Trend Micro отмечает быстрый рост угроз в сфере облачных вычислений и мобильных ОС за последний квартал

Во втором квартале 2011 года были отмечены стремительное распространение вредоносного ПО для Android, а также многочисленные утечки данных из облачных сред. Такого никогда раньше не наблюдалось. Кроме того, мошенничество в социальных сетях стало еще более изощренным: киберпреступники продолжают изобретать новые схемы для обмана пользователей.



«Судя по тому, с какой скоростью киберпреступники совершают атаки, в том числе и целенаправленные, сложно даже представить себе, сколько компаний и пользователей пострадает от них до конца этого года», – говорит Раймунд Генес (Raimund Genes), технический директор Trend Micro.

Краткий перечень недавних атак, утечек данных, эксплойтов и схем мошенничества:

  • Апрельская атака на Epsilon наглядно продемонстрировала уязвимость данных и конфиденциальной информации при взломе электронной почты. Всем стало ясно, что атаки усложняются и становятся более опасными.
  • В течение второго квартала специалисты Trend Micro несколько раз публиковали результаты исследований, которые показали, насколько опасно просматривать аккаунты через почтовые клиенты на работе и загружать приложения с внедренными троянами. Опасность угрожает как отдельным пользователям, так и компаниям.
  • По количеству атак эксплойтов лидирует Microsoft, на эту компанию было совершено целых 96 атак. На втором и третьем местах расположились Google и Adobe – 65 и 62 атаки соответственно.
  • Компания Apple, которая была основной целью атак в первом квартале, на этот раз не вошла в первую десятку. Однако количество эксплойтов для мобильных устройств Mac и Apple по-прежнему увеличивается.
  • В связи с ростом популярности ОС Android во втором квартале она подверглась как минимум трем атакам. Как и ранее известные вредоносные программы для Android, все три новые угрозы представляли собой поддельные приложения или обновления. При этом атаки были направлены на разные объекты.
  • Сеть Facebook подверглась нескольким спам-атакам. Через различные сервисы Facebook распространялись вредоносные ссылки, а также скрипты, которые пользователи зачастую копировали сами. Все эти атаки привели к краже данных.

Успехи в борьбе с киберпреступностью

Несмотря на то что атаки становятся все изощреннее, Trend Micro и другие крупные компании во втором квартале года достигли больших успехов в борьбе с киберпреступностью.

  • Компания Trend Micro приняла участие в закрытии управляющего сервера CARBERP, который с начала 2010 года совершал кражи данных у пользователей со всего мира.
  • Trend Micro успешно блокировала вредоносные URL-адреса в течение всего второго квартала и несколько месяцев подряд находилась на «доске почета» Microsoft.
  • Также мы внесли свой вклад в закрытие ботнет-сети CoreFlood, сотрудничая с ФБР и Министерством юстиции США. Тем временем парламент Японии одобрил поправки в законодательство о киберпреступлениях, которые предусматривают ответственность авторов вредоносного ПО, разработанного без соответствующих законных оснований и/или с целью запуска в системах без согласия их владельцев.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шпионы Shedding Zmiy проникли в десятки российских организаций

По данным ГК «Солар», нацеленная на шпионаж APT-группа с условным именем Shedding Zmiy объявилась в России в 2022 году. На ее счету уже несколько десятков атак на госструктуры, промпредприятия, телеком-сети и другие объекты критической важности.

Обнаружив в ходе анализа бэкдор CobInt, эксперты предположили, что автор целевых атак — группировка Cobalt (это ее «фирменный» инструмент). Однако расследование показало, что это не так: взломщики не искали финансовой выгоды, они воровали данные с тем, чтобы использовать их в дальнейших атаках или слить в Telegram.

Обширный набор инструментов и техник позволяет Shedding Zmiy каждый раз менять тактику. Кибершпионы также подняли множество C2-серверов на территории России, воспользовавшись услугами облачных и хостинг-провайдеров, что помогает им обходить блокировки по GeoIP.

В атаках применяются и выложенные в паблик зловреды, и спецразработки под конкретные цели (загрузчики, бэкдоры, веб-шеллы). Для хранения вредоносного кода иногда используются взломанные серверы.

В арсенале Shedding Zmiy исследователи суммарно насчитали 35 инструментов разного назначения и 20 используемых уязвимостей — в основном хорошо известных, таких как Log4Shell, ProxyShell и PrintNightmare .

Один эксплойт оказался редким и замысловатым. Соответствующую уязвимость в ASP.NET (десериализация ненадежных данных в параметре VIEWSTATE) разработчики Microsoft пытались устранить еще десять лет назад, но затем оставили эту затею — в «Солар» полагают, из-за сложности использования лазейки.

«В процессе расследований мы нашли как знакомые по деятельности группы Cobalt вредоносные инструменты, так и не встречавшиеся ранее уникальные образцы ВПО, в частности, бэкдор Bulldog и загрузчик XDHijack, — отметил эксперт из команды Solar 4RAYS Антон Каргин. — Кроме того, группировка разработала целый фреймворк для эксплуатации уязвимости десериализации VIEWSTATE. Всё это говорит о высоком профессионализме злоумышленников и немалых ресурсах».

Участники Shedding Zmiy также активно используют элементы социальной инженерии. Так, в ходе одной из атак они создали в Telegram поддельный аккаунт ИБ-специалиста целевой компании и от его имени выманили у сотрудника учетные данные для доступа к внутренних хостам.

В другом случае злоумышленники сыграли на доверии между компаниями-партнерами (атака типа Trusted Relationship): взломав сеть телеком-провайдера, разослали от его имени десятки вредоносных писем в другие организации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru