Обзор инцидентов безопасности за период с 25 февраля по 3 марта 2019 года
Коротко о главных событиях минувшей недели.
В РФ зафиксирована масштабная вредоносная кампания, направленная на российские предприятия. Особенность атак заключается в использовании устройств из сферы “Интернета вещей”, в частности маршрутизаторов, для фишинговой рассылки и маскировка под известные бренды (“Ашан”, “Магнит”, “Славнефть”, “Дикси”, Metro Cash & Carry, Philip Morris, ГК “ПИК” и пр.). По данным экспертов, злоумышленники атаковали более 50 крупных российских компаний. Атаки стартовали еще в ноябре 2018 года, основной их пик пришелся на февраль 2019 года. Названия пострадавших предприятий и сумма нанесенного ущерба не разглашаются. Киберпреступники активно атакуют предприятия в США, Европе, Азии и Южной Америке с помощью новой версии банковского трояна Qbot, предназначенной для кражи финансовой информации. Инфицировав сеть, троян осуществляет брутфорс-атаки на учетные записи пользователей из группы «Active Directory Domain Users». Вредоносное ПО фиксирует нажатия клавиш, сканирует все системные процессы на предмет связанных с банковскими операциями записей и крадет учетные данные.
Неизвестные скомпрометировали сайт посольства Бангладеш в Каире и используют его для распространения вредоносных документов MS Word, устанавливающих на компьютеры жертв загрузчики вредоносного ПО. Все попытки специалистов связаться с владельцами домена остались безрезультатными, и в настоящее время сайт все еще остается скомпрометированным.
Специалисты команды Cisco Talos зафиксировали всплеск числа атак на незащищенные кластеры Elasticsearch. Что интересно, кластеры атакуют сразу шесть разных групп. Злоумышленники эксплуатируют известные уязвимости в версии Elasticsearch 1.4.2 и более ранних и с помощью скриптов заражают системы вредоносным ПО и майнерами криптовалют.
Эксперты компании Sucuri выявили новую вредоносную кампанию, в ходе которой киберпреступники похищают данные банковских карт пользователей online-магазинов на Magento с помощью вредоносных скриптов, замаскированных под Google Analytics и Angular. По состоянию на 28 февраля поддельные скрипты присутствовали как минимум на 40 сайтах, причем под управлением не только Magento, но и других CMS, в основном WordPress, Joomla и Bitrix.
Злоумышленники воспользовались доступными в Сети PoC-кодами для новой уязвимости в ядре Drupal и теперь активно атакуют сайты на базе данной платформы. Эксперты зафиксировали сотни атак, в рамках которых киберпреступники использовали один из PoC-кодов для компрометации непропатченных сайтов на Drupal и внедрения JavaScript криптомайнера CoinIMP, предназначенного для добычи Monero.
На минувшей неделе эксперты в области безопасности заметили первую вредоносную кампанию, эксплуатирующую нашумевшую уязвимость в архиваторе WinRAR для заражения компьютеров пользователей вредоносным ПО. Специалисты обнаружили электронную рассылку, распространяющую RAR архив, который при распаковке устанавливает на компьютер инструмент Cobalt Strike Beacon, применяемый злоумышленниками для получения удаленного доступа к компьютеру.
Прошедшая неделя не обошлась и без сообщений об утечках данных. В частности, в Сети был обнаружен AWS сервер с незащищенной базой данных Elasticsearch, содержащей данные 2,4 млн фигурантов списка клиентов повышенного уровня риска американской аналитической компании Dow Jones (Dow Jones Watchlist, DJW). Записи включали различную информацию, в том числе имена, адреса, данные о поле, городах и местоположении, даты рождения, в некоторых случаях фотографии. В утечке данных представители компании обвинили стороннего подрядчика, некорректно сконфигурировавшего сервер. Доступ к базе данных уже закрыт.