Обзор инцидентов безопасности за период с 23 по 29 марта 2020 года

[душман]

Как и неделей ранее, многие инциденты безопасности на прошлой неделе были так или иначе связаны с пандемией коронавируса. Кроме того, активизировались APT-группы и операторы вымогательского ПО. Об этих и других инцидентах, имевших место с 23 по 29 марта, в данном обзоре.

Киберпреступники взламывают маршрутизаторы с целью распространения поддельного приложения от Всемирной организации здравоохранения, якобы предоставляющего актуальную информацию о COVID-19. Злоумышленники меняют настройки DNS маршрутизатора таким образом, чтобы в браузере пользователя отображалось уведомление, предлагающее скачать приложение от ВОЗ, на самом деле являющееся инфостилером Vidar.

В разгар пандемии коронавируса киберпреступники попытались атаковать крупнейшую в Европе сеть больниц. Злоумышленники намеревались вывести из строя серверы больницы AP-HP в Париже, перегрузив их «мусорным» трафиком, но атака была успешно отражена.

Несмотря на свое обещание не атаковать медучреждения в период пандемии, операторы вымогательского ПО Maze атаковали исследовательскую компанию Hammersmith Medicines Research (HMR), которая должна провести испытания возможной вакцины против COVID-19. Компания отказалась платить выкуп за разблокировку компьютерных систем, и в результате персональные данные тысяч бывших пациентов утекли в Сеть.

На прошлой неделе ФБР предупредило о новой кампании FIN7 по распространению бэкдора GRIFFON. Группировка выбрала весьма необычный способ заражения – присылает жертвам по обычной почте бандероль с подарком и вредоносным USB флэш-накопителем. Как сообщает компания Trustwave, подобной атаке подвергся один из ее клиентов, неназванный гостиничный оператор.

Помимо FIN7, активизировалась еще одна APT-группировка – APT41 (Double Dragon). В своих атаках злоумышленники эксплуатируют уязвимости в устройствах Citrix, Cisco и Zoho по всему миру.

Специалисты «Лаборатории Касперского» обнаружили новую, ранее неизвестную APT-группировку, атакующую промышленные объекты на Ближнем Востоке. Группировка получила название WildPressure, а ее основным оружием является новый бэкдор под названием Milum. Бэкдор написан на языке C++ и предоставляет злоумышленникам полный контроль над зараженным хостом.

Не обошлось на прошлой неделе и без уязвимостей нулевого дня. К примеру, киберпреступники взламывают Windows-ПК через ранее неизвестную уязвимость в библиотеке Adobe Type Manager (atmfd.dll), используемую операционной системой для обработки шрифтов PostScript Type 1. Microsoft описала атаки с эксплуатацией данной уязвимости как «целевые» и «ограниченные».

Операторы различных ботнетов начали эксплуатировать многочисленные уязвимости нулевого дня в цифровых видеорегистраторах от тайваньской компании LILIN, с целью их заражения и превращения в DoS-ботов. По словам специалистов компании Qihoo 360, несколько группировок используют уязвимости в видеорегистраторах LILIN для распространения бот-сетей Chalubo, FBot и Moobot как минимум с 30 августа 2019 года.

Специалисты компании Palo Alto Networks обнаружили новую версию ботнета Mirai, получившую название Mukashi, которая эксплуатирует недавно обнаруженную и исправленную критическую уязвимость (CVE-2020-9054) в сетевых хранилищах (NAS) Zyxel с целью перехватить контроль над целевым устройством и использовать его для осуществления DDoS-атак.

В среду, 25 марта, в результате кибератаки прекратил свое существование крупнейший бесплатный хостинг-провайдер даркнета Daniel's Hosting. Неизвестные злоумышленники удалили всю его базу данных, в результате чего были отключены порядка 7,6 тыс. сайтов. На прошлой неделе стало известно о похищении исходных кодов графических процессоров AMD Navi и Arden. По словам похитителя, если в ближайшее время он не найдет покупателя для похищенных кодов, они будут выложены в открытый доступ.