760 компаний стали потенциальными жертвами хакеров, атаковавших сеть RSA

Эксперт в области информационной  безопасности и независимый журналист Брайан Кребс опубликовал список жертв – компаний, которые могут стать следующими в списке злоумышленников, атаковавших сеть одного из гигантов индустрии информационной безопасности RSA Security; в общей сложности потенциальной угрозе оказалось подвержено более 760 компаний, 20% из которых входят в список Fortune 100.

Напомним, что в марте 2011 года, было совершено нападение на сеть RSA Security. Как сообщалось тогда, злоумышленники направили двум небольшим группам сотрудников компании электронные письма со вредоносными вложениями - книгами Microsoft Excel, в которые были внедрены особые Flash-объекты. В случае открытия файлов злоумышленники получали полный контроль над пораженным компьютером и, благодаря этому, смогли украсть алгоритм создания безопасного соединения, используемый во всех токенах RSA, а, следовательно, этой угрозе были подвержены и все клиенты компании.

Стоит отметить, что, несмотря на все опасения экспертов в области безопасности касательно возможных последствий, ни одна компания из перечисленных не заявила о каких-либо нарушениях. Но, г-н Кребс уточнил, что в опубликованном списке указаны те компании, которые подчинялись инфраструктуре управления, идентичной той, что использовалась при атаке на RSA. Боле того, первые жертвы находились под контролем хакеров уже в ноябре 2010 года.

Но, несмотря на долгое и тщательное расследование, остались незакрытыми некоторые вопросы и, рассматривая приведенный список, стоит их учитывать, отмечает автор статьи. Во-первых, в списке есть компании, являющиеся провайдерами Интернет. Поскольку некоторые из их клиентов стали жертвами атаки, то и они оказались в этом же числе. Во-вторых, пока не ясно, сколько систем в каждой компании было скомпрометировано. Были ли это постоянные вторжения либо атакующие просто получили доступ к конфиденциальной информации своих жертв. И, наконец, некоторые из приведенных организаций значатся среди жертв, поскольку их системы были намеренно скомпрометированы в попытке заполучить вредоносный код, который использовался при нападении (касается некоторых антивирусных компаний).

Тем не менее, среди прочих, наиболее значимым оказалось присутствие в списке жертв атаки таких компаний как Cisco Systems, eBay, European Space Agency, Facebook, Freddie Mac, Google, General Services Administration, IBM, Intel Corp., the Internal Revenue Service (IRS), Massachusetts Institute of Technology, Motorola Inc., Novell, Perot Systems, Research in Motion (RIM) Ltd., Seagate Technology, Thomson Financial, Unisys Corp., USAA, Verisign, VMWare и Wells Fargo & Co. (полный список)

По мнению Эдди Уильямса, эксперта по безопасности G Data SecurityLabs, эта атака уже выходит за рамки обычных хакерских атак. «Во-первых, она целенаправленная (targeted), и при ее организации использовались уловки социальной инженерии. Иными словами, кибермошенники заранее выбирали, кому отправить сообщение, чтобы оно было открыто на рабочем месте. Во-вторых, она преследует цели не только покупки и перепродажи корпоративной информации, но и корпоративного шпионажа в пользу конкурентов. Наибольшая опасность для компаний-клиентов RSA представлялась вероятность нападения с целью похищения денег с корпоративных счетов, потери информации, содержащей коммерческую и информацию о применяемых технологиях - «ноу-хау», а так же утечки персональных данных сотрудников. В-третьих, эта атака нацелена не на одну компанию, а сразу на сотни крупнейших компании мира. Это делает ее более опасной, а прибыль кибермошенников более весомой», считает эксперт.

«Помимо компаний от такой утечки могут пострадать и обычных пользователи ПК», - добавил он. «Например, их персональные данные из Google, Facebook, Sony и других компаний, могут утечь в руки киберпреступников, в сеть или на подпольные форумы. Но это в случае того, если компания-клиент RSA не откажется от использования токенов именно этой марки. Если учесть тот факт, что RSA является крупнейшим игроком рынка подобных услуг, то это будет не так просто. Паниковать пока не стоит, так как ни одна компаний из списка, еще не заявила об утечке информации. Поэтому мы можем только предполагать, что может случиться в случае реальной утечки».    

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер XFiles штурмует Windows через эксплойт Follina

Исследователи из Cyberint обнаружили, что схема доставки зловреда XFiles изменилась. Цепочка заражения теперь включает эксплойт CVE-2022-30190 — к уязвимости в Microsoft Support Diagnostic Tool (MSDT), получившей известность как Follina.

Уязвимость нулевого дня CVE-2022-30190, позволяющая удаленно выполнить любую команду PowerShell с помощью вредоносного документа Microsoft Office, была выявлена в конце прошлого месяца. Патч вышел две недели назад в составе плановых обновлений для Windows.

Файлы, используемые для доставки XFiles через эксплойт, вероятнее всего попадают на машины вместе со спам-письмами. Анализ показал, что в подобный документ вставлен объект OLE, указывающий на HTML-файл на внешнем ресурсе. Последний содержит JavaScript, выполняющий эксплойт Follina. Затем следует вызов строки кода с PowerShell-командами, которые обеспечивают зловреду постоянное присутствие в системе и запуск на исполнение.

Следующий модуль, ChimLacUpdate.exe, содержит вшитый шелл-код и ключ AES для расшифровки полезной нагрузки. Исполнение в данном случае происходит в памяти того же запущенного процесса через вызов API.

По завершении заражения вредонос приступает к выполнению основных задач. Они типичны для инфостилера — кража куки, паролей и истории браузера, сбор данных о криптокошельках, снимки экрана, поиск учеток Telegram и Discord. Добытая информация сохраняется локально, а затем выводится через Telegram.

 

В Cyberint исправно отслеживают операции XFiles Reborn и заметили, что кибергруппа разрослась за счет активного рекрутинга; появились также новые проекты. Так, к ОПГ примкнул автор Whisper Project — инфостилера, быстро набиравшего популярность в криминальных кругах; в итоге этот проект пришлось свернуть. Из новых, запущенных в рамках XFiles Reborn, внимания заслуживает Punisher Miner, который позиционируется как очень скрытный добытчик криптовалюты. Его продают за 500 рублей — столько же стоит месячная аренда инфостилера XFiles.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru