Данные сотрудников военных организаций США оказались в руках хакеров

...

Хакеры, взломав сеть новостных ресурсов оборонной индустрии США, получили в свое распоряжение конфиденциальную информацию зарегистрированных пользователей. Это может повлечь за собой серьезные последствия, считаю специалисты.

Согласно источнику, веб-ресурсы корпорации Gannett Government Media Corporation, в число которых входят такие новостные порталы как Defense News, Military Times, Federal Times и Armed Forces Journal подверглись нападению. Об этом зарегистрированные пользователи были поставлены в известность еще в понедельник.

База данных, ставшая достоянием хакеров, содержала не только полные имена, идентификационные номера пользователей, их пароли и адреса электронной почты, но и такую информацию как почтовый индекс, служебное положение и компанию подписчиков.

По мнению экспертов, этот инцидент может обернуться серьезными последствиями, поскольку основную аудиторию пользователей составляют военные, сотрудники организаций – подрядчиков и представители федерального правительства. И данная информация может быть полезна хакерам для организации целевых атак или распространения вредоносных программ посредством электронной почты. Также возможны варианты поиска необходимой информации с использованием полученных паролей.

Пользователи были поставлены в известность еще в понедельник; им было рекомендовано сменить пароли для своих учетных записей как можно скорей.

Однако пока остается неизвестным кто может стоять за этой атакой. На сегодняшний момент ни одна известная хакерская группировка не берет на себя ответственность за инцидент.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru