Обзор инцидентов безопасности за период с 17 по 23 апреля 2021 года

Обзор инцидентов безопасности за период с 17 по 23 апреля 2021 года

Краткий обзор событий в мире ИБ за неделю.

Атаки на новые Mac на базе чипов Apple M1, появление нового вымогательского ПО Qlocker, ежедневно атакующего сотни сетевых хранилищ, и множественные атаки через уязвимости нулевого дня в Pulse Connect Secure. Об этих и других инцидентах безопасности читайте в нашем обзоре.

Из-за масштабной утечки маршрутов BGP на прошлых выходных тысячи крупных сайтов и сетей по всему миру оказались недоступными. Хотя инцидент произошел с автономной системой Vodafone (AS55410) в Индии, он затронул крупные компании в США, включая Google. Инцидент длился 10 минут, и в течение этого времени пользователи по всему миру испытывали трудности с подключением к интернет-ресурсам с IP-адресами в утекших маршрутах, ошибочно направлявших трафик на автономную систему AS55410 в Индии.

Вредоносная кампания против разработчиков ПО, использующих среду разработки Xcode, теперь нацелена на новые компьютеры Mac с чипами Apple M1. В ходе кампании злоумышленники похищают информацию из криптовалютных приложений с помощью вредоносного ПО XCSSET. Модули вредоноса также могут похищать учетные данные, делать снимки экрана, внедрять вредоносный JavaScript-код на web-сайты, похищать пользовательские данные из различных приложений и даже шифровать файлы с целью получения выкупа.

Компания Check Point сообщила о вредоносной кампании, в рамках которой хакеры распространяют вредоносное ПО ToxicEye через мессенджер Telegram. Распространяемый через фишинговые электронные письма троян использует Telegram для связи с C&C-сервером и загрузки данных. Вредонос также способен похищать данные, передавать и удалять файлы, завершать процессы, запускать кейлоггер, перехватывать контроль над микрофоном и камерой компьютера для записи аудио и видео и даже шифровать файлы с целью требования выкупа.

Мошенники установили более чем на 1 млн Android-устройств программное обеспечение, имитирующее просмотры рекламы и позволяющее заработать на этом. Зараженные приложения из Google Play имитировали показ рекламы, которую на самом деле пользователи не видели. Под воздействием вредоносного ПО мобильные устройства воспринимались как смарт-телевизоры (наподобие Roku players и Apple TV), которые якобы обрабатывали 650 млн рекламных запросов в день. В результате рекламные провайдеры платили злоумышленникам якобы за показ рекламы, потому что были уверены в реальности просмотров.

Злоумышленники рекламируют в Сети сайты, выдающие себя за магазин Microsoft Store, музыкальный сервис Spotify и online-конвертер документов. Поддельные площадки распространяют вредоносное ПО Ficker для кражи данных кредитных карт и паролей, сохраненных в web-браузерах.

Киберпреступники начали эксплуатировать уязвимость в антивирусных продуктах Trend Micro с целью получения прав администратора на взломанных компьютерах под управлением Windows. CVE-2020-24557 затрагивает два решения безопасности корпоративного уровня – Apex One и OfficeScan XG. Trend Micro исправила ее в августе 2020 года, однако, согласно опубликованному в среду, 21 апреля, дополнению к первоначальному уведомлению безопасности, компании стало известно об эксплуатации уязвимости в реальных атаках на ее клиентов.

Компания Google исправила уязвимость нулевого дня в Chrome, уже эксплуатирующуюся хакерами. Хотя CVE-2021-21224 является четвертой по счету уязвимостью нулевого дня в Chrome, обнаруженной в 2021 году, и Google продолжает замалчивать индикаторы компрометации и не представляет об атаках никакой значимой информации.

Хакеры эксплуатируют три уязвимости нулевого дня в продукте SonicWall для взлома корпоративных сетей и установки бэкдоров. Атака проходит по следующей схеме: хакеры получают доступ к установкам SonicWall ES и создают новые учетные записи администратора или похищают пароли уже существующих пользователей. Злоумышленники также извлекают из устройств SonicWall ES файлы с данными аккаунтов, в том числе учетные данные Active Directory, использующиеся приложениями для подключения к локальной сети.

Киберпреступники атакуют корпоративные сети через уязвимость нулевого дня в шлюзах Pulse Connect Secure ( CVE-2021-22893 ), для которой еще не выпущено исправление. Как минимум две хакерские группировки эксплуатируют уязвимость для атак на оборонные, правительственные и финансовые организации в США и других странах. Злоумышленники используют новую уязвимость, обнаруженную в апреле 2021 года, вместе с уже известными уязвимостями для получения первоначального доступа к корпоративным сетям. В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на установки Pulse Secure VPN.

Специалисты ИБ-компании Qingteng Cloud Security сообщили об кибератаках, нацеленных на пользователей WeChat для Windows в Китае. В ходе кибератак преступники использовали опубликованный на прошлой неделе эксплоит для Chrome. В рамках вредоносной кампании злоумышленники отправляли пользователям WeChat вредоносные ссылки. После нажатия на ссылку запускался фрагмент JavaScript-кода, который загружал и выполнял shell-код на операционных системах.

Как обычно, не обошлось и без атак вымогательского ПО. Японский производитель оптического оборудования Hoya Vision Care U.S. стал жертвой хакерской группировки Astro Team. Как сообщили представители компании, кибератака затронула лишь системы в США. Преступникам удалось похитить около 300 ГБ конфиденциальных корпоративных данных, включая финансовую информацию и сведения о производстве, а также сообщения электронной почты, пароли и отчеты о безопасности.

Операторы вымогательского ПО REvil пригрозили выложить чертежи Apple, чтобы сделать компании неприятный сюрприз перед предстоящей презентацией. REvil рекомендует Apple выкупить данные до 1 мая за 50 млн долларов. Предлагаемая техническая документация была похищена в результате недавней атаки на Quanta Computer, крупнейшего производителя компьютерной техники.

Исследователи в области кибербезопасности из компании Advanced Intelligence (AdvIntel) сообщили о новых методах взлома, используемых операторами вымогательского ПО Ryuk. По словам экспертов, преступники в последнее время чаще компрометировали открытые RDP-соединения для получения первоначального доступа в сети жертв.

Новое вымогательское ПО Qlocker ежедневно атакует сотни сетевых хранилищ (NAS) QNAP. Вымогатель упаковывает хранящиеся на устройствах файлы жертвы в защищенные паролем 7zip-архивы и требует $550 за их восстановление. О первом случае заражения Qlocker стало известно 20 апреля 2021 года (атака была осуществлена 19 апреля), и всего за день количество его жертв возросло до нескольких сотен. 22 апреля компания QNAP настоятельно рекомендовала своим пользователям установить последние обновления для трех приложений с целью предотвращения возможных атак вымогательского ПО.

Хакеры, взломавшие инструмент для разработки ПО от компании Codecov, смогли с его помощью получить доступ к сотням сетей клиентов Codecov. С помощью автоматизации злоумышленники быстро скопировали эти учетные данные с целью атаковать дополнительные ресурсы. Другими словами, масштабы инцидента оказались намного больше, чем несколько дней назад сообщила компания Codecov.

Исследователи безопасности из компании Malwarebytes сообщили о вредоносной кампании северокорейских хакеров, в рамках которой преступники осуществляют целенаправленные фишинговые атаки на пользователей в Южной Корее. Вредоносный код находится внутри растровых (.BMP) файлов изображений и позволяет злоумышленникам загружать на компьютер жертвы троян для удаленного доступа, способный похищать конфиденциальную информацию.

Исследователи в области кибербезопасности из компании Sophos рассказали о новых кибератаках, в рамках которых операторы вредоносного ПО BazarLoader используют корпоративный мессенджер Slack, инструмент BaseCamp и голосовые вызовы для обмана пользователей.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!