Резюме с подвохом: хакеры обманывают рекрутеров, чтобы заполучить ценные данные компаний

Как стало известно из последнего отчета компании Proofpoint , опубликованного 12 декабря, таинственная киберпреступная группировка TA4557 с октября текущего года атакует рекрутеров, используя изощренные методы и вредоносные программы.

Известно, что TA4557 — это киберпреступная группировка, мотивированная финансовой выгодой. На протяжении 2022 и 2023 годов злоумышленники откликались на реально существующие вакансии и внедряли вредоносные ссылки в резюме соискателей.

Злоумышленники создают целевые сайты, имитирующие платформы для поиска работы. Эти ресурсы выглядят правдоподобно, так что рекрутеры не подозревают об опасности.

После перехода на поддельный сайт жертву просят пройти серию тестов и проверок, якобы для заполнения профиля и поиска подходящих кандидатов. На самом деле каждый такой тест незаметно продвигает атаку на новый этап.

Когда все проверки пройдены, пользователя перенаправляют на страницу с резюме в текстовом виде или профиль конкретного кандидата. Там под видом капчи запускается загрузка вредоносного файла с расширением .LNK. Этот файл использует уязвимости легитимных программ для выполнения PowerShell-скрипта LOTL (Living Off The Land).

Запущенный скрипт выполняет дешифровку и инициализацию основной вредоносной программы. Она устанавливает бэкдор More_Eggs и создаёт скрытый процесс MSXSL, маскируясь под стандартные системные службы.

IT Дайджест / IT Новости / IT / Технологии

В даркнете продают клиентскую базу магазина спортивной снаряги Everlast

На одном из теневых форумов выставлена на продажу база данных пользователей сайта everlast com. Судя по содержанию записей, владельцы аккаунтов в основном создают их для покупки спортивной экипировки бренда Everlast из первых рук.

О новой неприятной находке сообщил телеграм-канал «Утечки информации». Украденная база содержит 400 тыс. строк с такой информацией, как имя, пол, имейл, хеш пароля, адрес для доставки товаров, дата создания и активность аккаунта, ID группы пользователей, ID интернет-магазина, данные об использовании услуг (биллинг платежей).

Команда проверила имейл-адреса из опубликованного фрагмента, используя функцию регистрации аккаунта на everlast com. Оказалось, что их владельцы действительно числятся в базе сайта.

IT Дайджест / IT Новости / IT / Технологии

Уничтожены данные более 500 тыс. клиентов криптобирж

Специалисты Cybernews обнаружили, что личные данные пользователей девяти криптовалютных бирж были раскрыты и доступны онлайн более двух месяцев. Инцидент затронул более 500 000 клиентов.

Исследователи подтвердили утечку данных на следующих платформах:

Sova[.]gg
coinstart[.]cc
pocket-exchange[.]com
onemoment[.]cc
cripta[.]cc
metka[.]cc
alt-coin[.]cc
ferma[.]cc
in-to[.]cc
Несмотря на то, что затронутые биржи не крупные, масштаб утечки значителен. Собранные данные включают в себя чувствительную информацию:

полные имена пользователей;
номера кредитных карт;
email-адреса;
IP-адреса;
суммы для запросов на оплату или снятие средств;
различные данные для аутентификации (например, user agent).
Всего утечка раскрыла более 615 000 запросов на платежи и более 28 000 запросов на вывод средств.

Учитывая, что криптовалютные биржи часто используются для сокрытия незаконных транзакций, данная утечка будет полезна правоохранительным органам и исследователям кибербезопасности во всем мире.

Первоначально утечка была обнаружена 10 октября, а сервер, на котором она находилась, по-прежнему доступен на данный момент. Хотя IP-адрес сервера был активен, все данные уже были уничтожены вредоносным скриптом. Неясно, кто стоит за утечкой и последующим уничтожением данных.

IT Дайджест / IT Новости / IT / Технологии

Кибернаёмники — невидимые солдаты в международных информационных войнах

Индийский аналитический центр Observer Research Foundation (ORF), базирующийся в городе Дели, недавно выдвинул тезис о необходимости международного реагирования на действия так называемых «кибернаёмников». В числе примеров таких наёмников приводятся известная северокорейская группировка Lazarus и израильская компания NSO Group, занимающаяся продажей шпионского ПО.

Автор отчёта, девушка по имени Фитри Бинтанг Тимур , утверждает, что такие группировки следует рассматривать как наёмников в сфере кибербезопасности. Она ссылается на определение наёмников по Женевской конвенции как «субъектов, мотивированных финансовой или материальной выгодой, готовых воевать за страну заказчика». В современном мире это означает использование информационных технологий и сетей для проведения киберопераций.

Как примеры таких действий, Тимур привела разработку и распространение вредоносного ПО группой Lazarus по заказу правительства Северной Кореи, а также продажу израильской компанией NSO Group своего шпионского программного обеспечения Pegasus правительствам многих стран, несмотря на его нелегитимность и спорный статус.

Отчёт подчёркивает, что рынок кибернаёмников растёт, так как они позволяют государствам усиливать свои наступательные возможности, сохраняя при этом «правдоподобное отрицание вовлечённости за счёт неузнаваемости».

Также отмечается, что использование кибернаёмников экономически выгодно: они не требуют отдела кадров, обучения и других затрат на персонал. Страны, не имеющие возможности содержать собственные подразделения национальных хакеров, могут нанимать кибернаёмников для достижения своих целей.

IT Дайджест / IT Новости / IT / Технологии

Коротко о прошедшей конференции Путина

Lazarus использует уязвимость Log4Shell двухлетней давности для доставки троянов

Эксперты предупредили, что северокорейская хакерская группа Lazarus продолжает эксплуатировать уязвимость Log4Shell (CVE-2021-44228). Теперь баг используется для развертывания трех ранее неизвестных семейств малвари, написанных на языке DLang.

По информации Cisco Talos, проблема Log4Shell используется для доставки троянов удаленного доступа NineRAT и DLRAT, а также загрузчика вредоносного ПО BottomLoader. Отмечается, что язык программирования D (DLang) редко встречается в киберпреступных операциях, и Lazarus, вероятно, выбрали его для разработки новой малвари умышленно, стараясь избежать обнаружения.

Эксперты называют эту кампанию Operation Blacksmith. Сообщается, что она началась примерно в марте 2023 года и была направлена на производственные, сельскохозяйственные и охранные компании по всему миру.

Вредонос NineRAT, является первым из двух новых RAT Lazarus. Он использует API Telegram для связи с управляющим сервером, включая получение команд и эксфильтрацию файлов со взломанных компьютеров.

В состав NineRAT входит дроппер, который отвечает за обеспечение устойчивости и запуск основных двоичных файлов малвари.

Вредоносная программа поддерживает следующие команды, которые принимаются через Telegram:

info — сбор предварительной информации о зараженной системе;
setmtoken — задать значение токена;
setbtoken — задать новый токен бота;
setinterval — задать временной интервал между запросами к Telegram-каналу;
setleep — установить период времени, в течение которого малварь должна находиться в спящем режиме;
upgrade — обновление до новой версии;
exit — завершить выполнение вредоносной программы;
uninstall — удалить себя;
sendfile — отправить файл с зараженной машины на управляющий сервер.

Второй вредонос, DLRAT, представляет собой троян и загрузчик, который Lazarus использует для внедрения дополнительных полезных нагрузок в зараженную систему.

IT Дайджест / IT Новости / IT / Технологии

Зимняя сказка для хакеров: на темном рынке OLVX появляется все больше праздничных предложений

Теневой ресурс OLVX Marketplace , обнаруженный летом этого года, значительно увеличил свою клиентскую базу осенью.

В отличие от других нелегальных рынков, которые сконцентрированы на продаже подделок, наркотиков и взломанных подарочных карт, OLVX предоставляет услуги и инструменты для киберпреступлений.

По данным ZeroFox, с наступлением праздничного сезона портал начал активно расширять свой ассортимент. Преступники предлагают своим коллегам различные фишинговые наборы, доступ к удаленным рабочим столам, логины и пароли от панелей управления, программы для рассылки спама, украденные данные, доступ к чужим почтовым ящикам и многое другое. Такой выбор товаров делает OLVX выдающимся ресурсом для хакеров.

OLVX использует сервис Cloudflare, чтобы скрыть местонахождение своих серверов. При этом улучшается доступность сайта, который расположен не в теневом, а в открытом сегменте интернета. Для привлечения новых клиентов администраторы используют методы поисковой оптимизации. Платформа принимает в качестве оплаты как обычные деньги, так и криптовалюту.

Ценовая политика OLVX вполне демократичная: доступ к панелям управления или удаленным рабочим протоколам обойдется менее чем в 10 долларов. В то же время, наборы скомпрометированных учетных данных, используемых для массовых атак, могут достигать стоимости в 200 долларов. Фишинговые инструменты предлагаются по цене от 20 до 150 долларов, хотя более продвинутые наборы стоят дороже.

IT Дайджест / IT Новости / IT / Технологии

Тактика GambleForce: простые методы помогают обмануть сложные системы безопасности

Новая хакерская группировка GambleForce использует примитивные и устаревшие методы атак для взлома правительственных учреждений и компаний в Азиатско-Тихоокеанском регионе. Об этом сообщает сингапурская кибербезопасная фирма Group-IB .

GambleForce действует с сентября 2023 года и изначально нацеливалась на игорный бизнес. Однако в последнее время хакеры расширили сферу своих интересов, взламывая государственные сайты, туристические фирмы и онлайн-магазины. На данный момент известно о 20 жертвах, в основном базирующихся в Австралии, Китае, Индонезии, Филиппинах, Индии, Южной Корее, Таиланде и Бразилии.

Для атак злоумышленники используют набор публично доступных инструментов для пентестинга. При этом они не вносят в них никаких уникальных модификаций и оставляют практически все настройки по умолчанию.

Основным методом заражения служат SQL-инъекции – один из старейших приемов, при котором злоумышленник внедряет вредоносный SQL-код в запросы к базе данных. Как отмечают эксперты, многие компании до сих пор уязвимы для этой угрозы из-за того, что не устраняют фундаментальные недостатки в своей защите.

Цели атак GambleForce пока неясны. В некоторых случаях хакеры прекращали атаку после проведения разведки, а в других успешно извлекали данные пользователей, включая логины, хэшированные пароли и списки таблиц из доступных баз данных.

IT Дайджест / IT Новости / IT / Технологии

Sony расследует возможную атаку на Insomniac Games

Sony сообщила, что расследует сообщения о вымогательской атаке на ее дочернюю компанию Insomniac Games, стоящую за такими популярными играми, как Spider-Man, Spyro the Dragon и так далее.

В начале текущей недели вымогательская группировка Rhysida заявила, что взломала Insomniac Games и дала игровым разработчикам шесть дней на то, чтобы отреагировать и выплатить выкуп, сумма которого не разглашается.

Как теперь сообщили представители Sony Interactive Entertainment, им уже известно об этих заявлениях и о том, что «Insomniac Games якобы стала жертвой кибератаки».

«В настоящее время мы расследуем эту ситуацию, — заявили в компании. — У нас нет оснований полагать, что атаке подверглись какие-либо другие подразделения SIE или Sony».

Напомним, что группировка Rhysida появилась в конце мая 2023 года и уже успела совершить ряд крупных атак на государственные учреждения в Португалии, Доминиканской Республике, Кувейте, Чили и на карибском острове Мартиника.

IT Дайджест / IT Новости / IT / Технологии

Иранская группа OilRig уже год находится в сетях Израиля благодаря Microsoft Exchange

Согласно новому отчету ИБ-компании ESET, спонсируемая правительством Ирана группировка OilRig в течение 2022 года развернула 3 различных загрузчика вредоносного ПО для обеспечения постоянного доступа к организациям в Израиле.

Среди целей атак находятся организации в сфере здравоохранения, производственная компания и местная государственная организация. Все они ранее уже подвергались атакам со стороны OilRig. Подробности о том, как именно были скомпрометированы цели, пока неизвестны, как и то, смогли ли атакующие сохранить своё присутствие в сетях для развертывания загрузчиков в разные моменты 2022 года.

ODAgent – это загрузчик на C#/.NET, который использует API Microsoft OneDrive для коммуникации в качестве C2-сервера, позволяя злоумышленнику загружать и выполнять полезные данные, а также удалять промежуточные файлы.

OilBooster, подобно ODAgent, использует API Microsoft OneDrive в роли C2-сервера. Также OilBooster использует API Microsoft Graph для подключения к учетной записи Microsoft Office 365. API используется для взаимодействия с учетной записью OneDrive злоумышленника, чтобы получать команды и полезные данные из папок, специфичных для жертвы.

SampleCheck5000 взаимодействует с общим почтовым аккаунтом Microsoft Exchange, используя API веб-служб Office Exchange для загрузки и выполнения дополнительных инструментов OilRig.
OilCheck использует технику SampleCheck5000 для извлечения команд из черновиков сообщений, но вместо API EWS использует API Microsoft Graph для сетевых коммуникаций.


IT Дайджест / IT Новости / IT / Технологии

Число слитых номеров телефона в 1,5 раза превысило численность населения РФ

По данным ГК «Солар», в период с января по ноябрь 2023 года от утечек пострадали 385 российских организаций. В открытый доступ попало 103,4 Тбайт данных, в том числе 220 млн телефонных номеров — в 1,5 раза больше, чем численность населения РФ.

Подавляющее большинство инцидентов — это утечки структурированных данных (базы клиентов, сотрудников, пользователей сайтов и сервисов), однако их вклад в общий объем скомпрометированной информации составил менее 1%. Основной массив был похищен в результате восьми целевых атак, авторам которых удалось добраться до внутренних документов компаний.

В паблик суммарно попало 4,8 млрд строк данных; 78 украденных баз оказались крупными, более чем на 1 млн записей. По масштабам потерь, по оценке «Солара», всех затмила система бронирования авиабилетов Leonardo.

В слитых базах специалисты Solar AURA совокупно обнаружили более 220 млн номеров телефона и 142 млн адресов имейл.

IT Дайджест / IT Новости / IT / Технологии

В 2023 году появились 10 новых банковских Android-троянов

В 2023 году, по данным исследователей в области кибербезопасности, появились десять новых семейств банковских троянов для Android-устройств. В общей сложности они атаковали клиентов 985 кредитных организаций в 61 стране.

Zimperium также приводит список десяти новых банковских троянов для Android:

- Nexus — как раз может записывать действия на экране устройстве в режиме реального времени. Атакует 39 приложений кредитных организаций.

- Godfather — насчитывает 1171 вариантов и атакует 237 банковских программ.

- Pixpirate — троян с ATS-модулем. Атакует десять приложений.

- Saderat — атакует восемь стран в 23 странах.

- Hook — также может записывать экран смартфона, атакует 468 программ и продаётся за 7 тыс. долларов в месяц.

- PixBankBot — насчитывает три варианта и поставляется с ATS-модулем.

- Xenomorph — атакует 83 банковских приложений в 14 странах.

- Vultur — под прицелом 122 программы в 15 странах.

- BrasDex — атакует восемь приложений в Бразилии.

- GoatRat — 52 варианта с ATS-модулем. Атакует шесть программ.

IT Дайджест / IT Новости / IT / Технологии

Китайская армия использует смешанную реальность для подготовки военных

Китайская народно-освободительная армия (НОАК) применяет технологии смешанной реальности для подготовки своих военных, используя очки Microsoft HoloLens 2. Об этом сообщила китайская государственная телекомпания CCTV-7, продемонстрировав видео, в котором инженер-практикант ВВС Китая симулирует обслуживание военного самолёта с помощью данных очков.

Согласно информации от South China Morning Post, военный на видео использовал гарнитуру HoloLens 2 от Microsoft для виртуальной разборки и проверки двигателя самолёта. Устройство позволяет выполнять задачи быстро, точно и надёжно. Очки HoloLens 2 были представлены в 2019 году и доступны на китайском рынке по цене от 3500 долларов США.

Военное применение смешанной реальности соответствует целям Китая по модернизации армии. Президент Си Цзиньпин подчеркивает важность использования современных технологий для повышения боевой эффективности. Кроме тренировок, НОАК использует дополненную реальность для управления беспилотными летательными аппаратами и транспортными средствами, как было показано в документальном фильме, выпущенном в августе.

Между тем, Microsoft заключила контракт с армией США на поставку более 120 000 гарнитур смешанной реальности на сумму до 21,88 миллиарда долларов в течение десятилетия. В июле компания подтвердила, что начнёт поставки около 20 улучшенных прототипов технологии HoloLens для испытаний в армии США с августа.

IT Дайджест / IT Новости / IT / Технологии

Новая эра интернета: Amazon тестирует космические лазеры

Прорыв в технологии связи может изменить все.

Amazon достиг важного прорыва в рамках своей инициативы Project Kuiper, успешно испытав ключевую технологию – оптические межспутниковые связи (OISL). Эта технология, ранее державшаяся в секрете, позволяет осуществлять лазерную связь между спутниками.

Как сообщает компания, технология основана на использовании инфракрасных лазеров для передачи данных между спутниками на низкой околоземной орбите. Цель Project Kuiper – развертывание группы малых спутников для улучшения глобального доступа к широкополосному интернету, особенно в удаленных регионах.

Испытания проводились на двух прототипах спутников Kuiper, запущенных в октябре 2023 года. Оба спутника KuiperSat-1 и KuiperSat-2 демонстрировали способность передавать и получать данные со скоростью до 100 гигабит в секунду на расстоянии почти в 1000 километров. Технология позволяет общаться на расстояния до 2600 километров.

Эта система позволяет передавать данные напрямую между спутниками, что исключает необходимость передачи данных на Землю. Она может обеспечить доступ в интернет в таких местах, как открытое море или удаленные регионы. Например, круизный лайнер или трансатлантический самолет смогут передавать данные практически из любой точки Земли.

Amazon утверждает, что сеть на основе лазерных связей ускорит передачу данных примерно на 30% по сравнению с существующими оптоволоконными кабелями.

IT Дайджест / IT Новости / IT / Технологии

Утекли данные клиентов: MongoDB расследует взлом своих систем

Компания MongoDB, занимающаяся разработкой программного обеспечения для баз данных, 16 декабря сообщила о несанкционированном доступе к некоторым корпоративным системам. Инцидент привел к утечке метаданных учетных записей клиентов и контактной информации (имена клиентов, номера телефонов и адреса электронной почты). Сообщается, что атака также затронула системные журналы только одного клиента, которого компания уведомила об инциденте.

Первые признаки взлома были обнаружены 13 декабря 2023 года. После выявления аномальной активности компания немедленно приступила к мерам реагирования на инцидент. По словам MongoDB, несанкционированный доступ к системам продолжался некоторое время до его обнаружения. Точный период времени, когда происходило нарушение, не раскрывается. MongoDB не обнаружила какую-либо уязвимость в продуктах MongoDB, которая могла бы эксплуатирована.

Также в компании заверили, что данные клиентов, хранящихся в MongoDB Atlas, не затронуты. Это связано с тем, что доступ к кластеру MongoDB Atlas аутентифицируется через систему, отдельную от корпоративных систем MongoDB, поэтому система аутентификации кластера Atlas не была скомпрометирована.

В связи с данным инцидентом MongoDB рекомендует всем клиентам быть бдительными в отношении атак социальной инженерии и фишинговых атак. Компания советует использовать многофакторную аутентификацию, а также рекомендует сменить пароли от учетных записей MongoDB Atlas.

Метаданные, раскрытые в ходе атаки, важны для администрирования и управления учетными записями в системе. Они содержат такую информацию, как идентификаторы аккаунтов, данные о времени создания и последнего использования учетной записи, статус учетной записи (активна или заблокирована), роли и права доступа, а также контактные данные.

IT Дайджест / IT Новости / IT / Технологии

Пользователи сетевых устройств Ubiquiti получили доступ к чужим камерам и роутерам в сети UniFi

Некоторые пользователи сетевых устройств Ubiquiti получили доступ к камерам видеонаблюдения и роутерам сети UniFi других владельцев.

Ubiquiti производит сетевые устройства, работающие через облачную платформу UniFi, где пользователи могут управлять всем подключённым оборудованием через единый интерфейс.

Впервые о проблеме рассказал пользователь Reddit, который получил уведомление от чужой камеры наблюдения в UniFi Protect. Он отметил, что в списке доступных устройств платформы были указаны только две его камеры.

Другой клиент Ubiquiti обнаружил на портале управления устройствами UniFi Site Manager 88 устройств из учётной записи другого пользователя. Всё пришло в норму только после обновления браузера.

Об аналогичных случаях сообщили другие пользователи Reddit, они имели доступ к чужому оборудованию, могли управлять им и создавать дополнительные сети Wi-Fi. Как и в предыдущем случае, после обновления браузера в интерфейсе оставались только связанные с аккаунтами владельцев устройства.

IT Дайджест / IT Новости / IT / Технологии

В Думу внесли поправки в ГК РФ, направленные на легализацию "белых" хакеров

Согласно законопроекту, при выявлении недостатков безопасного использования программы для ЭВМ необходимо сообщить о них правообладателю в течение пяти рабочих дней

Новые нормы позволят "проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов", отмечают авторы инициативы.

IT Дайджест / IT Новости / IT / Технологии

Кибератака вывела из строя 70% автозаправочных станций Ирана

Почти 70% автозаправочных станций Ирана прекратили работу сегодня в результате кибератаки. Об этом сообщило издание Reuters. Возникновение неполадок на АЗС было вызвано «проблемой с программным обеспечением», и привело к образованию длинных очередей из автомобилей и возмущенных жителей. В Министерстве нефтяной промышленности Ирана заявили, что более 30% АЗС по-прежнему функционируют. В стране насчитывается около 33 тысяч заправочных станций.

Израильские СМИ связывают проблему с атакой хакерской группы Gonjeshke Darande (Predatory Sparrow,), которая предположительно связана с Израилем. Группа утверждает , что кибератака является ответом на «агрессию Исламской Республики». Также хакеры опубликовали снимки экрана систем АЗС и, помимо скриншотов взломанной системы, указала, к чему они получили доступ:

Индивидуальная информация об АЗС;
Детали платежной системы;
Система управления АЗС с центрального сервера каждой станции.

Несмотря на свои вредоносные действия, хакеры предупредили службы экстренной помощи по всей стране еще до начала операции и обеспечили, чтобы часть заправочных станций осталась невредимой, несмотря на получения доступа и возможность полностью нарушить их работу. Группировка поступила так по причине того, что, как и в предыдущих операциях, эта кибератака проводилась контролируемым образом с принятием мер по ограничению потенциального ущерба службам экстренной помощи.

IT Дайджест / IT Новости / IT / Технологии

Теневой продавец уверяет, что украл ПДн клиентов страховщика БАСК

В даркнете выставлена на продажу база данных, которая, по словам продавца, была украдена у российской страховой компании «БАСК». Несколько файлов суммарно содержат свыше 100 тыс. номеров телефонов и почти 300 тыс. адресов имейл.

О новой находке сообщил сегодня, 18 декабря, телеграм-канал «Утечки информации». Анализ содержимого файлов показал, что представленная в них информация актуальна на 02.12.2023.

Выкачанная база содержит следующие ПДн:
ФИО;
дата рождения;
пол;
адрес места жительства;
хешированный пароль (MD5 с солью и без) на доступ к icbask.ru;
телефон (134 тыс. уникальных номеров);
имейл (294 тыс. уникальных адресов);
серия/номер паспорта, водительского удостоверения и полиса страхования; госномер автомобиля и VIN.

IT Дайджест / IT Новости / IT / Технологии