Обзор инцидентов безопасности за период с 10 по 16 апреля 2021 года
16 апреля 2021 года
Уже ставшие привычными атаки вымогательского ПО, постепенно становящиеся трендом атаки на цепочки поставок, утечки данных и новые эксплоиты – об этих и других событиях в мире ИБ за период с 10 по 16 апреля 2021 года читайте в нашем обзоре.
Одна из крупнейших во Франции фармацевтических групп и вторая крупнейшая дермато-косметологическая лаборатория в мире Pierre Fabre стала жертвой вымогательского ПО REvil. Сначала злоумышленники потребовали у нее выкуп в размере $25 млн, но, когда жертва отказалась платить, удвоили сумму.
Атака с использованием вымогательского ПО на компьютерные сети поставщика услуг складского хранения и транспортировки Bakker Logistiek привела к тому, что в супермаркетах Нидерландов закончился
сыр. Компания Bakker Logistiek, предоставляющая нидерландским супермаркетам услуги по складированию с кондиционированием воздуха и транспортировке продуктов, не могла принимать заказы от клиентов, находить товары на складах и планировать рейсы.
В последнее время все чаще стали появляться сообщения об атаках на цепочку поставок, когда злоумышленники внедряют в легитимное ПО вредоносный код в целях получения доступа к сетям использующих это ПО организаций. К примеру, в настоящее время специалисты в области реагирования на инциденты безопасности стараются оценить риски, возникшие в результате взлома инструмента для разработки ПО Codecov Bash Uploader. Инцидент произошел в январе 2021 года, но был обнаружен только 1 апреля. В результате взлома произошла утечка токенов, ключей и учетных данных организаций по всему миру.
Специалисты «Лаборатории Касперского» обнаружили в официальном приложении APKPure вредоносное ПО. Вредонос был встроен в рекламный SDK в версии APKPure 3.7.18. В зависимости от инструкций оператора и схемы монетизации (реклама или плата за установку), ПО способно показывать рекламу каждый раз после разблокирования Android-устройства, повторно открывать web-страницы с рекламой, нажимать на объявления для оформления платных подписок и устанавливать другое потенциально вредоносное программное обеспечение без согласия пользователей.
В менеджере пакетов npm был обнаружен
вредоносный пакет, созданный для осуществления атак на NodeJS-разработчиков, использующих операционные системы Linux и macOS. Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся более чем в 356 тыс. репозиториях на GitHub. Web-browserify разработан путем объединения сотен легитимных компонентов с открытым исходным кодом и выполняет разведку на зараженной системе.
Специалисты компании Microsoft выявили
вредоносную кампанию, в рамках которой злоумышленники используют контактные формы на легитимных web-сайтах с целью распространения вредоносного ПО IcedID среди различных компаний и предприятий.
Метод атак очень прост и основан на использовании автоматических скриптов для посещения web-сайтов легитимных предприятий и заполнения контактных форм с фиктивными юридическими угрозами.
Что касается нашумевших уязвимостей в Microsoft Exchange, известных как ProxyLogon, то, как стало известно, киберпреступники начали использовать их для установки ПО для майнинга криптовалюты Monero.
Не обошлось на прошлой неделе и без утечки данных. Так, хакеры бесплатно выложили в Сеть данные 1,3 млн пользователей соцсети Clubhouse. Опубликованная информация включает: имя учетной записи, имя пользователя, привязанные аккаунты в Twitter и Instagram, количество подписчиков и подписок, дата создания аккаунта. Кроме того, злоумышленники рассекретили данные, которые указывают на то, кто был приглашен на беседу, и когда пользователь зарегистрировался в Clubhouse.
В очередной раз в открытом доступе оказалась
полная база данных мобильного приложения Elector, использовавшегося для регистрации избирателей на парламентских выборах в Израиле, которые прошли 23 марта 2021 марта. База данных содержит информацию 6,5 млн пользователей, в том числе имена и фамилии, номера удостоверений личности, адреса, номера телефонов (не для всех избирателей), электронные адреса (не для всех избирателей), даты рождения и сведения о половой принадлежности.
Группа ученых из Амстердамского свободного университета и Швейцарской высшей технической школы Цюриха представила
новый вариант атаки Rowhammer. Метод, получивший название SMASH (Synchronized MAny-Sided Hammering, что можно дословно перевести как «синхронизированная многосторонняя ударная обработка»), позволяет осуществлять атаки с использованием JavaScript на современные модули ОЗУ DDR4 в обход всех мер безопасности, принятых производителями электроники против атаки Rowhammer за последние семь лет.
Индийский исследователь безопасности Раджвардхан Агарвал (Rajvardhan Agarwal) опубликовал PoC-эксплоит для недавно обнаруженной уязвимости, затрагивающей Google Chrome, Microsoft Edge и другие браузеры на движке Chromium, такие как Opera и Brave. По его словам, PoC-эксплоит разработан для уязвимости, эксплуатировавшейся на хакерских соревнованиях Pwn2Own, которые проходили на прошлой неделе.
Через несколько дней исследователи опубликовали еще один PoC-эксплоит,
позволяющий выполнение кода в Google Chrome и Microsoft Edge. Авторы эксплоита не предоставили никаких подробностей о его создании, но, скорее всего, они изучили журнал изменений V8 и собрали PoC-код для одной из исправленных уязвимостей, как это сделал Раджвардхан Агарвал.
Источники[править]
Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 10 по 16 апреля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.