Стало известно, что подведомственный Роскомнадзору «Главный радиочастотный центр» оштрафован за утечку данных сотрудников. На это указывают данные картотеки Судебного участка мирового судьи №456. Запись о постановлении «о назначении административного наказания» появились в картотеке 2 мая, но текст постановления ещё не был опубликован.

Источник изображения: Pixabay

Напомним, осенью прошлого года ГРЧЦ был атакован белорусской хакерской группировкой «Киберпартизаны», о чём они сами заявили в своём Telegram-канале. В сообщении говорилось, что злоумышленникам удалось взломать внутреннюю сеть жертвы, выгрузить документы и внутреннюю переписку сотрудников. Хакеры также утверждали, что им удалось зашифровать рабочие компьютеров сотрудников и повредить инфраструктуру ГРЧЦ.

В ГРЧЦ, комментируя тот инцидент, заявили, что хакерам не удалось получить доступ к закрытой информации и критически важной инфраструктуре. Несмотря на это, в феврале в открытом доступе были опубликованы материалы ведомства.

Данные в карточке дела указывают на то, что ГРЧЦ был оштрафован за обработку персональных данных без согласия или с нарушением требований к содержанию согласия на обработку персональных данных (ч. 3 ст. 13.11 КоАП РФ). Предположительно были выявлены нарушения при проверке по факту утечки. Наказание для юрлиц за такие нарушения составляет от 30 до 150 тыс. рублей. Напомним, с прошлого года Минцифры разрабатывает оборотные штрафы для юрлиц, допустивших утечку персональных данных. Однако этот проект пока не внесён на рассмотрение в Госдуму.

Продолжительность DDoS-атак на российские IT-ресурсы сократилась более чем в 6 раз с прошлого года и в среднем стала составлять двое суток. Об этом пишет «Коммерсант» со ссылкой на данные квартального отчёта по защите от интернет-угроз компании Qrator Labs, работающей в сфере информационной безопасности.

Источник изображения: Mika Baumeister / unsplash.com

«Так, если в первом квартале 2022 года максимальная продолжительность нападений составляла более десяти дней, то в 2023 году этот показатель стал равен менее чем двум суткам», — говорится в отчёте Qrator Labs. Наиболее продолжительные атаки были зафиксированы против операторов фискальных данных (22 часа), представителей сферы онлайн-образования (20 часов), медиа (20 часов) и программных сервисов (10 часов). Несмотря на это, за весь 2022 год продолжительность атак значительно выросла: за первые три месяца года неоднократно фиксировалось обновление рекорда по максимальной длительности, а одна из DDoS-атак в мае продолжалась почти 29 дней.

По данным «РТК-Солар», продолжительность атак на российские IT-ресурсы в первом квартале в среднем сократилась в четыре раза по сравнению с аналогичным периодом 2022 года. При этом компания отмечает обнаружение атак длительностью до 32 дней. Целями злоумышленников становились представители разных сфер экономики: страхования, ретейла, промышленности.

В Qrator Labs сокращение максимальной длительности DDoS-атак связывают с расширением спектра целей злоумышленников. Хакеры перестали фокусироваться на отдельно взятых ресурсах и в случае неудачи ищут новые жертвы. В DDoS-Guard согласны с тем, что продолжительность атак значительно снизилась в первом квартале. Отмечается, что атакующие стали лучше анализировать ресурсы, чтобы выбирать жертв, которые не защищены от DDoS или используют слабую защиту. В Softline считают, что снижение продолжительности DDoS-атак связано с тем, что многие компании стали блокировать входящий трафик по геолокации, что делает неэффективными атаки из-за рубежа.

Компания Mandiant, специализирующаяся на вопросах кибербезопасности, сообщила, что нашла нулевого клиента — исходного источника хакерской атаки, в результате которой было взломано приложение для VoIP-телефонии компании 3CX, что затронуло большую часть её 600 тыс. клиентов.

Источник изображения: Pixabay

По словам компании, взлом компьютера сотрудника 3CX стал возможен благодаря более ранней атаке на цепочку поставок программного обеспечения, проведённой хакерами, взломавшими компьютерные сети 3CX, в результате которой было заражено приложение разработчика финансового ПО Trading Technologies.

Хакерам удалось внедрить бэкдор в приложение X_Trader компании Trading Technologies, которое после установки на компьютер сотрудника 3CX позволило хакерам добраться до сервера 3CX, используемого для разработки ПО, повредить установочное приложение 3CX и заразить компьютеры клиентов компании. Считается, что сделавшая это хакерская группа, известная как Kimsuky, Emerald Sleet (или Velvet Chollima), работает на правительство Северной Кореи.

«Это первый случай, когда мы нашли конкретные доказательства того, что атака на цепочку поставок программного обеспечения привела к другой атаке на цепочку поставок программного обеспечения», — заявил Чарльз Кармакал (Charles Carmakal), технический директор Mandiant Consulting.

Trading Technologies прекратила поддержку X_Trader в 2020 году, хотя это приложение было доступно для скачивания до 2022 года. Mandiant считает, основываясь на цифровой подписи программы X_Trader, что компрометация цепочки поставок Trading Technologies произошла до ноября 2021 года, в то время как последующая атака на цепочку поставок 3CX была выполнена в начале этого года.

Представитель Trading Technologies сообщил ресурсу WIRED, что компания в течение 18 месяцев предупреждала пользователей о том, что X_Trader не будет поддерживаться c 2020 года. Он отметил, что X_Trader — инструмент для профессионалов трейдинга, поэтому непонятно как приложение оказалось в компьютере сотрудника 3CX. Представитель добавил, что 3CX не является клиентом Trading Technologies, и что компрометация приложения X_Trader никак не повлияет на её имеющееся программное обеспечение.

Цель происшедшего взлома пока не выяснена. Mandiant допускает, что частично это связано с кражей криптовалюты. Ранее «Лаборатория Касперского» сообщила, что среди пострадавших клиентов 3CX были компании, имеющие отношение к криптовалютам.

Но Кармакал считает, что с учётом масштаба хакерских атак на цепочки поставок это может быть лишь верхушкой айсберга. «Я думаю, со временем мы узнаем о гораздо большем количестве жертв, поскольку это связано с одной из этих двух атак на цепочки поставок программного обеспечения», — заявил он.

Злоумышленники использовали уязвимость в браузерном расширении криптовалютного кошелька Trust Wallet для кражи $170 тыс. у клиентов сервиса. Сообщение об этом опубликовали разработчики криптокошелька, пообещавшие возместить ущерб.

Источник изображения: Pixabay

В ноябре прошлого года была обнаружена уязвимость в WebAssembly-модуле библиотеки Wallet Core, которая используется расширением Trust Wallet для браузеров. Несмотря на то, что разработчикам удалось оперативно устранить уязвимость, они также выявили два эксплойта, которые использовались злоумышленниками для кражи средств. Анализ показал, что проблема затрагивает кошельки, которые были созданы с помощью расширения Trust Wallet в период с 14 по 23 ноября 2022 года.

«Несмотря на все наши усилия, мы обнаружили два потенциальных эксплойта, что привело к потере $170 тыс. на момент атаки. Стремясь к прозрачности и защите пользователей, мы хотим заверить клиентов, что возместим соответствующие убытки от взлома из-за уязвимости и уже запустили процесс возмещения средств пользователям, затронутых проблемой», — говорится в сообщении разработчиков Trust Wallet.

Пользователи кошельков, которые были импортированы из мобильного приложения, не затронуты проблемой. В сообщении разработчиков сказано, что им известен список пострадавших кошельков, а их владельцы уже получили соответствующие уведомления и в скором времени средства им будут возмещены.

Во вторник Google выпустила бюллетень по безопасности, в котором упоминается недавно обнаруженная уязвимость Chrome под номером CVE-2023-2136, которой был присвоен рейтинг «высокой серьёзности». Google известно о существовании эксплойта для этой уязвимости «в реальном мире». Хакеры были замечены в эксплуатации этой уязвимости через несколько дней после того, как Google исправила другую активно используемую уязвимость нулевого дня.

Источник изображения: Pixabay

На данный момент Google описывает CVE-2023-2136 как целочисленное переполнение с участием графического движка Skia с открытым исходным кодом, который используется Chrome. В официальном отчёте говорится, что использование уязвимости «позволяет удалённому злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы через созданную HTML-страницу», что даёт возможность получения доступа к дополнительным вычислительным процессам для запуска вредоносного кода на компьютере.

Несмотря на отсутствие подробностей, возможно, уязвимость была использована в тандеме с другой уязвимостью нулевого дня, которую Google исправила в прошлую пятницу, под названием CVE-2023-2033, которая связана с ошибкой в движке JavaScript V8 для браузера. Компания обнаружила обе уязвимости с помощью Клемана Лесиня (Clément Lecigne), исследователя безопасности из группы анализа угроз Google, которая занимается отслеживанием самых опасных групп хакеров и выявлением уязвимостей нулевого дня. Клеман обнаружил CVE-2023-2033 11 апреля, а CVE-2023-2136 — 12 апреля.

Предполагается, что уязвимости использовались в атаках через специально созданные вредоносные HTML-страницы, рассылаемые с помощью фишинговых сообщений. К счастью, Google быстро исправила обе проблемы после их обнаружения. Компания уже подготовила исправление для CVE-2023-2136, которое сейчас должно быть распространено среди пользователей. Исправление будет выпущено как версия Chrome 112.0.5615.137.

Рекомендуется обновить браузер при первой возможности. В ближайшее время в правом верхнем углу браузера должна появиться кнопка для обновления Chrome. В противном случае нужно перейти на вкладку «О Chrome», чтобы автоматически получить обновление, или посетить страницу поддержки Google, чтобы узнать, как загрузить исправления.

Microsoft начала называть хакеров в честь погодных явлений в обновлённой таксономии имён. Хакеры теперь будут называться в честь таких погодных катаклизмов, как шторм, тайфун и метель, в рамках восьми групп, которые Microsoft использует для отслеживания кибератак.

Новая таксономия будет включать пять ключевых групп: государственные субъекты (разные названия, перечислены ниже), финансово мотивированные субъекты («Буря»), атаки на частный сектор («Цунами»), операции влияния («Наводнение») и зачаточные группировки («Шторм»). Например, если угроза кибербезопасности является новой или исходит от неизвестного источника, Microsoft присвоит ей временное обозначение «Шторм» и четырёхзначный номер. В прошлом для таких угроз Microsoft использовала обозначение DEV.

Хакеры, за которыми стоят государственные структуры, будут названы в честь определённого семейства погодных явлений, призванных указать, где берут начало эти группы. Названия включают в себя:

• Китай — Тайфун (Typhoon);
• Иран — Песчаная буря (Sandstorm);
• Ливан — Дождь (Rain);
• Северная Корея — Слякоть (Sleet);
• Россия — Метель (Blizzard);
• Южная Корея — Град (Hail);
• Турция — Пыль (Dust);
• Вьетнам — Циклон (Cyclone).

Группа российских хакеров Cozy Bear, которая стоит за взломом системы Национального комитета Республиканской партии и Национального комитета Демократической партии, теперь обозначается как Midnight Blizzard вместо прежнего NOBELIUM, которое Microsoft использовала для описания группы, когда она раскрыла атаку в прошлом году.

Джон Ламберт (John Lambert), старший вице-президент Microsoft по анализу угроз рассказал, что «подход к именованию, который мы использовали ранее (Elements, Trees, Volcanoes и DEV), больше не используется. Мы переназначили всех существующих субъектов в новую таксономию, и в дальнейшем будем использовать новые имена».

Microsoft отслеживает 160 национальных хакерских групп, 50 групп программ-вымогателей, 300 уникальных участников угроз и сотни других хакеров, а также большое сообщество профессионалов в области кибербезопасности, которые используют другие имена для хакерских групп.

Израильская компания NSO Group, занимающаяся разработкой шпионского программного обеспечения, в прошлом году использовала новые способы для взлома смартфонов iPhone, применяя для этого по меньшей мере три метода, пишет Bloomberg со ссылкой на отчёт Citizen Lab, исследовательской группы при университете Торонто.

Источник изображения: Pixabay

Эти методы, основанные на использовании цепочки эксплойтов с нулевым кликом (таких, которые не требуют никакого взаимодействия с пользователем), позволяют компании обойти функции безопасности iPhone и установить шпионское ПО NSO Pegasus, которое может собирать информацию с устройства, а также использовать его камеры и микрофоны для слежки в режиме реального времени. При взломе этими методами пользователю даже не требуется нажимать на вредоносную ссылку, чтобы Pegasus проник в устройство.

В отчёте упоминается представленный Apple в прошлом году режим Lockdown Mode, который определённое время позволял выявить попытку взлома устройства, уведомляя пользователей с помощью push-сообщений о том, что они стали мишенью группы NSO. В Citizen Lab допускают, что хакерам удалось найти способ, как обойти эту защиту.

«Мы рады видеть, что режим Lockdown Mode предотвращал такую сложную атаку и немедленно предупреждал пользователей, даже до того, как Apple и исследователи безопасности узнали о конкретной угрозе», — заявил представитель Apple.

В отчёте указано, что NSO Group удалось обойти другую функцию безопасности в iOS под названием BlastDoor. Вместе с тем Citizen Lab рекомендует пользователям, чья деятельность связана с риском стать объектом хакерской атаки с помощью шпионского ПО, включить режим Lockdown Mode.

В отчёте Citizen Lab также упоминаются методы PWNYOURHOME и FINDMYPWN, которые используют встроенные сервисы Apple, для внедрения шпионского софта в iPhone через модули HomeKit и Find My iPhone.

Citizen Lab заявила, что сообщила о своих выводах Apple в октябре 2022 года, после чего компания выпустила обновление для системы безопасности в феврале этого года. Комментируя отчёт Citizen Lab, представитель NSO заявил, что компания «соблюдает строгое регулирование, а её технологии используются государственными заказчиками для борьбы с терроризмом и преступностью во всём мире».

Специалисты компании Group-IB, работающей в сфере информационной безопасности, с марта этого года фиксируют атаки новой группы вымогателей Shadow, нацеленные на российские организации. Злоумышленники используют вымогательское программное обеспечение и требуют за расшифровку данных от $1 до $2 млн.

Источник изображения: methodshop / Pixabay

Согласно имеющимся данным, хакеры проникают в IT-инфраструктуру жертв через уязвимые публичные сервисы. После этого они шифруют данные с помощью модифицированного вымогателя LockBit3, собранного на основе появившегося в открытом доступе исходного кода вредоноса. Если жертва отказывается платить выкуп за расшифровку данных, злоумышленники угрожают выложить конфиденциальную информацию в даркнете.

«В ходе расследования инцидента специалистами Group-IB выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году», — говорится в заявлении Group-IB.

Представители Shadow утверждают, что основной интерес для них представляют деньги. В сообщении отмечается, что за прошедший год существенно возросла скорость совершения атак на инфраструктуру российских компаний. По оценке специалистов, в настоящее время хакерам требуется на взлом 4-7 дней, тогда как раньше на это могли уходить месяцы. Это объясняется появлением в даркнете простых в использовании вредоносных программ. Также прогнозируется, что техники проведения атак продолжат упрощаться, а интенсивность атак возрастёт.

Компания MSI ранее сообщила, что её сетевая инфраструктура подвергалась кибератаке. Производитель компьютерных комплектующих не стал вдаваться в подробности взлома и не сообщил, были в результате этого инцидента затронуты данные пользователей. Как стало известно порталу BleepingComputer, ответственность за взлом взяла на себя некая группировка хакеров-вымогателей Money Message.

Источник изображения: MSI

Хакеры утверждают, что получили доступ к 1,5 Тбайт данных из CTMS- и ERP-систем, содержащих различную конфиденциальную информацию MSI. В частности, были похищены исходные коды программного обеспечения MSI, включая данные о структуре прошивок BIOS, используемых в продуктах производителя, криптографические ключи и прочие файлы.

Источник изображения: BleepingComputer

Злоумышленники угрожают опубликовать украденные данные в открытый доступ на следующей неделе, если MSI не согласится с их требованием о выкупе в размере $4 млн. BleepingComputer обратился за комментариями в MSI, но там ответа пока не предоставили.

Как сообщается, хакерская группа Money Message образовалась в прошлом месяце. По данным компании Cyble, занимающейся вопросами кибербезопасности, целями указанной группы злоумышленников являются системы на базе Window и Linux. Преступники стараются получить доступ к сетевой инфраструктуре жертвы, зашифровывают её, а затем требуют выкуп. Перед внедрением программ-вымогателей хакеры обычно пытаются украсть данные администраторов IT-сетей.

Компания MSI опубликовала заявление, в котором сообщила своим клиентам, что её информационные системы подверглись кибератаке.

Источник изображения: MSI

Производитель компьютерных комплектующих не пояснил, какая именно часть его сетевой инфраструктуры подверглась атаке хакеров, и было ли что-то похищено, однако в компании отметили, что обнаружили аномалии в работе внутренней сети и запустили соответствующие защитные механизмы. В частности, MSI обратилась к местным органам правопорядка, а также специалистам по кибербезопасности.

В своём заявлении производитель компьютерных комплектующих указал, что постепенно вернул в работу все свои сетевые структуры, а сама кибератака не оказала значительного влияния на её бизнес-операции. Однако компания призвала потребителей не скачивать BIOS, а также любое другое программное обеспечение под брендом MSI из неизвестных источников. Свежие прошивки и ПО компания настоятельно рекомендует скачивать только с её официального сайта.

Хотя в MSI не уточнили, мог ли тот, кто совершил кибератаку на серверы компании, завладеть каким-либо её программным обеспечением, рекомендации производителя намекают на такую возможность.

Федеральное бюро расследований США совместно со спецслужбами ряда других стран провело масштабную операцию под названием Cookie Monster (Коржик из «Улицы Сезам»). Целью правоохранителей стали домены и инфраструктура площадки Genesis Market — одного из самых популярных закрытых онлайн-рынков ботов, украденных данных, файлов cookie и «цифровых отпечатков» браузеров. В результате операции по всему миру прошли десятки обысков и были задержаны более 100 человек.

Источник изображений: Bleeping Computer

Эта операция стала серьёзным ударом по миру киберпреступности, поскольку Genesis был одним из основных игроков теневого рынка и предлагал доступ как к потребительским, так и к корпоративным данным. Хотя правоохранители ещё не опубликовали официальные пресс-релизы по итогам проведённой операции, при попытке перейти на один из принадлежащих площадке доменов можно увидеть сообщение, говорящее о том, что он взят под контроль ФБР.

Предполагается, что правоохранителям не удалось арестовать или идентифицировать администраторов Genesis, поскольку ФБР продолжает активно искать контактировавших с ними пользователей. Многие годы администраторам площадки удавалось оставаться в тени, что указывает на их осведомлённость относительно операционной безопасности. Также отмечается, что часть инфраструктуры Genesis, по всей видимости, не попала в руки спецслужб. На это указывает то, что сайт платформы в даркнете продолжал работу даже после блокировки интернет-площадки Genesis.

Тестовая версия площадки Genesis появилась в 2017 году. К 2020 году платформа стала одним из самых популярных хакерских онлайн-рынков, на котором можно было найти не только ботов или украденную информацию, но и инструменты для дальнейшей работы с этими данными. Операторы площадки зарабатывали на том, что сдавали в аренду ботов, предоставляющих доступ к украденным данным и конфиденциальной информации, включая файлы cookie и «цифровые отпечатки» браузеров.

Полная база данных Genesis насчитывала около 1,5 млн ботов, предоставляющих свыше 2 млн идентификационных данных. На момент проведения операции ФБР на продажу были выставлены 460 тыс. ботов. В общей сложности платформа предлагала около 80 млн учётных данных и «цифровых отпечатков». Genesis предоставлял доступ к широкому списку сервисов, включая Gmail, Facebook✴, Netflix, WordPress, PayPal, Zoom и др. По данным ФБР, купленные на площадки данные использовались в более чем 1 млн киберпреступлений в разных странах мира.

Хакеры взломали серверы компании Western Digital и похитили данные. Производитель жёстких дисков, твердотельных и флеш-накопителей, а также других устройства хранения данных, временно отключил свой облачный сервис My Cloud для предотвращения дальнейших утечек.

Источник изображения: Mika Baumeister / unsplash.com

Калифорнийская компания сегодня подтвердила, что столкнулась с «инцидентом сетевой безопасности» ещё 26 марта. «Согласно нашему внутреннему расследованию, некая неавторизованная сторона получила доступ к определённым данным наших систем. Ведётся оценка природы взлома и тех данных, к которым был получен неавторизованный доступ», — прокомментировали в компании.

В Western Digital также отметили, что взлом «может вызывать проблемы в работе» определённых сервисов компании. На минувших выходных пользователи облачного сервиса Western Digital стали жаловаться на отсутствие доступа к их хранилищу My Cloud. Сайт авторизации My Cloud встречал посетителей с ошибкой «503 сервис временно недоступен».

В компании сообщили, что работают над тем, чтобы отключить некоторые сервисы и системы от общей сети «в качестве упреждающих мер», направленных на изоляцию её IT-систем от злоумышленников. На данный момент неизвестно, подверглась ли Western Digital атаке вируса-вымогателя, который мог бы зашифровать все или часть данных, к которым хакеры могли получить доступ.

Без уточнения деталей в компании заявили, что хакеры «получили доступ к ряду её внутренних систем». Касается ли это пользовательских данных — неизвестно. В настоящий момент Western Digital ведёт консультации со специалистами по кибербезопасности, а также сотрудничает с правоохранительными органами по поводу произошедшего инцидента.

Исследователи из нескольких компаний, работающих в сфере информационной безопасности, сообщили о масштабной хакерской атаке на пользователей приложений для VoIP-телефонии компании 3CX Phone. Злоумышленники из группировки Labyrinth Chollima, которая предположительно связана с правительством Северной Кореи, сумели интегрировать троян в приложения 3CX для Windows и macOS, которые используют свыше 600 тыс. компаний по всему миру.

Источник изображения: Pixabay

Согласно имеющимся данным, хакерам удалось скомпрометировать систему сборки программного обеспечения 3CX, которая используется для создания и распространения новых версий программных продуктов компании для платформ Windows и macOS. Контроль над этой системой дал злоумышленникам возможность скрыть троян в легитимных приложениях для VoIP-телефонии, которые были подписаны с помощью валидного сертификата 3CX. Из-за этого под ударом могут оказаться миллионы пользователей, поскольку приложения 3CX используют компании из разных стран мира, в том числе American Express, Mercedes-Benz, Price Waterhouse Cooper и др.

По данным источника, угрозу могут представлять версии приложений, выпущенные в марте этого года. Речь идёт о версиях под номерами 18.12.407 и 18.12.416 для Windows, а также под номерами 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 для macOS. Механизм атаки запускается, когда пользователь скачивает MSI-установщик с сайта 3CX или производит загрузку пакета обновления. В процессе установки осуществляется извлечение нескольких вредоносных DLL-файлов, необходимых для проведения следующего этапа атаки. Хотя сам исполняемый файл установщика не является вредоносным, упомянутые библиотеки используются для загрузки, извлечения и выполнения зашифрованной полезной нагрузки.

Источник изображения: CheckPoint

После этого производится скачивание из репозитория GitHub файлов ICO с дополнительными строками кода, которые используются для доставки финальной полезной нагрузки на устройства жертв. Источник отмечает, что первые файлы ICO были добавлены на GitHub в декабре прошлого года. Что касается самой вредоносной программы, то речь идёт о неизвестном ранее трояне, предназначенном для кражи информации, включая логины и пароли, хранящиеся в веб-браузерах.

Генеральный директор 3CX Ник Галеа (Nick Galea) написал сообщение на форуме компании, в котором принёс извинения за произошедший инцидент. Он также порекомендовал пользователям удалить версии приложений, которые скомпрометированы злоумышленниками, и временно перейти на использование веб-версии софтфона.

Неизвестный киберпреступник, взломавший децентрализованную финансовую платформу Euler, принёс свои извинения и вернул криптовалюту на сумму $175 млн. Оставшиеся средства он обещал вернуть в кратчайшие сроки и заявил, что задерживает выплату из опасений за свою безопасность.

Источник изображения: Pete Linforth / pixabay.com

В середине марта в результате взлома Euler Finance были похищены цифровые активы в DAI, WBTC, stETH и USDC на общую сумму $197 млн. Разработчики платформы объявили за поимку хакера награду в $1 млн и начали переписываться с ним через транзакции в блокчейне. В какой-то момент он начал возвращать похищенные средства — по данным компании PeckShield, к настоящему моменту он передал активов на $175 млн.

В комментариях к транзакциям хакер принёс извинения за случившееся и заявил, что собирается вернуть все похищенные средства. Однако, по его словам, это займёт какое-то время, потому что он опасается за собственную безопасность. При этом сам киберпреступник уже подвергался атакам со стороны других хакеров, в том числе со стороны группировки Lazarus Group, которую связывают с крупнейшей в истории криптовалютной кражей в результате взлома платформы Ronin, когда у игрового проекта Axie Infinity были похищены активы на $625 млн.

Специалисты из «Лаборатории Касперского» выявили новую фишинговую схему с использованием легитимных серверов SharePoint. Цель злоумышленников заключается в краже учётных данных от почтовых аккаунтов, таких как Yahoo!, AOL, Outlook и Office 365. Атаки такого типа проводятся против сотрудников компаний по всему миру, в том числе в России. В общей сложности за прошедшую зиму было выявлено более 1600 подобных фишинговых писем.

Источник изображения: methodshop / Pixabay

В ходе атаки злоумышленники рассылают уведомления от имени легитимного сервиса, за счёт чего удаётся обходить спам-фильтры. Такой подход позволяет не вызывать подозрений, особенно если в компании SharePoint используется на постоянной основе. Таким образом хакеры не просто прячут фишинговую ссылку на сервере SharePoint, но и распространяют её с помощью родного механизма для рассылки уведомлений. Поскольку сервис Microsoft позволяет делиться файлами, расположенными на корпоративном SharePoint с внешними участниками рабочего процесса, злоумышленникам лишь нужно получить доступ к чьему-то серверу SharePoint посредством аналогичной или другой фишинговой схемы.

Когда получатель переходит по фишинговой ссылке, он попадает на реальный сервер SharePoint, где действительно расположен заявленный файл. Однако внутри этот файл выглядит как ещё одно извещение и содержит иконку файла PDF. Получатель воспринимает это как следующий шаг для скачивания данных и кликает на вредоносную ссылку.

«Эта фишинговая схема опасна тем, что уведомления приходят от имени легитимного сервиса настоящей компании. Тем не менее в данном случае есть красные флаги. Во-первых, неизвестно, кто поделился файлом — файлы от незнакомых людей лучше не открывать. К тому же неизвестно, что это за файл — легитимные адресанты, как правило, объясняют, что они прислали и зачем. Ссылка на скачивание файла ведёт на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint. Файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft», — пояснил Роман Деденок, эксперт «Лаборатории Касперского» по анализу спама.