Обзор инцидентов безопасности за период с 6 по 12 марта 2021 года

В течение последней недели СМИ пестрели заголовками об атаках на серверы Microsoft Exchange - событии, по своим масштабам и последствиям затмившем атаку на цепочку поставок SolarWinds. Об этих и других кибератаках за период с 6 по 12 марта 2021 года читайте в нашем обзоре.

Текущая хакерская операция, в рамках которой злоумышленники массово атакуют серверы Microsoft Exchange по всему миру, за неделю разрослась настолько, что в нее включились и правительственные хакеры, и финансово ориентированные киберпреступники. Злоумышленники атакуют серверы Microsoft Exchange через четыре уязвимости ProxyLogon, в экстренном порядке исправленные Microsoft на прошлой неделе. Совокупная эксплуатация этих уязвимостей позволяет атакующим авторизоваться на сервере с правами администратора и устанавливать вредоносные программы.

В числе жертв кибератак на Microsoft Exchange, среди прочих, оказались Европейское банковское управление (European Banking Authority, EBA) и парламент Норвегии . Поскольку уязвимость связана с почтовыми серверами EBA, злоумышленники предположительно могли получить доступ к конфиденциальной информации через электронные письма.

Согласно заявлению парламента Норвегии, масштабы кибератаки пока неизвестны. После обнаружения инцидента были приняты все необходимые меры, и в настоящее время совместно с правоохранительными органами проводится расследование. Как выяснилось на данном этапе расследования, в результате кибератаки произошла утечка данных.

По оценкам специалистов, от атак с использованием уязвимостей в Microsoft Exchange могли пострадать более 60 тыс. организаций по всему миру.

В начале марта стало известно, что уязвимости ProxyLogon активно эксплуатируются работающей на китайское правительство APT-группировкой Hafnium. Вслед за ней уязвимости стали использовать китайские группировки APT27, Bronze Butler/Tick и Calypso. Теперь же стало известно , что помимо них уязвимостями также вооружились группировки Winnti Group, Tonto Team, Mikroceen и недавно обнаруженная вредоносная кампания Websiic.

Хотя атаки на серверы Exchange затмили атаку на цепочку поставок SolarWinds, исследователи безопасности продолжают свои расследования. В декабре 2020 года, когда только стало известно о взломе компании SolarWinds, специалисты Microsoft предупредили о второй киберпреступной группе, атакующей локальные установки платформы SolarWinds Orion и не связанной с атакой на цепочку поставок. Теперь экспертам удалось установить , что этой группой является SPIRAL, предположительно связанная с Китаем.

В ответ на атаку на цепочку поставок SolarWinds, в которой правительство США обвиняет Россию, администрация президента Джо Байдена работает над новыми экономическими санкциями и кибератаками против РФ. По словам чиновника Белого дома, оба ответа на противоправные действия Москвы будут осуществлены синхронно «в течение ближайших трех недель».

Помимо вышеупомянутых кибератак, традиционно не обошлось без атак с использованием вымогательского ПО. Так, правительство Испании стало жертвой атаки вымогательского ПО Ryuk, нарушившего работу IT-систем ведомства Servicio Público de Empleo Estatal (SEPE), которое управляет и выплачивает государственные пособия по безработице. Инцидент затронул серверные системы и общедоступный web-сайт госструктуры. Персоналу SEPE в 710 офисах по всей Испании пришлось отменить и перенести встречи с безработными после того, как доступ к центральным систем был заблокирован. Пятьдесят две телематические системы самообслуживания также вышли из строя в результате атаки.

Как стало известно, обнаруженный в прошлом году ботнет z0Miner теперь атакует серверы Jenkins и ElasticSearch для майнинга криптовалюты Monero (XMR). Вредоносное ПО z0Miner для майнинга криптовалюты было обнаружено в ноябре прошлого года. Майнер заразил тысячи серверов, взламывая их через уязвимости в Oracle WebLogic (CVE-2020-14882 и CVE-2020-14883). Однако согласно новому отчету специалистов подразделения Network Security Research Lab компании Qihoo 360, вредонос начал попытки эксплуатации уязвимостей, исправленных в 2015 году и ранее. В частности, ботнет пытается проэксплуатировать уязвимость удаленного выполнения кода в ElasticSearch и старые уязвимости в Jenkins.

После полуторагодичного перерыва вредоносную деятельность возобновила киберпреступная группировка FIN8, вернувшаяся с более мощной версией бэкдора BADHATCH. Бэкдор обладает расширенными возможностями, включая захват экрана, прокси-туннелирование, кражу учетных данных и бесфайловое выполнение. Новая вредоносная кампания нацелена на компании в сфере страхования и розничной торговли, а также в технологической и химической промышленности в США, Канаде, Южной Африке, Пуэрто-Рико, Панаме и Италии.

Киберпреступники отправляют тысячи фишинговых писем пользователям Microsoft Office 365 в рамках текущей вредоносной кампании с целью кражи учетных данных. Злоумышленники придают кампании вид легитимности, используя поддельную систему Google reCAPTCHA и целевые страницы доменов верхнего уровня, на которых размещены логотипы компаний жертв.