Blog

O’tgan haftaning asosiy voqealari haqida qisqacha ma’lumot.

Rossiyada Rossiya kompaniyalariga qaratilgan keng ko’lamli zararli dasturlar kampaniyasi aniqlandi. Hujumlar fishing elektron pochtalari uchun Internet of Things qurilmalaridan, xususan, routerlardan foydalanadi va taniqli brendlar (Auchan, Magnit, Slavneft, Dixy, Metro Cash & Carry, Philip Morris, PIK Group va boshqalar) sifatida niqoblanadi. Mutaxassislarning fikriga ko’ra, hujumchilar 50 dan ortiq yirik Rossiya kompaniyalarini nishonga olishgan. Hujumlar 2018-yil noyabr oyida boshlangan va 2019-yil fevral oyida eng yuqori cho’qqisiga chiqqan. Jabrlangan kompaniyalarning nomlari va yetkazilgan zarar miqdori oshkor qilinmagan. Kiberjinoyatchilar moliyaviy ma’lumotlarni o’g’irlash uchun mo’ljallangan Qbot bank troyanining yangi versiyasidan foydalanib, AQSh, Yevropa, Osiyo va Janubiy Amerikadagi kompaniyalarni faol ravishda nishonga olishmoqda. Tarmoqni yuqtirgandan so’ng, troyan Active Directory domen foydalanuvchilari guruhiga tegishli foydalanuvchi akkauntlariga qo’pol hujumlarni amalga oshiradi. Zararli dastur tugmachalarni bosishlarni qayd etadi, bank bilan bog’liq yozuvlarni tekshirish uchun barcha tizim jarayonlarini skanerlaydi va hisob ma’lumotlarini o’g’irlaydi.

Noma’lum shaxslar Qohiradagi Bangladesh elchixonasi veb-saytini buzib kirishdi va undan jabrlanuvchilarning kompyuterlariga zararli dasturlarni yuklab oluvchilarni o’rnatadigan zararli MS Word hujjatlarini tarqatish uchun foydalanmoqdalar. Tadqiqotchilarning domen egalari bilan bog’lanishga bo’lgan barcha urinishlari muvaffaqiyatsiz bo’ldi va sayt hali ham buzilganligicha qolmoqda.

Cisco Talos jamoasi mutaxassislari himoyalanmagan Elasticsearch klasterlariga hujumlarning keskin oshishini qayd etishdi. Qizig’i shundaki, klasterlar bir vaqtning o’zida oltita turli guruh tomonidan nishonga olinmoqda. Hujumchilar Elasticsearch 1.4.2 va undan oldingi versiyalaridagi ma’lum zaifliklardan foydalanmoqdalar va tizimlarni zararli dasturlar va kriptovalyuta qazuvchilar bilan zararlash uchun skriptlardan foydalanmoqdalar.

Sucuri mutaxassislari kiberjinoyatchilar Google Analytics va Angular niqobi ostidagi zararli skriptlardan foydalanib, Magento onlayn-do’kon foydalanuvchilaridan kredit karta ma’lumotlarini o’g’irlaydigan yangi zararli dastur kampaniyasini aniqladilar. 28-fevral holatiga ko’ra, bu soxta skriptlar nafaqat Magento, balki boshqa CMS, asosan WordPress, Joomla va Bitrix kabi platformalarda ishlaydigan kamida 40 ta veb-saytda mavjud edi.

Hujumchilar Drupal yadrosidagi yangi zaiflik uchun onlayn mavjud bo’lgan konsepsiya isboti (PoC) kodidan foydalanishdi va endi platformaga asoslangan veb-saytlarga faol ravishda hujum qilishmoqda. Mutaxassislar kiberjinoyatchilar yamoqlanmagan Drupal veb-saytlarini buzish va Monero qazib olish uchun mo’ljallangan JavaScript vositasi bo’lgan CoinIMP kriptomaynerini kiritish uchun PoC kodlaridan birini ishlatgan yuzlab hujumlarni hujjatlashtirdilar.

O’tgan hafta xavfsizlik bo’yicha mutaxassislar WinRAR arxivatoridagi yuqori darajadagi zaiflikdan foydalanuvchilarning kompyuterlarini zararli dasturlar bilan yuqtirish uchun foydalangan birinchi zararli kampaniyani aniqladilar. Tadqiqotchilar RAR arxivini tarqatuvchi elektron pochta kampaniyasini aniqladilar, u ochilganda, tajovuzkorlar kompyuterga masofadan kirish uchun foydalanadigan Cobalt Strike Beacon vositasini o’rnatadi.

O’tgan hafta ma’lumotlarning o’g’irlanishi haqidagi xabarlarsiz o’tmadi. Xususan, Amerika tahlil kompaniyasi Dow Jones Watchlist (DJW) dagi 2,4 million kishining ma’lumotlarini o’z ichiga olgan himoyalanmagan Elasticsearch ma’lumotlar bazasiga ega AWS serveri internetda topildi. Yozuvlarda ismlar, manzillar, jins, shahar va joylashuv ma’lumotlari, tug’ilgan sanalar va ba’zi hollarda fotosuratlar kabi turli xil ma’lumotlar mavjud edi. Kompaniya vakillari ma’lumotlarning o’g’irlanishida serverni noto’g’ri sozlagan uchinchi tomon pudratchini aybladilar. Ma’lumotlar bazasiga kirish allaqachon bloklangan.