Обзор инцидентов безопасности за прошлую неделю

[душман]

Киберпреступники не сидят сложа руки и продолжают организовывать вредоносные кампании, преследующие различные цели. На минувшей неделе стало известно сразу о нескольких подобных операциях, включая кампании по распространению мощного инфостилера для Android и вредоносного ПО Zyklon. После новогоднего затишья также активизировались ботнеты Satori и Necurs, причем последний был замечен в несколько необычной для него деятельности. Об этих и других событиях, произошедших в мире ИБ в период с 15 по 21 января 2018 года, в данном обзоре.

В начале минувшей недели исследователи из «Лаборатории Касперского» сообщили об обнаружении мощного шпионского ПО для Android-устройств, окрещенного Skygofree по одному из доменных имен, использовавшихся в кампании. ПО обладает исключительными возможностями, такими как получение прав суперпользователя с помощью нескольких эксплоитов, сложная структура полезной нагрузки, а также нигде ранее не встречавшаяся функция записи звука в заранее определенных местах. Все обнаруженные ЛК кампании по распространению Skygofree проводились исключительно в Италии, а его жертвами стали только итальянские пользователи.

Как полагают эксперты, создателем вредоносной программы может быть итальянская компания, специализирующаяся на разработке инструментов для слежения.

Исследователи из Trend Micro раскрыли подробности масштабной кампании по распространению вредоносного ПО для Android-устройств, похищающего учетные данные пользователей Facebook и агрессивно отображающего рекламу. Вредонос, названный GhostTeam по одной из обнаруженных в коде строк, распространялся через Google Play Store и мог быть загружен сотнями тысяч ничего не подозревавших пользователей.

Во второй половине минувшего года исследователи в области кибербезопасности описали ряд  уязвимостей в пакете Microsoft Office, которые киберпреступники немедленно взяли на вооружение. Специалисты FireEye выявили кампанию по распространению бэкдора Zyklon, в рамках которой злоумышленники эксплуатируют сразу три проблемы - CVE-2017-8759 в .NET Framework, CVE-2017-11882 в редакторе формул Microsoft Equation, а также функцию Dynamic Data Exchange (DDE). Вредоносная программа способна записывать нажатия клавиш, собирать пароли, а также загружать и устанавливать дополнительные плагины для майнинга криптовалют и извлечения паролей.

Правозащитная организация Electronic Frontier Foundation и компания по кибербезопасности Lookout опубликовали совместный отчет, в котором пролили свет на деятельность группировки Dark Caracal, похитившей сотни гигабайт данных у жертв по всему миру с помощью фишинговых кампаний и несложного вредоносного ПО. Объектами атак ливанских хакеров стали чиновники, военные, сотрудники коммунальных компаний, финансовых учреждений, промышленных компаний, а также оборонные подрядчики. Группировка использовала как хорошо известные вредоносные программы для ОС Windows, так и специальное шпионское ПО FinFisher. Хакеры также разработали собственный вредонос для Android, получивший название Pallas.

После праздничного перерыва возобновили свою активность ботнеты Satori и Necurs, причем оба вовлечены в деятельность, связанную с криптовалютой. Новый вариант вредоносного ПО Satori инфицирует оборудование для майнинга криптовалюты с установленным ПО Claymore и заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников. Что касается Necurs, на минувшей неделе ботнет был замечен в распространении огромного количества спама в рамках мошеннической схемы pump-and-dump («накачка и сброс»), продвигающей малоизвестную криптовалюту SwissCoin.

Прошедшая неделя не обошлась без кражи средств у очередного криптовалютного сервиса. На сей раз жертвой стал сервис BlackWallet.co, предоставляющий web-кошельки для криптовалюты Stellar Lumen (XLM). Неизвестные взломали DNS-сервер BlackWallet и похитили более $400 тыс. со счетов пользователей.

Полицейская служба безопасности Норвегии (Politiets sikkerhetstjeneste, PST) заподозрила хакеров, работающих на иностранные разведслужбы, во взломе компьютерной сети регионального управления здравоохранения в начале января нынешнего года. В ведомстве не уточнили, удалось ли злоумышленникам получить доступ к данным о состоянии здоровья граждан страны или другой конфиденциальной информации.