Заражение майнером в 164 странах, Израиль под ударом хакеров и другие события кибербезопасности

1 year ago 31

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Более 250 000 компьютеров заразились майнером после скачивания торрент-файла.
Червь-шпион пять лет скрывал свои настоящие функции.
Турецкие хакеры заявили о взломе систем Минобороны Израиля.
Под блокировку в РФ попали 167 VPN и свыше 200 почтовых сервисов.

Более 250 000 компьютеров заразились майнером после скачивания торрент-файла

Специалисты Positive Technologies обнаружили кампанию autoit stealer по распространению скрытого майнера через пиратское ПО на торрентах. Она уже заразила более 250 000 компьютеров под управлением Windows в 164 странах.

Подавляющее число пострадавших — более 200 000 — находится в РФ, Украине, Беларуси и Узбекистане.

В основном жертвами становятся обычные пользователи, но встречаются также госструктуры, нефтяные и газовые компании, медучреждения, ритейл и IT-фирмы.

Заражение происходит после скачивания вредоносного торрент-файла с сайта topsoft.space. Попадая на устройство жертвы, малварь собирает информацию о системе, устанавливает майнер XMRig и архивирует содержимое папки Telegram — tdata.

Последнее позволяет злоумышленнику получить доступ к сессии пользователя в мессенджере, незаметно следить за перепиской и выгружать данные из аккаунта. Даже при наличии двухфакторной аутентификации в виде пароля хакер может его успешно сбрутфорсить.

В качестве контрольного сервера выступает Telegram-бот. Проанализировав сообщения из него, Positive Technologies установили предполагаемого оператора вредоноса под ником splokk.

По совокупности данных эксперты считают, что вероятная цель атаки — перепродажа похищенных доступов в Telegram.

Червь-шпион пять лет отвлекал внимание от своих функций встроенным майнером

Вредоносный фреймворк StripedFly с 2017 года выдавал себя за обычный скрытый криптомайнер, однако в реальности оказался сложной малварью с функцией шпионажа. Об этом сообщили исследователи «Лаборатории Касперского».

#StripedFly, it's just another #CryptoMiner, right? That's what we thought as well. However after initial analysis we discovered something much more complex and insidious... 🧵 pic.twitter.com/6sKnpOKd2n

— Securelist (@Securelist) October 26, 2023

StripedFly ориентирован на компьютеры под управлением Windows и Linux. В течение пяти лет его жертвами стали более миллиона пользователей по всему миру.

Свежий анализ показал, что полезная нагрузка из нескольких модулей позволяет вредоносу выступать в роли APT, криптомайнера, программы-вымогателя и шпиона.

Каждые два часа он собирает с зараженного устройства учетные данные для входа на различные сайты и для подключения к Wi-Fi, а также персональную информацию пользователя, включая имя, адрес, номер телефона, место работы и должность.

Малварь может незаметно делать скриншоты с устройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.

Помимо этого, StripedFly обладает сложной системой маскировки трафика через Tor, автоматически обновляется с доверенных платформ и распространяется по аналогии с червями через кастомную версию эксплойта EternalBlue.

В «Лаборатории Касперского» предупредили, что кампания активна до сих пор, хотя и в меньших масштабах.

Турецкие хакеры заявили о взломе систем Минобороны Израиля

Хакерская группа Ayyıldız Tim из Турции утверждает, что взломала системы министерства обороны Израиля и получила доступ к секретным данным о его деятельности и кадровом составе.

İsrail Savunma Bakanlığa ait çok gizli askeri veriler, tatbikat verileri ve personel verileri Ayyıldız Tim tarafından hacklenip ele geçirilmiştir.

Türk’ün gücünü göreceksiniz!

Sessizce nöbetteyiz!#AyyıldızTim 🇹🇷 pic.twitter.com/wRkJur8fZt

— Ayyıldız Tim 🇹🇷 (@AyyildizTim209) October 22, 2023

В своем Х хакеры также сообщили о планах атаковать фондовую биржу, электроэнергетическую инфраструктуру и системы плотин Израиля "после поступления соответствующего приказа".

Оборонное ведомство не комментировало ситуацию.

В Испании арестовали 34 кибермошенника, отмывавших деньги через криптовалюты

Полиция Испании ликвидировала киберпреступную группировку, которая посредством различных схем похищала конфиденциальные данные и деньги. От ее действий пострадали свыше 4 млн человек.

По данным следствия, злоумышленники занимались телефонным скамом, проводили масштабные фишинговые рассылки под видом поставщиков электроэнергии и сервисов доставки.

Кроме того, они взламывали различные финансовые компании, связывались с их клиентами и просили выплатить кредит, якобы выданный им в результате технической ошибки. Похищенные пользовательские данные также перепродавались другим киберпреступникам.

В общей сложности злоумышленники получили около $3,2 млн и отмывали их в том числе через криптовалюты.

Правоохранители арестовали 34 человека и провели 16 обысков, в ходе которых конфисковали огнестрельное и холодное оружие, четыре люксовых автомобиля, €80 000 наличными, а также компьютеры с базой данных четырех миллионов граждан.

В CCleaner подтвердили утечку из-за инцидента с Cl0p MOVEit Transfer

Разработчики утилиты для очистки файлов CCleaner разослали пользователям письма с информацией о взломе, произошедшем из-за инцидента с Cl0p MOVEit Transfer.

По их словам, злоумышленники смогли похитить данные некоторых сотрудников и клиентов, включая их имя, адрес электронной почты и номер телефона.

Тем не менее CCleaner классифицировала нарушение как утечку с низким уровнем риска.

Компания продолжает проверку и намерена предоставить всем пострадавшим бесплатные услуги мониторинга даркнета для поиска персональной информации.

Атаковавший Cisco хакер модифицировал бэкдор для маскировки

В минувшие выходные количество скомпрометированных из-за уязвимости нулевого дня устройств Cisco под управлением IOS XE резко сократилось с 40 000 до нескольких сотен.

Please note that a potential trace cleaning step is underway to hide the implant (following exploitation of #CVE-2023-20198) 1/2 https://t.co/i9y2MzwpZ5

— CERT Orange Cyberdefense (@CERTCyberdef) October 21, 2023

Как выяснили специалисты Fox-IT NCC Group злоумышленники модифицировали бэкдор для сокрытия от обнаружения во время сканирования. Теперь он отвечает только в случае установки правильного HTTP-заголовка авторизации.

По оценкам экспертов, количество затронутых устройств по-прежнему составляет не менее 37 000, включая промышленные Ethernet-коммутаторы Stratix от Rockwell Automation.

В свою очередь Cisco сообщила об обнаружении новой уязвимости нулевого дня, использованной в атаке для повышения привилегий и получения root-доступа.

Патчи для обеих проблем уже доступны на сайте компании наряду с механизмом проверки рабочей станции на наличие импланта.

Эксперты не исключили, что массовый взлом устройств на IOS XE может оказаться приманкой для сокрытия реальных целей злоумышленников.

Под блокировку в РФ попали 167 VPN и более 200 почтовых сервисов

Роскомнадзор в рамках противодействия угрозам безопасности и устойчивости рунета ограничил работу 167 VPN, более 590 000 информационных ресурсов и свыше 200 почтовых сервисов. Об этом сообщает Интерфакс.

При этом средняя эффективность блокировки VPN оценена в 90%.

Кроме того, РКН заблокировал работу 2000 фишинговых сайтов, 84 приложений и более 20 центров распространения вредоносного ПО.

Курируемая ведомством автоматизированная система безопасности интернета в настоящий момент покрывает "практически 100% трафика операторов связи", который в совокупности превышает 100 Тбит/сек.

Также на ForkLog: