Обзор инцидентов безопасности за прошлую неделю

image

Теги: вредоносное ПО, PoS-троян, APT-кампания

На прошлой неделе возобновились споры по поводу использования шифрования.

На прошлой неделе основное внимание общественности было приковано к заново разгоревшимся спорам по поводу использования шифрования в телекоммуникационных сервисах. Причиной этому послужили теракты в Париже 13 ноября 2015 года. Кроме того, за период с 16 по 22 ноября стало известно о кампании по распространению CTB Locker, новом вредоносном ПО для PoS-терминалов, «возрождении» набора эксплоитов BlackHole и т.д. Предлагаем вашему вниманию краткий обзор главных событий в сфере ИБ за прошлую неделю.

В связи с трагическими событиями в Париже 13 ноября внимание властей снова сфокусировалось на сервисах, поддерживающих шифрование. Несмотря на отсутствие прямых доказательств, правоохранители уверены, что для планирования и координации своих действий террористы ИГИЛ (запрещено в России) использовали безопасные платформы, в том числе Telegram.

Операторы сервиса быстро отреагировали на эту информацию, начав массовую блокировку связанных с организацией общественных каналов, чем вызвали немалое беспокойство пользователей. Представители Telegram заверили, что не перехватывают личную переписку, а только блокируют публичные каналы, через которые велась пропаганда ИГИЛ, однако многие стали сомневаться в безопасности мессенджера. Несмотря на предпринимаемые операторами сервиса меры, террористы разработали целую схему обхода блокировки и продолжили вести пропаганду, вербуя приспешников.

В связи с терактами активисты Anonymous, ранее объявившие «войну» ИГИЛ, развернули масштабную кампанию #OpParis, в рамках которой было заблокировано несколько десятков связанных с деятельностью террористов учетных записей в Twitter.

На прошлой неделе эксперты из Microsoft сообщили об обнаружении крупной АРТ-группы под названием Strontium. Жертвами хакеров являются госорганы, военные организации, в особенности НАТО, дипломаты, журналисты и политические деятели. Группировка осуществляет фишинг-атаки на пользователей продуктов от Microsoft с целью хищения их учетных данных Outlook. Злоумышленники рассылают фишинговые письма перед проводимыми компанией важными мероприятиями и публикуют в соцсетях вредоносные ссылки.

Исследователи Palo Alto Networks сообщили о кампании по кибершпионажу, которая может быть продолжением операции Dark Seoul/Operation Troy, прекратившей свою активность два года назад. Такой вывод был сделан на основе анализа серии атак, совершенных на сайты транспортного сектора в Европе в июне 2015 года.

Помимо Dark Seoul, эксперты обнаружили «возвращение» уже устаревшего набора эксплоитов BlackHole. Исследователям из Malwarebytes удалось обнаружить это благодаря тому, что злоумышленник оставил сервер со всей инфраструктурой BlackHole открытым в интернете.

Исследователи из Heimdal Security сообщили о новой модификации банковского трояна Dyreza, предназначенной для Windows 10 и браузера Microsoft Edge. Вредоносное ПО не только инфицирует системы с целью хищения финансовой информации, но также объединяет их в ботнет. До настоящего времени троян Dyreza инфицировал порядка 80 тысяч компьютеров.

Эксперты компании Lookout сообщили о вредоносном ПО для Android под названием Shedun, которому для установки не требуется разрешение пользователя. Для вредоносной активности он использует службу Accessibility Service, которая обеспечивает доступ к событиям, возникающим в пользовательском интерфейсе.

На прошлой неделе появилась информация о новой вредоносной кампании, жертвами которой стали 60 web-сайтов с общей аудиторией в 20 млн человек ежемесячно. По словам эксперта компании Cyphort Ника Билогорского (Nick Bilogorskiy), атака затрагивает ресурсы, пользующиеся услугами российского хостинг-провайдера «Рустелеком». Через взломанные сайты с помощью набора эксплоитов Nuclear распространяется троян-шифровальщик CTB Locker.

Эксперты из Proofpoint  опубликовали информацию о вредоносном ПО AbaddonPOS, нацеленном на PoS-терминалы. Вредонос считывает все процессы в терминалах в поисках данных кредитных карт. После обнаружения необходимой информации AbaddonPOS отправляет их на C&C-сервер с помощью реализованного двоичного протокола.

Прошлая неделя ознаменовалась также обнаружением нового трояна для Linux, получившего название Linux.Encoder2. Одними из его основных отличий от Linux.Encoder1 является не сохранение прав доступа к файлу в заголовке зашифрованного файла, использование другого генератора псевдослучайных чисел и применение для шифрования библиотеки OpenSSL.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.