Обзор инцидентов безопасности за период с 18 по 24 февраля 2019 года
Коротко о главных событиях минувшей недели.
Специалисты компании Check Point впервые в истории зафиксировали кибератаку, осуществленную северокорейской киберпреступной группировкой Lazarus на цели в РФ. Данная атака может рассматриваться как знаковое событие, учитывая бытовавшее ранее мнение, что Россия является запретной целью для хакерских группировок из КНДР из-за дружеских отношений между двумя странами. Как считают исследователи, атака была осуществлена одним из подразделений группировки Lazarus – Bluenoroff, деятельность которого направлена на получение финансовой выгоды. На причастность Bluenoroff к атаке указывает использование многофункционального бэкдора KEYMARBLE, ранее замеченного в кампаниях Lazarus. Жители США столкнулись с масштабной вредоносной рекламной кампанией, ориентированной главным образом на сбор персональной и финансовой информации пользователей. Всего за три дня специалисты компании Confiant, отслеживающей вредоносную рекламу, зафиксировали более 800 млн показов вредоносных рекламных объявлений. Украденные данные киберпреступники продавали или использовали в других мошеннических операциях.
Специалисты «Лаборатории Касперского» зафиксировали атаки с использованием банковских троянов Buhtrap и RTM, предназначенных для кражи средств со счетов юридических лиц. Как отмечается, 90% атак были направлены на пользователей в России.
Киберпреступники не устают изобретать новые способы или совершенствовать уже имеющиеся методы, позволяющие добраться до персональных или финансовых данных жертв. На минувшей неделе специалисты в области кибербезопасности сообщили сразу о нескольких фишинговых кампаниях, направленных на кражу учетных данных. В частности, эксперты компании Avanan обнаружили фишинговую атаку, позволяющую обходить фильтры Microsoft для отсеивания вредоносных файлов. Проще говоря, злоумышленники могут скрывать вредоносные ссылки благодаря уязвимости в решениях для сканирования электронной почты, связанной с синтаксическим анализом ссылок.
Операторы второй фишинговой кампании применили простую, но эффективную тактику, известную как living off the land», сочетающую использование коротких скриптов и легитимного ПО. В рамках атак злоумышленники распространяли вредоносное ПО Separ, предназначенное для хищения учетных данных. От кампании, стартовавшей в январе 2019 года, пострадало уже порядка 200 организаций в странах Юго-Восточной Азии, Ближнего Востока и Северной Америки.
Особенность третьей фишинговой кампании заключалась в использовании фальшивого механизма reCAPTCHA для кражи учетных данных пользователей интернет-банкинга. Злоумышленники атаковали клиентов одного из польских банков, рассылая фишинговые письма якобы от имени сотрудников финорганизации либо с темами, призванными спровоцировать пользователя перейти по вредоносным ссылкам, содержащимся в письмах. При переходе по ссылке на устройства пользователей загружался троян, известный как Banker, BankBot, Evo-gen или Artemis.
Специалисты компании Microsoft зафиксировали кибератаки на европейские некоммерческие организации, занимающиеся политическими исследованиями. Атакам в частности подверглись Совет по международным отношениям Германии, европейские представительства Института Аспена и Германский фонд Маршалла Соединенных Штатов. В большинстве случаев злоумышленники использовали поддельные электронные адреса, выглядящие как настоящие, и вредоносные ссылки. С помощью целенаправленного фишинга киберпреступники пытались выудить у сотрудников учетные данные и заразить сети организаций вредоносным ПО.
Прошедшая неделя не обошлась без сообщений об утечках данных. В частности, из-за отсутствия парольной защиты на сервере шведского оператора связи Voice Integrate Nordic AB в открытом доступе оказались 2,7 млн записей звонков на линию медицинской консультативной службы Vårdguiden 1177. Также в Сети была обнаружена незащищенная база данных MongoDB, содержавшая конфиденциальную информацию о 458 388 тыс. жителей Дели, включая их номера Aadhaar (система идентификации граждан и резидентов Индии) и идентификационные номера удостоверений избирателя.