файлы содержат 20 500 уникальных строк. Основной массив представляют контрагенты девелопера, но присутствуют сведения и о более чем 4 000 сотрудников компании. Несмотря на кажущуюся незначительность данных: ФИО, почта, телефон, с учетом специфики работы группы компаний, они могут быть использованы в сценариях man in the middle, ведь в базе присутствует информация о статусе партнера или сотрудника компании, ФИО менеджера, телефоны, должности и так далее.

Размещенные сведения содержат данные за период с февраля 2021 по апрель 2022 года.

На хакерском форуме были опубликованы данные, якобы принадлежащие пользователям «Почты Mail.ru».

В компании уже прокомментировали ситуацию и сообщили, что выложенный в открытый доступ дамп связан с утечкой неназванного стороннего сервиса, произошедшей еще в начале 2022 года, а сам сервис защищен.

Сообщается, что в общей сложности утечка содержит 3 505 916 записей, среди которых:

  • ID;
  • email-адреса на доменах mail.ru, bk.ru, inbox.ru и так далее (3 409 693 уникальных адреса);
  • телефоны (1 418 082 уникальных российских номера);
  • имя/фамилия;
  • имя пользователя.

Эксперты отмечают, что «выборочная проверка случайных записей из этого дампа через форму восстановления доступа на сайте account.mail.ru показала, что зарегистрированные номера телефонов пользователей совпадают (в открытой их части) с тем, что указано в дампе».

В открытый доступ попали данные 3,2 млн застрахованных от рака клиентов Aflac и 760 000 владельцев полисов автострахования Zurich на территории Японии.

Пока неизвестно, удалось ли злоумышленникам украсть личную информацию клиентов из других стран. Обе компании заявили, что начали расследование и сотрудничают с японскими властями. Всю вину организации возложили на стороннего подрядчика, серверы которого были взломаны 7 января.

Неясно, связаны ли обе утечки данных между собой. Ни Aflac, ни Zurich не стали называть подрядчика, ограничившись извинениями и словами о том, что взломанный поставщик услуг был из США.

Aflac сообщила, что хакеры украли следующую информацию о клиентах:

  • Фамилии;
  • Возраст;
  • Пол;
  • Данные страховых полисов.

Представители компании считают, что злоумышленники не смогут навредить клиентам с таким набором данных на руках.

Согласно сообщению Zurich, киберпреступники похитили набор данных, содержащий:

  • Полные имена;
  • Пол;
  • Дату рождения;
  • Адреса электронной почты;
  • Номера страховых полисов.

Компания утверждает, что хакеры не смогли украсть информацию о банковских счетах или номера кредитных карт клиентов.

Поделиться
Отправить
Запинить
 115   2 мес   дайджест   фишинг