Данные сотрудников военных организаций США оказались в руках хакеров

...

Хакеры, взломав сеть новостных ресурсов оборонной индустрии США, получили в свое распоряжение конфиденциальную информацию зарегистрированных пользователей. Это может повлечь за собой серьезные последствия, считаю специалисты.

Согласно источнику, веб-ресурсы корпорации Gannett Government Media Corporation, в число которых входят такие новостные порталы как Defense News, Military Times, Federal Times и Armed Forces Journal подверглись нападению. Об этом зарегистрированные пользователи были поставлены в известность еще в понедельник.

База данных, ставшая достоянием хакеров, содержала не только полные имена, идентификационные номера пользователей, их пароли и адреса электронной почты, но и такую информацию как почтовый индекс, служебное положение и компанию подписчиков.

По мнению экспертов, этот инцидент может обернуться серьезными последствиями, поскольку основную аудиторию пользователей составляют военные, сотрудники организаций – подрядчиков и представители федерального правительства. И данная информация может быть полезна хакерам для организации целевых атак или распространения вредоносных программ посредством электронной почты. Также возможны варианты поиска необходимой информации с использованием полученных паролей.

Пользователи были поставлены в известность еще в понедельник; им было рекомендовано сменить пароли для своих учетных записей как можно скорей.

Однако пока остается неизвестным кто может стоять за этой атакой. На сегодняшний момент ни одна известная хакерская группировка не берет на себя ответственность за инцидент.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

В прошлом месяце в разных странах были зафиксированы атаки неизвестной ранее APT-группы. Мишенью во всех случаях являлись телеком-провайдеры, целью атак, по всей видимости, являлся шпионаж.

Проникнув в корпоративную сеть, злоумышленники, которых в SentinelOne нарекли Sandman, воруют админ-пароли, проводят разведку и взламывают заинтересовавшие их рабочие станции Windows, используя технику pass-the-hash. Внедряемый в системы модульный бэкдор нов и необычен: для его реализации используется компилятор LuaJIT.

Анализ показал, что вредонос, получивший кодовое имя LuaDream, качественно выполнен, получает поддержку и активно развивается. Метки времени компиляции и найденные в коде артефакты говорят о том, что Sandman начали готовиться к августовской кампании более года назад.

Процесс развертывания LuaDream в системе многоступенчатый, вредоносный код загружается непосредственно в память. В результате факт заражения может долго оставаться незамеченным.

 

Аналитики насчитали 13 основных компонентов бэкдора и 21 вспомогательный. Первостепенной задачей зловреда является эксфильтрация системных и пользовательских данных; он также осуществляет управление полученными плагинами, расширяющими его функциональность.

Для защиты от обнаружения и анализа вредоносу приданы различные антиотладочные средства. Для C2-коммуникаций вредонос устанавливает контакт с доменом mode.encagil[.]com, используя WebSocket. Дополнительные модули обеспечивают поддержку и других протоколов — TCP, HTTPS, QUIC.

Вредоносные программы на Lua очень редки, за последние десять лет было выявлено лишь несколько таких творений: шпион Flame, бэкдор Dino, тулкит Project Sauron, Linux-червь Shishiga. Исследователи не исключают, что LuaDream является вариантом зловреда DreamLand, упомянутого в отчете Kaspersky об APT-угрозах в I квартале 2023 года.

Каким образом Sandman получает первичный доступ к целевым сетям, не установлено. Атаки зафиксированы в Западной Европе, на Ближнем Востоке и в Южной Азии.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru