Сайт Гонконгской фондовой биржи подвергся нападению

Сайт Гонконгской фондовой биржи подвергся нападению

...

Неизвестные злоумышленники атаковали веб-представительство биржи непосредственно перед тем, как на нем должны были появиться важные данные о состоянии акций семи крупных компаний - в том числе, кстати, и самого финансового узла. Руководство биржи приняло решение приостановить операции по этим ценным бумагам.



В принципе результаты торгов можно было разместить и на вспомогательном сайте, который поддерживается специально для подобных случаев, однако в конечном счете решение вопроса склонилось в пользу полномасштабной паузы на все время дневной сессии. Помимо собственно биржи, инцидент затронул такие компании, как HSBC, Cathay Pacific и China Power International.


В настоящее время нет четких сведений о том, какой характер носило кибернападение: был ли веб-сайт взломан, либо же против него была просто предпринята DDoS-атака. Администрация биржи пока что лишь отметила, что от действий злоумышленников пострадал только этот сетевой ресурс; другие системы, отвечающие за ведение торгов и другие финансовые операции, затронуты не были. Хакеры, в принципе, и не могли до них добраться: наиболее важные информационные узлы биржи попросту не подключены к Интернету, чтобы не создавать дополнительных рисков компрометации.


Сообщается, что сегодня торговля ценными бумагами возобновится в полном объеме. Если в этот срок основной сайт не удастся надлежащим образом обезопасить и обеспечить его нормальную работу, то итоги торгов будут размещены на вышеупомянутом резервном ресурсе. Конкретных предположений относительно того, кто может стоять за этой атакой, у руководства биржи пока нет; новая информация будет поступать по мере расследования этого инцидента правоохранительными органами.


Напомним, что в этом году финансовые центры уже подвергались нападениям хакеров: так, в феврале жертвой злоумышленников стала американская биржа Nasdaq. Поскольку информационные активы торговых площадок неплохо защищены и обычно изолированы от Интернета, наиболее вероятным мотивом злонамеренных действий в таких случаях является намерение повлиять на стоимость ценных бумаг и на настроения инвесторов.


Naked Security @ Sophos


Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru