Обзор инцидентов безопасности за период с 16 по 22 декабря 2021 года

Последняя неделя прошла под знаменем Log4Shell – уязвимости в популярной библиотеке журналирования Log4j, которой вооружились как APT-группировки, так и операторы вымогательского ПО. Кроме того, хакеры украли $30 млн с платформы Grim Finance, новый вариант ботнета Phorpiex похитил полмиллиона в криптовалюте, а один из крупнейших поставщиков природного газа Superior Plus стал жертвой вымогательского ПО. Об этих и других событиях в мире ИБ читайте в нашем обзоре.

Первым вымогательским ПО, начавшим эксплуатировать уязвимость Log4Shell (CVE-2021-44228), стал Khonsari. Вредонос, по сути, являющийся не вымогателем, а вайпером, атакует серверы Minecraft. Шведский производитель Minecraft, компания Mojang Studios, на прошлой неделе выпустила экстренное обновление безопасности, исправляющее эту уязвимость.

Уязвимостью Log4Shell также вооружились операторы нашумевшего вымогательского ПО Conti. С ее помощью они получают быстрый доступ к внутренним установкам VMware vCenter Server, после чего шифруют виртуальные машины с целью получения выкупа. Таким образом, Conti стала первой «топовой» киберпреступной группировкой, вооружившейся этой уязвимостью.

Кроме того, киберпреступники начали использовать уязвимость Log4Shell для заражения уязвимых устройств банковским трояном Dridex или оболочкой Meterpreter. Злоумышленники используют вариант эксплоита Log4j RMI (Remote Method Invocation), заставляя уязвимые устройства загружать и выполнять класс Java с удаленного сервера, управляемого хакерами.

Уязвимость Log4Shell также эксплуатировалась в атаке на Министерство обороны Бельгии. Как сообщил пресс-секретарь Минобороны Оливье Северин (Olivier Severin), ведомство обнаружило атаку на свою компьютерную сеть, подключенную к интернету. Для изоляции пораженных частей были быстро приняты соответствующие меры. Кто организовал кибератаку, неизвестно.

Один из крупнейших поставщиков природного газа Superior Plus сообщил , что стал жертвой кибератаки с использованием вымогательского ПО. Известно, что инцидент начался в воскресенье, 12 декабря, но кто стоит за атакой и какие системы были затронуты, не сообщается. Superior «принял меры по усилению безопасности своих систем и снижению влияния на данные и операции». Какое влияние оказал инцидент на операции, еще не установлено.

Связанная с правительством Ирана APT-группировка MuddyWater развернула бэкдор в сети одной из азиатских авиакомпаний. Злоумышленники развернули PowerShell-бэкдор под названием Aclip, использующий API мессенджера Slack для C&C-операций, в частности для связи и передачи данных. Поскольку в большинстве случаев к одной и той же атакуемой среде получают доступ сразу множество иранских хакерских группировок, не исключено, что в операцию были вовлечены и другие киберпреступники. Тем более что иранские правительственные хакеры атакуют авиапромышленность (в основном с целью шпионажа) уже как минимум полдесятилетия.

Хакерская группировка Clop, якобы связанная с Россией, выставила на продажу данные, похищенные у британской полиции. Секретная информация британских правоохранителей якобы была украдена российскими IT-специалистами из-за «досадного нарушения безопасности». Хакеры решили выложить часть данных в открытый доступ после того, как компания Dacoll, обеспечивающая доступ к полицейским компьютерам, отказалась платить выкуп. Dacoll не раскрывает сумму, которую потребовали хакеры.

Пользователей криптовалюты в Эфиопии, Нигерии, Индии, Гватемале и на Филиппинах атакует новый вариант ботнета Phorpiex под названием Twizt, похищающий виртуальные монеты. За последний год злоумышленники похитили $500 тыс. Новая версия вредоносного ПО позволяет ботнету успешно работать без активных C&C-серверов и опустошать 35 кошельков, связанных с разными блокчейнами, в том числе Bitcoin, Ethereum, Dash, Dogecoin, Litecoin, Monero, Ripple и Zilliqa.

Криптовалютная платформа Grim Finance, запущенная на базе Fantom Opera подверглась хакерской атаке. В результате с платформы были похищены криптовалюты более чем на $30 млн. Как сообщается, хакеры получили доступ к кошельку платформы через функцию beforeDeposit(), используя вредоносный токен-контракт. Эксплоит был обнаружен в контракте криптовалютного кошелька.

Сеть Комиссии США по религиозной свободе содержала бэкдор, предоставлявший хакерам полную видимость и возможность контролировать сеть. По словам специалистов ИБ-компании Avast, многочисленные попытки проинформировать ведомство о проблеме оказались безуспешными. Комиссия США по религиозной свободе занимается мониторингом соблюдения религиозной свободы во всем мире и постоянно взаимодействует с прочими американскими ведомствами и неправительственными организациями.

Основатель компании SEO Scout, предлагающей инструменты для SEO, Джонни Платт (Jonny Platt) накануне зимних праздников стал жертвой майнеров криптовалюты, лишившись $45 тыс. Как сообщил Платт на своей странице в Twitter, проснувшись однажды утром, он обнаружил неожиданный «подарок» – его учетная запись в Amazon Web Services (AWS) была взломана и в течение нескольких недель использовалась для майнинга криптовалюты Monero. В результате Платту был выставлен счет на $45 тыс.

Компания Meta Platforms (ранее Facebook) подала федеральный иск в штате Калифорния против злоумышленников, которые управляли более чем 39 тыс. фишинговых web-сайтов. Сайты были замаскированы под цифровую собственность техногиганта, обманом заставляя ничего не подозревающих пользователей разглашать свои учетные данные. Схема социальной инженерии включала создание мошеннических сайтов, которые маскировались под страницы авторизации в сервисы Facebook, Messenger, Instagram и WhatsApp. Жертвам предлагалось ввести свои учетные данные, которые впоследствии похищались преступниками. Технический гигант требует $500 тыс. от анонимных злоумышленников.