Огляд інцидентів безпеки за період з 25 лютого по 3 березня 2019 року

  • Дата 05/03/2019

У РФ зафіксована масштабна шкідлива кампанія, спрямована на російські підприємства.

Особливість атак полягає у використанні пристроїв зі сфери "Інтернету речей", зокрема маршрутизаторів, для фішингової розсилки та маскування під відомі бренди ("Ашан", "Магніт", "Славнефть", "Діксі", Metro Cash & Carry, Philip Morris, ГК "ПІК" та ін.). За даними експертів, зловмисники атакували понад 50 великих російських компаній. Атаки стартували ще в листопаді 2018 року, основний їх пік припав на лютий 2019 року. Назви постраждалих підприємств і сума завданих збитків не розголошуються.

Кіберзлочинці активно атакують підприємства США, Європи, Азії та Південної Америки за допомогою нової версії банківського трояна Qbot, призначеного для крадіжки фінансової інформації. Інфікувавши мережу, троян здійснює брутфорс-атаки на облікові записи користувачів з групи "Active Directory Domain Users". Шкідливе ПЗ фіксує натискання клавіш, сканує всі системні процеси на предмет пов'язаних з записами банківських операцій й краде облікові дані.
Невідомі скомпрометували сайт посольства Бангладешу в Каїрі та використовують його для поширення шкідливих документів MS Word, встановлюючи на комп'ютери жертв завантажувачі шкідливого ПЗ. Всі спроби фахівців зв'язатися з власниками домену залишилися безрезультатними, тому наразі сайт все ще залишається скомпрометованим.
Фахівці команди Cisco Talos зафіксували сплеск атак на незахищені кластери Elasticsearch. Що цікаво, кластери атакують відразу шість різних груп. Зловмисники експлуатують відомі уразливості в версії Elasticsearch 1.4.2 і більш ранні, за допомогою скриптів заражають системи шкідливим ПЗ і майнерами криптовалют.
Експерти компанії Sucuri виявили нову шкідливу кампанію, в ході якої кіберзлочинці викрадають дані банківських карт користувачів online-магазинів на Magento за допомогою шкідливих скриптів, замаскованих під Google Analytics та Angular. Станом на 28 лютого підроблені скрипти присутні як мінімум на 40 сайтах, причому під управлінням не тільки Magento, а й інших CMS, в основному WordPress, Joomla та Bitrix.
Зловмисники скористалися доступними в мережі PoC-кодами для нової уразливості в ядрі Drupal й тепер активно атакують сайти на базі цієї платформи. Експерти зафіксували сотні атак, в рамках яких кіберзлочинці використовували один з PoC-кодів для компрометації непропатченних сайтів на Drupal і впровадження JavaScript криптомайнера CoinIMP, призначеного для видобутку Monero.
Минулого тижня експерти в галузі безпеки помітили першу шкідливу кампанію, яка експлуатує гучну вразливість в архіваторі WinRAR для зараження комп'ютерів користувачів шкідливим ПЗ. Фахівці виявили електронну розсилку, що поширює RAR архів, який при розпакуванні встановлює на комп'ютер інструмент Cobalt Strike Beacon, застосовуваний зловмисниками для отримання віддаленого доступу до комп'ютера.
Минулий тиждень не обійшовся і без повідомлень про витік даних. Зокрема, в мережі був виявлений AWS сервер з незахищеною базою даних Elasticsearch, що містить дані 2,4 млн фігурантів списку клієнтів підвищеного рівня ризику американської аналітичної компанії Dow Jones (Dow Jones Watchlist, DJW). Записи включали різну інформацію, в тому числі імена, адреси, дані про поле, міста і місцезнаходження, дати народження, в деяких випадках фотографії. У витоці даних представники компанії звинуватили стороннього підрядника, який некоректно сконфігурував сервер. Доступ до бази даних вже закритий.

Read 176 times

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Карбишева 2, оф. 238

  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

  • 0733 406 100

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top