В интернете произошла массовая атака на сайты, взломано почти 100 000 проектов

ИТ-компания SafeScan, сообщила об обнаружении очень масштабной хакерской атаки, в результате которой были взломаны многие тысячи веб-сайтов по всему миру. По словам экспертов по безопасности, точное число взломанных веб-проектов пока определить просто невозможно, но скорее всего, это число колеблется в диапазоне от 7 до 115 тысяч сайтов.



Среди пострадавших проектов значатся не только сайты малоизвестных компаний, но и проекты принадлежащие американскому деловому изданию Wall Street Journal, национальной израильской газете Jerusalem Post, популярным международным проектам ServiceWoman.org и IntlJobs.org, а также многим другим.

Компания ScanSafe, входящая в структуры Cisco Systems, сообщает, что используя сети своей головной организации, начала фиксировать атаку еще двое суток назад. По словам Мэри Ландесман, старшего специалиста по безопасности, хакеры, используя дыры в серверном программном обеспечении, начали размещать на веб-страницах злонамеренный HTML-код, который переправлял пользователей на хакерские сайты.

В свою очередь на хакерских сайтах на компьютеры пользователей проводилась инсталляция шпионского и троянского программного обеспечения. При помощи этих разработок, хакеры получали возможность удаленного контроля компьютеров пользователей. На данный момент специалисты по ИТ-безопасности еще не завершили сбор данных об атаках, однако уже сейчас очевидно, что для нападений использовался метод SQL-инъекций, предусматривающий несанкционированные операции с СУБД, работающей на сервере.

Также очевидно, что все взломанные серверы работали под управлением Microsoft Internet Information Services с включенной поддержкой Active Server Pages.

Напомним, что последняя похожая и сопоставимая по масштабам атака была в апреле этого года, когда злоумышленники воспользовались уязвимостью в популярной блог-платформе Wordpress.

Впрочем, сейчас не все из сайтов были реально скомпрометированы, на некоторых страницах хакеры лишь частично разместили код, поэтому атака по факту не работает. Кроме того, на ряде проектов, например на сайтах Wall Street Journal, размещенный код был всего на паре страниц, а не на всем сайте.

В компаниях HP и Microsoft также сообщили, что они в курсе масштабной атаки и уже представили совместное программное обеспечение Scrawir, позволяющее проверить веб-сайты на популярные SQL-уязвимости.

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Аффилиат Darkside заразил сайт вендора охранных систем видеонаблюдения

Группа хакеров, состоявшая в партнерских отношениях с владельцами шифровальщика Darkside, взломала сайт поставщика IP-камер и внесла вредоносный код в два программных пакета, предлагаемых для скачивания. Атаку на цепочку поставок удалось обнаружить и пресечь благодаря оперативности одной из жертв заражения, призвавшей на помощь сторонних специалистов.

Как оказалось, хакеры проникли в ее сеть с помощью вредоносной версии Windows-приложения SmartPSS (предназначено для работы с камерами Dahua). Зловреда 18 мая загрузил с легитимного сайта один из сотрудников пострадавшей компании. Выявив источник, исследователи из Mandiant уведомили вендора о взломе, и сайт уже очистили от инфекции.

Троянизированный инсталлятор установил в систему бэкдор, который эксперты идентифицировали как SMOKEDHAM. Наличие этого выполняемого в памяти зловреда позволило определить авторов атаки: SMOKEDHAM использует единственная ОПГ — в Mandiant ей присвоили кодовое имя UNC2465.

Обеспечив себе точку входа в сеть, злоумышленники закрепились в системе, загрузив с помощью бэкдора легитимную утилиту NGROK. (Эта программа позволяет создавать туннели для интернет-доступа к локальным серверам, размещенным за NAT.).

Через пять дней они пустили в ход дополнительные инструменты: кейлоггер, Cobalt Strike, а также собрали логины и пароли локальных пользователей, сделав дампы памяти lsass.exe. Добыв нужную информацию, взломщики начали продвигаться вширь по сети, используя RDP.

 

Группировка UNC2465 — один из нескольких постоянных клиентов Darkside-сервиса, которых в Mandiant различают по номерам. Такие партнеры обычно взламывают сеть, а затем запускают в нее арендованного шифровальщика, делясь выручкой от его работы с владельцами зловреда.

После закрытия этого одиозного предприятия его клиентура осталась без основного орудия выколачивания денег и начала искать альтернативы. Не исключено, что в ближайшем будущем UNC2465 найдет замену Darkside и возобновит сбор дани с жертв взлома.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru