Обзор инцидентов безопасности за период с 25 ноября по 1 декабря 2021 года

Ботнет неизвестного предназначения атакует VoIP-серверы, лавина вредоносных SMS-сообщений накрыла Финляндию, хакеры майнят криптовалюту через взломанные учетные записи в облачных сервисах, интригующий троян для Linux выполняет свои действия "31 февраля" - об этих и других событиях в мире ИБ за период с 25 ноября по 1 декабря 2021 года читайте в нашем обзоре.

Мировой мебельный гигант IKEA расследует текущую вредоносную кампанию, направленную на его компьютерные системы. По словам представителей компании, были обнаружены свидетельства, указывающие на компрометацию серверов Microsoft Exchange. Преступники распространяли электронные письма, замаскированные под настоящий ответ на существующую цепочку писем. Перехват цепочки сообщений электронной почты является одним из уникальных идентификаторов текущей кампании по распространению вредоносного спама SquirrelWaffle . Киберпреступники используют уязвимости ProxyShell и ProxyLogin в серверах Microsoft Exchange для распространения вредоносного ПО Qakbot.

Сингапурская грузовая судоходная компания Swire Pacific Offshore (SPO) подверглась атаке со стороны операторов вымогательского ПО Clop. В результате атаки злоумышленники похитили данные компании. Swire Pacific Offshore обнаружила несанкционированное сетевое проникновение в свои IT-системы, которое привело к компрометации некоторых данных сотрудников и коммерческой информации. Кибератака не повлияла на глобальные операции SPO.

Японский многонациональный конгломерат Panasonic сообщил о кибератаке, в ходе которой неизвестные злоумышленники получили доступ к серверам в его сети. Корпорация Panasonic выявила взлом своих сетей 11 ноября 2021 года. Как показали результаты внутреннего расследования, во время атаки был осуществлен доступ к некоторым данным на файловом сервере. Хотя компания не сообщила, когда именно была совершена кибератака, японские информагентства Mainichi и NHK заявили, что злоумышленники имели доступ к серверам Panasonic в период с июня по ноябрь нынешнего года.

Американская биофармацевтическая компания Supernus Pharmaceuticals подтвердила , что стала жертвой кибератаки с использованием вымогательского ПО, в результате которой злоумышленники похитили из ее сети огромные массивы данных. Судя по всему, инцидент произошел в середине ноября 2021 года. Атакующие получили доступ к данным на определенных системах, развернули вымогательское ПО, отрезавшее сотрудникам компании доступ к файлам, а затем пригрозили обнародовать похищенную информацию, если не будет уплачен выкуп. Несмотря на это, заявляют в компании, атака не оказала существенного влияния на ее работу, и ее операции не были сорваны.

Американская телекоммуникационная компания AT&T "приняла меры по устранению" ботнета, состоящего более чем из 5,7 тыс. VoIP-серверов в ее сети. Все зараженные устройства - это EdgeMarc Enterprise Session Border Controllers. По данным подразделения Netlab китайского техногиганта Qihoo 360, злоумышленники взламывали необновленные серверы EdgeMarc через старую уязвимость CVE-2017-6079 и устанавливали модульное вредоносное ПО EwDoor. Все взломанные серверы находятся на территории США.

Специалисты Федерального управления по информационной безопасности Германии и компании Cisco предупредили о кибератаках, в ходе которых преступники эксплуатируют уязвимость CVE-2021-40438 в HTTP-сервере Apache. Проблема была обнаружена группой безопасности Apache HTTP при исследовании другой уязвимости. Уязвимость затрагивает версии сервера 2.4.48 и ранее и была исправлена в середине сентября нынешнего года с выпуском версии 2.4.49.

Компания Google опубликовала отчет «Threat Horizons» («Горизонты угроз»), подготовленный ее командой по кибербезопасности. В нем сообщается , что хакеры используют взломанные учетные записи Google Cloud для майнинга криптовалюты. "Было замечено, что злоумышленники занимались майнингом криптовалюты в скомпрометированных инстансах Cloud", - указано в отчете Google. Число взломанных аккаунтов, участвующих в майнинге, огромно - 86%.

Президент Российской премьер-лиги (РПЛ) Ашот Хачатурянц заявил, что стадион "ВЭБ-Арена", где в воскресенье, 28 октября, прошел матч ЦСКА – "Зенит", подвергся хакерской атаке, приведшей к отключению камер видеонаблюдения. Камеры записи были отключены с 57 минуты.

Новая иранская киберпреступная группировка эксплуатирует критическую уязвимость ( CVE-2021-40444 ) в платформе Microsoft Windows MSHTML для осуществления атак на говорящих на фарси пользователей. Преступники используют новый PowerShell-скрипт под названием PowerShortShell для кражи информации с зараженных систем. Почти половина целей данной вредоносной кампании находится в США, при этом атаки, вероятно, нацелены на "иранцев, которые живут за границей и могут рассматриваться как угроза исламскому режиму Ирана".

Финансируемые правительством КНДР хакеры выдают себя за рекрутеров Samsung и отправляют поддельные предложения работы сотрудникам южнокорейских ИБ-компаний, продающих антивирусное ПО. Как сообщается в первом выпуске нового отчета компании Google под названием Threat Horizons, рассылаемые хакерами электронные письма содержат вредоносный PDF-документ якобы с описанием предлагаемой должности в Samsung. Обнаружившие вредоносную кампанию специалисты Google Threat Analysis Group отнесли ее на счет северокорейской киберпреступной группировки, атаковавшей исследователей безопасности через Twitter и соцсети в 2020-2021 годах.

Перебежчики из КНДР, журналисты, освещающие новости о стране, и организации в Южной Корее стали мишенями в новой вредоносной кампании киберпреступной группировки ScarCruft (также известной как APT37, Reaper Group, InkySquid и Ricochet Chollima). Группировка ScarCruft начала свою деятельность как минимум с 2012 года и известна атаками на государственный и частный секторы в Южной Корее с целью хищения конфиденциальной информации.

Финляндия борется с нашествием "мусорных" текстовых сообщений неизвестного происхождения, заражающих устройства граждан вредоносным ПО. По словам специалиста по информационной безопасности Национального центра кибербезопасности Айно-Марии Вяюрюнен (Aino-Maria Vayrynen), сообщения с ссылками на вредоносное ПО FluBot исчисляются миллионами. Второй по величине оператор связи в Финляндии Telia, к примеру, перехватил сотни тысяч таких сообщений.

Киберпреступник или киберпреступники, называющие себя AgainstTheWest (ATW), заявили о взломе китайской телестанции. Судя по скриншотам , опубликованным vx-underground, злоумышленники запланировали прямую трансляцию на 53 минуты и предоставили QR-код для просмотра.

Как сообщается в новом отчете специалистов компании HP, последние три месяца хакеры активно используют дроппер RATDispenser для доставки на атакуемые системы как минимум восьми разных троянов для удаленного доступа (RAT), таких как STTRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader и Ratty. В общей сложности специалисты HP выявили порядка 155 образцов нового вредоноса. В настоящее время есть только три версии RATDispenser, а значит, он существует не более нескольких месяцев.

Исследователи в области кибербезопасности из Sansec Threat Research обнаружили новый троян для удаленного доступа для систем под управлением Linux, в котором используется невиданный ранее метод скрытности. Вредоносное ПО маскирует свои вредоносные действия путем планирования их выполнения на 31 февраля — в несуществующий календарный день. Вредоносная программа, получившая название CronRAT, позволяет похищать данные сайтов электронной коммерции на стороне сервера в обход браузерных решений безопасности. Эксперты обнаружили образцы RAT в нескольких интернет-магазинах, в том числе в крупнейшем магазине неуказанной страны.