Обзор инцидентов безопасности за период с 17 по 23 апреля 2021 года
23 апреля 2021 года
Атаки на новые Mac на базе чипов Apple M1, появление нового вымогательского ПО Qlocker, ежедневно атакующего сотни сетевых хранилищ, и множественные атаки через уязвимости нулевого дня в Pulse Connect Secure. Об этих и других инцидентах безопасности читайте в нашем обзоре.
Из-за масштабной утечки маршрутов BGP на прошлых выходных тысячи крупных сайтов и сетей по всему миру оказались
недоступными. Хотя инцидент произошел с автономной системой Vodafone (AS55410) в Индии, он затронул крупные компании в США, включая Google. Инцидент длился 10 минут, и в течение этого времени пользователи по всему миру испытывали трудности с подключением к интернет-ресурсам с IP-адресами в утекших маршрутах, ошибочно направлявших трафик на автономную систему AS55410 в Индии.
Вредоносная кампания против разработчиков ПО, использующих среду разработки Xcode, теперь нацелена на новые компьютеры Mac с чипами Apple M1. В ходе кампании злоумышленники похищают информацию из криптовалютных приложений с помощью вредоносного ПО XCSSET. Модули вредоноса также могут похищать учетные данные, делать снимки экрана, внедрять вредоносный JavaScript-код на web-сайты, похищать пользовательские данные из различных приложений и даже шифровать файлы с целью получения выкупа.
Компания Check Point сообщила о вредоносной кампании, в рамках которой хакеры распространяют вредоносное ПО ToxicEye через мессенджер Telegram. Распространяемый через фишинговые электронные письма троян использует Telegram для связи с C&C-сервером и загрузки данных. Вредонос также способен похищать данные, передавать и удалять файлы, завершать процессы, запускать кейлоггер, перехватывать контроль над микрофоном и камерой компьютера для записи аудио и видео и даже шифровать файлы с целью требования выкупа.
Мошенники установили более чем на 1 млн Android-устройств программное обеспечение, имитирующее просмотры рекламы и позволяющее заработать на этом. Зараженные приложения из Google Play имитировали показ рекламы, которую на самом деле пользователи не видели. Под воздействием вредоносного ПО мобильные устройства воспринимались как смарт-телевизоры (наподобие Roku players и Apple TV), которые якобы обрабатывали 650 млн рекламных запросов в день. В результате рекламные провайдеры платили злоумышленникам якобы за показ рекламы, потому что были уверены в реальности просмотров.
Злоумышленники рекламируют в Сети сайты, выдающие себя за магазин Microsoft Store, музыкальный сервис Spotify и online-конвертер документов. Поддельные площадки распространяют вредоносное ПО Ficker для кражи данных кредитных карт и паролей, сохраненных в web-браузерах.
Киберпреступники начали эксплуатировать уязвимость в антивирусных продуктах Trend Micro с целью получения прав администратора на взломанных компьютерах под управлением Windows. CVE-2020-24557 затрагивает два решения безопасности корпоративного уровня – Apex One и OfficeScan XG. Trend Micro исправила ее в августе 2020 года, однако, согласно опубликованному в среду, 21 апреля, дополнению к первоначальному уведомлению безопасности, компании стало известно об эксплуатации уязвимости в реальных атаках на ее клиентов.
Компания Google исправила уязвимость нулевого дня в Chrome, уже эксплуатирующуюся хакерами. Хотя CVE-2021-21224
является четвертой по счету уязвимостью нулевого дня в Chrome, обнаруженной в 2021 году, и Google продолжает замалчивать индикаторы компрометации и не представляет об атаках никакой значимой информации.
Хакеры эксплуатируют три уязвимости нулевого дня в продукте SonicWall для взлома корпоративных сетей и установки бэкдоров. Атака проходит по следующей схеме: хакеры получают доступ к установкам SonicWall ES и создают новые учетные записи администратора или похищают пароли уже существующих пользователей. Злоумышленники также извлекают из устройств SonicWall ES файлы с данными аккаунтов, в том числе учетные данные Active Directory, использующиеся приложениями для подключения к локальной сети.
Киберпреступники атакуют корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure ( CVE-2021-22893 ), для которой еще не выпущено исправление. Как минимум две хакерские группировки эксплуатируют уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах. Злоумышленники используют новую уязвимость, обнаруженную в апреле 2021 года, вместе с уже известными уязвимостями для получения первоначального доступа к корпоративным сетям. В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на установки Pulse Secure VPN.
Специалисты ИБ-компании Qingteng Cloud Security сообщили об кибератаках, нацеленных на пользователей WeChat для Windows в Китае. В ходе кибератак преступники использовали опубликованный
на прошлой неделе эксплоит для Chrome. В рамках вредоносной кампании злоумышленники отправляли пользователям WeChat вредоносные ссылки. После нажатия на ссылку запускался фрагмент JavaScript-кода, который загружал и выполнял shell-код на операционных системах.
Как обычно, не обошлось и без атак вымогательского ПО. Японский производитель оптического оборудования Hoya Vision Care U.S. стал жертвой хакерской группировки Astro Team. Как сообщили представители компании, кибератака затронула лишь системы в США. Преступникам удалось похитить около 300 ГБ конфиденциальных корпоративных данных, включая финансовую информацию и сведения о производстве, а также сообщения электронной почты, пароли и отчеты о безопасности.
Операторы вымогательского ПО REvil пригрозили
выложить чертежи Apple, чтобы сделать компании неприятный сюрприз перед предстоящей презентацией. REvil рекомендует Apple выкупить данные до 1 мая за 50 млн долларов. Предлагаемая техническая документация была похищена в результате недавней атаки на Quanta Computer, крупнейшего производителя компьютерной техники.
Исследователи в области кибербезопасности из компании Advanced Intelligence (AdvIntel) сообщили о новых методах взлома, используемых операторами вымогательского ПО Ryuk. По словам экспертов, преступники в последнее время чаще компрометировали открытые RDP-соединения для получения первоначального доступа в сети жертв.
Новое вымогательское ПО Qlocker ежедневно атакует сотни сетевых хранилищ (NAS) QNAP. Вымогатель упаковывает хранящиеся на устройствах файлы жертвы в защищенные паролем 7zip-архивы и требует $550 за их восстановление. О первом случае заражения Qlocker стало известно 20 апреля 2021 года (атака была осуществлена 19 апреля), и всего за день количество его жертв возросло до нескольких сотен. 22 апреля компания QNAP настоятельно рекомендовала своим пользователям установить последние обновления для трех приложений с целью предотвращения возможных атак вымогательского ПО.
Хакеры, взломавшие инструмент для разработки ПО от компании Codecov, смогли с его помощью получить
доступ к сотням сетей клиентов Codecov. С помощью автоматизации злоумышленники быстро скопировали эти учетные данные с целью атаковать дополнительные ресурсы. Другими словами, масштабы инцидента оказались намного больше, чем несколько дней назад сообщила компания Codecov.
Исследователи безопасности из компании Malwarebytes сообщили о вредоносной кампании северокорейских хакеров, в рамках которой преступники осуществляют целенаправленные фишинговые атаки на пользователей в Южной Корее. Вредоносный код находится внутри растровых (.BMP) файлов изображений и позволяет злоумышленникам загружать на компьютер жертвы троян для удаленного доступа, способный похищать конфиденциальную информацию.
Исследователи в области кибербезопасности из компании Sophos рассказали о новых кибератаках, в рамках которых операторы вредоносного ПО BazarLoader используют корпоративный мессенджер Slack, инструмент BaseCamp и голосовые вызовы для обмана пользователей.
Источники[править]
| Эта статья содержит материалы из статьи «Обзор инцидентов безопасности за период с 17 по 23 апреля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |  |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
