Обзор инцидентов безопасности за период с 13 по 19 марта 2021 года

Новые подробности об атаках SolarWinds и ProxyLogon не перестают появляться в СМИ. Кроме того, китайские кибершпионы похищают данные о 5G по всему миру, Служба безопасности Украины предотвратила масштабную кибератаку русских хакеров, а платформа Nifty Gateway стала первой в истории жертвой похищения цифрового искусства. Об этих и других инцидентах безопасности за период с 13 по 19 марта 2021 года читайте в нашем обзоре.

Киберпреступники стали эксплуатировать нашумевшие уязвимости в Microsoft Exchange, известные как ProxyLogon, для заражения почтовых серверов вымогательским ПО DearCry. Данный вымогатель является новым, и название для него было выбрано по маркеру "DEARCRY!", обнаруженному в зашифрованных им файлах. Microsoft Defender детектирует его как Ransom:Win32/DoejoCrypt.A.

Правительство США обновило свое руководство для организаций по устранению уязвимостей ProxyLogon, добавив в него семь web-оболочек China Chopper, успешно использующихся киберпреступниками в атаках на почтовые серверы. После успешного взлома почтового сервера Microsoft Exchange в целях получения начального доступа в сети атакуемых организаций злоумышленники загружают web-оболочку China Chopper для обеспечения удаленного администрирования.

Одной из жертв атак с эксплуатацией ProxyLogon стала Комиссия по финансовому рынку Чили (Comisión para el Mercado Financiero, CMF). В ходе анализа инцидента, проведенного специалистами CMF и сторонними ИБ-экспертами, следов присутствия в сетях комиссии вымогательского ПО обнаружено не было. Как установили специалисты, инцидент ограничен только платформой Microsoft Exchange. В настоящее время расследование продолжается.

Компания Microsoft расследует вероятную утечку секретных данных, которые были переданы по партнерской программе Microsoft Active Protections Program (МАРР), компаниям, оказывающим услуги в сфере кибербезопасности. Одна из китайских компаний-партнеров могла тайно предоставить предполагаемым хакерам сведения о нововведениях в ПО корпорации. В пользу этой версии говорит тот факт, что в кибератаке 28 февраля использовались уязвимости в Exchange Server, устраненные в обновлении, ставшем доступным участникам МАРР 23 февраля, в то время как остальные клиенты получили к нему доступ только 2 марта.

Компания по обеспечению безопасности электронной почты Mimecast сообщила , что атаковавшие SolarWinds злоумышленники получили доступ к ее внутренней сети и похитили часть исходного кода. Как сообщили в Mimecast, специалисты обнаружили, к каким именно областям их внутренней сети получили доступ хакеры.

«Все скомпрометированные системы работали под управлением Windows и являлись периферийными по отношению к ядру нашей производственной клиентской инфраструктуры», — пояснили в компании.

На этой неделе компания Google опубликовала вторую часть отчета о загадочной киберпреступной группировке, в прошлом году атаковавшей пользователей Android, iOS, и Windows через 11 уязвимостей нулевого дня. Злоумышленники заманивали жертв на сайты (техника, известная как watering hole), переадресовывавшие их на серверы с эксплоитами для связок уязвимостей. Эти уязвимости позволяли хакерам получить первоначальный временный доступ к атакуемому устройству, обойти песочницу браузера и повысить свои привилегии в операционной системе для получения постоянного доступа.

С помощью watering hole китайские хакеры атакуют телекоммуникационные компании в Азии, Европе и США с целью кражи информации о 5G. Кибершпионы пытаются обманом заманить сотрудников компаний на вредоносный сайт, замаскированный под страницу с вакансиями в техногиганте Huawei. Сайт просит пользователей установить обновление программного обеспечения Flash, размещенное на вредоносном сайте. Вредоносный файл загружает и устанавливает бэкдор на .NET, который связывается с удаленной инфраструктурой злоумышленников через маяк Cobalt Strike.

Служба безопасности Украины (СБУ) предотвратила масштабную атаку, которую провела «подконтрольная ФСБ РФ» хакерская группировка. Хакеры пытались получить доступ к секретным данным украинских властей.

Web-сайты правительства Польши были взломаны киберпреступниками с целью распространения ложной информации о несуществующей радиоактивной угрозе. В частности, на сайтах Национального агентства по атомной энергии и Министерства здравоохранения Польши были опубликованы сообщения о предполагаемой утечке ядерных отходов в Литве, угрожающей Польше.

Платформа Nifty Gateway стала первой в истории жертвой похищения цифрового искусства. На этой неделе в Twitter появилось множество жалоб от пользователей торговой площадки для купли/продажи невзаимозаменяемых токенов (non-fungible tokens, NFT) Nifty Gateway на то, что киберворы взломали их учетные записи и похитили произведения цифрового искусства на тысячи долларов.

Хакеры атакуют разработчиков iOS через троянизированные проекты Xcode. Используемое ими вредоносное ПО XcodeSpy состоит из Run Script, добавленного в легитимный Xcode-проект под названием TabBarInteraction. Этот вредоносный скрипт запускается при каждой разработке Xcode-проекта, устанавливает LaunchAgent для сохранения персистентности после перезагрузки системы, а затем загружает вторичную полезную нагрузку - macOS-бэкдор EggShell.

Хакерам удалось взломать PlayStation 4 на прошивке 7.55. В результате этого, последние эксклюзивы Sony стали доступны в том числе и для любителей «пиратской романтики».