Search the Community

Компания ESET предупреждает о том, что киберпреступная группировка PowerPool проводит атаки с использованием пока не закрытой «дыры» в операционных системах Microsoft Windows. Речь идёт об уязвимости «нулевого дня», информация о которой была раскрыта в конце августа нынешнего года. Брешь связана с работой планировщика задач Windows. Злоумышленники могут повысить свои привилегии в системе и выполнить на компьютере жертвы произвольный программный код. Уязвимость затрагивает операционные системы Windows версий с 7 по 10. Участники кибергруппы PowerPool используют брешь при проведении целевых атак. Нападения уже зафиксированы во многих странах, в том числе в России. Атака начинается с рассылки вредоносных спам-писем с бэкдором первого этапа. Вредоносная программа предназначена для базовой разведки — она выполняет команды злоумышленников и передаёт собранные данные на удалённый сервер. Если компьютер заинтересовал киберпреступников, на него загружается бэкдор второго этапа: эта вредоносная программа предоставляет постоянный доступ к системе. Таким образом, злоумышленники получают возможность красть конфиденциальную информацию и выполнять произвольные действия на инфицированном компьютере.

Эксперты Kaspersky Lab ICS CERT сообщили о новой кампании, нацеленной против предприятий, связанных с промышленным производством и находящихся на территории РФ. Начало кампании, продолжающейся по сей день, приходится на ноябрь 2017 года. В ходе атак злоумышленники пытаются заразить компьютерные сети предприятий с помощью вредоносного ПО, рассылаемого в фишинговых письмах. Эти письма замаскированы под легитимные коммерческие предложения, а их содержание тщательно продумано, чтобы соответствовать деятельности атакуемых предприятий. Более того, письма учитывают специфику работы получающих их сотрудников. Рассылаемое вредоносное ПО незаметно устанавливает на систему легитимную программу для удаленного администрирования (TeamViewer или Remote Manipulator System/Remote Utilities), тем самым предоставляя злоумышленникам контроль над атакуемой системой. Главная цель атакующих – кража денег со счетов предприятий. Получив контроль над системой, хакеры находят и изучают документы о закупках, а также ПО для осуществления финансовых и бухгалтерских операций. Затем с помощью различных способов они проворачивают мошеннические схемы (например, подменяют реквизиты, используемые для оплаты счетов).

Савеловский суд Москвы признал шестерых человек виновными в хищении денежных средств клиентов банков через личные online-кабинеты, жертвами киберпреступников стали более 200 человек, а причиненный ими ущерб оценивается в миллионы рублей. Помимо прочих, участниками группировки являются братья Дмитрий и Евгений Попелыши, задержанные весной 2015 года в Санкт-Петербурге в ходе совместной операции МВД и ФСБ. Следствие установило, что с помощью вредоносного ПО братья похищали данные клиентов банков, получали доступ к их online-кабинетам и переводили средства на свои счета. Когда к подозреваемым пришли с обыском, они попытались избавиться от компрометирующих улик и даже предприняли попытку смыть 500 тыс. рублей в унитаз. Однако туалет засорился, и избавиться от денег не удалось. Суд приговорил Попелышей к восьми годам колонии общего режима. Кроме того, каждый из них должен выплатить штраф в размере 900 тыс. рублей. В 2012 году братья уже привлекались к уголовной ответственности за киберпреступления, однако отделались условным сроком.

На прошлой неделе исследователи компании Cloudflare рассказали о новом эффективном методе усиления DDoS-атак с использованием серверов memcached. В последнее время популярность метода, получившего название Memcrashed, стремительно растет. В частности, с его помощью была осуществлена самая мощная DDoS-атака за всю историю интернета, жертвой которой стал портал GitHub. Пиковая мощность атаки составляла 1,35 ТБ/с. Вооружившись новым методом, киберпреступники не только атакуют интересующие их ресурсы, но также занимаются вымогательством. Эксперты компании Akamai сообщили о весьма необычной атаке с использованием серверов memcached. Вместо того, чтобы отправить жертве UDP-пакеты с произвольными данными, атакующие оставили в них короткое послание. Согласно сообщению, жертва должна заплатить по указанному адресу 50 Monero (около $17 тыс.). Правда, злоумышленники не пообещали прямо, что прекратят атаку, а только намекнули на такую возможность. Подобный вид вымогательства используется киберпреступниками с 2015 года и изначально был известен как «DDoS-for-Bitcoin» («DDoS за биткойны») по одноименному названию группировки, первой начавшей его применять.

Компания «Доктор Веб» раскрыла новую киберпреступную схему, реализованную с вовлечением устройств Интернета вещей (IoT). Речь идёт об использовании скомпрометированных элементов инфраструктуры IoT для организации атак. Для захвата контроля над устройствами Интернета вещей применяется вредоносная программа Linux.ProxyM. Этот зловред запускает на инфицированном устройстве SOCKS-прокси-сервер. С его помощью киберпреступники могут анонимно совершать различные деструктивные действия. Известны сборки трояна для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Ранее киберпреступники использовали Linux.ProxyM для рассылки спама и фишинговых сообщений. Теперь же злоумышленники перешли к более активным действиям — массовым попыткам взлома веб-сайтов. В ходе атак на интернет-ресурсы применяются различные методы. Это, в частности, SQL-инъекции — внедрение в запрос к базе данных сайта вредоносного SQL-кода. Ещё один способ — XSS (Cross-Site Scripting), заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы. Наконец, применяется метод (Local File Inclusion), который позволяет злоумышленникам удалённо читать файлы на атакуемом сервере с помощью сформированных специальным образом команд. Среди подвергшихся атакам ресурсов замечены игровые серверы, форумы, а также сайты другой тематической направленности, в том числе российские.