Обзор инцидентов безопасности за период с 20 по 26 апреля 2020 года

Обзор инцидентов безопасности за период с 20 по 26 апреля 2020 года

Тема коронавируса по-прежнему остается актуальной у киберпреступников.

На прошлой неделе фишинг с использованием темы COVID-19 по-прежнему оставался актуальной угрозой. Кроме того, «трудятся» не покладая рук операторы вымогательского ПО, инфостилеров и ботнетов. Об этих и других угрозах, с которыми на прошлой неделе сталкивались предприятия, госучреждения и частные лица, читайте в нашем обзоре.

Специалисты компании FireEye раскрыли подробности о кибератаках на администрацию города Ухань и Министерство по управлению чрезвычайными ситуациями КНР. Согласно новому отчету, по крайней мере с января по апрель 2020 года предположительно вьетнамская киберпреступная группа APT32 (также известная как OceanLotus) атакует китайские правительственные организации с помощью фишинговых писем с целью сбора информации о коронавирусе.

Хотя различные компании и организации регулярно сообщают о фишинговых атаках с эксплуатацией темы COVID-19, Министерство обороны США впервые сообщило о них только на прошлой неделе. Удалось ли злоумышленникам добиться желаемого и проникнуть в сети Пентагона, неизвестно.

Одним из нашумевших событий в мире ИБ на прошлой неделе стало обнаружение двух ранее неизвестных уязвимостей в почтовом клиенте iOS. По словам выявивших проблему специалистов компании ZecOps, в прошлом году жертвами атак с эксплуатацией этих уязвимостей стали несколько их клиентов. Тем не менее, Apple, хотя и не отрицает наличие уязвимостей, не нашла никаких свидетельств их эксплуатации в реальных атаках.

Если атаки на владельцев iPhone через уязвимости в iOS под сомнением, то атака на криптовалютную биржу Uniswap и лендинговую платформу Lendf.me через уязвимость в расширенном стандарте токенов ERC-777 вполне реальна. Злоумышленник не только похитил $25 млн в криптовалюте, но и умудрился оставить следы.

Американская корпорация Cognizant, специализирующаяся на IT-услугах и имеющая клиентов в банковской и нефтегазовой отраслях, стала жертвой атаки с использованием вымогательского ПО Maze. Атака вызвала «перебои в обслуживании некоторых клиентов».

Что касается уязвимостей нулевого дня, то, как стало известно на прошлой неделе, киберпреступники активно эксплуатируют 0Day-уязвимость в межсетевых экранах Sophos XG Firewall. Хакеры использовали уязвимость для загрузки вредоносного ПО на устройство, похищающего данные из XG Firewall. Украденная информация могла включать логины и хеши паролей для учетной записи администратора и пользовательских аккаунтов, используемых для удаленного доступа к устройству.

Помимо прочего, на прошлой неделе появились сообщения о новой версии ботнета Hoaxcalls, распространяемой через неисправленную уязвимость в ZyXEL Cloud CNM SecuManager. Предыдущие версии вредоноса распространялись через уязвимости в DrayTek Vigor2960 и Grandstream UCM6200.

Несколько инцидентов безопасности всколыхнуло игровую индустрию. К примеру, на форуме 4chan были опубликованы исходные коды двух видеоигр компании Valve – CS:GO и Team Fortress 2. Кроме того, на взломы учетных записей массово жалуются пользователи Nintendo. В ряде случаев взломщики покупали игры Nintendo, но в основном с помощью привязанной к учетной записи банковской карты или PayPal-аккаунта они приобретали игровую валюту Fortnite.

Также стало известно, что китайская киберпреступная группировка Winnti пыталась проникнуть во внутреннюю сеть южнокорейской игровой компании Gravity, разработавшей массовую многопользовательскую ролевую online-игру Ragnarok Online. Попытки взлома предположительно осуществлялись в начале этого года, однако остается неизвестным, были ли они успешными.

Не обошлось на прошлой неделе без сообщений об атаках на промышленный сектор. Так, специалисты Bitdefender рассказали о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.

В свою очередь, эксперты компании Cisco Talos сообщили о новой вредоносной кампании против правительственных учреждений и промышленных предприятий Азербайджана, в ходе которой злоумышленники используют тему коронавируса с целью заражения сетей трояном для удаленного доступа (RAT).

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!