Киберпреступники КНДР пытались украсть $11 млрд, а украли $100 млн

Киберпреступники КНДР пытались украсть $11 млрд, а украли $100 млн

Киберпреступники КНДР пытались украсть $11 млрд, а украли $100 млн

Компания FireEye опубликовала отчет, согласно которому группа северокорейских киберпреступников, известная под кодовым именем APT38, ответственна за атаки на финансовую сферу. В ходе атак пострадали кредитные организации по всему миру, общий ущерб оценивается в «сотни миллионов долларов».

В опубликованном специалистами исследовании видна четка грань между группировками TEMP.Hermit, Lazarus Group (занимаются кибершпионажем) и APT38 (сфокусирована на атаках на финансовую сферу).

Эксперты предоставили наглядную картинку, отражающую специализации этих трех групп:

Первые признаки вредоносной активности APT38 были зафиксированы еще в 2014 году. Деятельность злоумышленников вращалась вокруг взлома банков и других финансовых организаций, а также криптовалютных бирж.

При этом атаки APT38 никогда не ограничивались какой-то определенной странной или рядом стран. По сути, цели группировки могли находится в любой точке мира. Например, сообщалось о зафиксированных атаках в Польше, Малайзии, Вьетнаме и других подобных странах.

Команда FireEye полагает, что киберпреступники пытались похитить в общей сложности 11 миллиардов долларов, однако им удалось украсть только $100 миллионов. Ознакомиться с полной версией отчета FireEye можно по этой ссылке (PDF).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В установщике Notepad++ нашли уязвимость с повышением привилегий

Если вы недавно ставили Notepad++ версии 8.8.1, есть плохая новость: в инсталляторе обнаружили серьёзную уязвимость, через которую обычный пользователь мог получить права администратора уровня SYSTEM. Всё из-за классической ошибки с «поиском исполняемых файлов не там, где надо».

Суть проблемы — в том, как установщик искал системные утилиты вроде regsvr32. Вместо того чтобы обращаться к ним по абсолютному пути (например, C:\Windows\System32\regsvr32.exe), инсталлятор просто писал regsvr32.

А это значит, что Windows сначала смотрит в ту папку, откуда запускается установщик. Подсовываем туда вредоносную версию — и готово: зловред запускается с правами SYSTEM без всяких предупреждений.

Что особенно тревожно — взаимодействие с пользователем требуется минимальное. Всё, что нужно злоумышленнику, — убедить жертву скачать и положить два файла в одну папку: сам инсталлятор и поддельный regsvr32.exe. Например, в «Загрузки». После запуска установщика эксплуатация происходит автоматически.

 

В Notepad++ быстро отреагировали: уязвимость закрыта в версии 8.8.2. Разработчики обновили скрипт установки и теперь явно указывают путь к regsvr32 — как и советует Microsoft. Так что если у вас до сих пор стоит версия 8.8.1 — самое время обновиться.

Эксплойт уже подтверждён — исследователи выложили PoC и видео с демонстрацией успешной атаки. Уязвимость напоминает другие аналогичные случаи, включая недавние баги в Dell SupportAssist и CVE из 2023-2024 годов.

Что делать:

  • Обновитесь до Notepad++ 8.8.2.
  • Не запускайте установщики из папок с подозрительными файлами.
  • Используйте только оригинальные дистрибутивы.

Очередное напоминание: даже безобидный блокнот может стать точкой входа для атаки, если забыть про абсолютные пути и валидацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru