Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Зафиксирована первая атака хакеров из КНДР Lazarus на Россию

Специалисты компании Check Point зафиксировали кибершпионскую кампанию северокорейских правительственных хакеров из группировки Lazarus. Удивительно, что в этот раз киберпреступники выбрали в качестве целей российские организации.

Если эксперты не ошиблись в своих выводах, это первый инцидент подобного рода — прежде хакеры из КНДР никогда не нападали на Россию.

«Впервые мы наблюдаем кибератаку северокорейской группы на российские организации. Несмотря на то, что на данном этапе довольно проблематично с точностью установить киберпреступную группу, все методы и тактика указывают на Lazarus», — пишут исследователи в отчете.

Если точнее, эксперты полагают, что атаки исходят от Bluenoroff — специального подразделения, входящего в состав группы Lazarus.

Пейлоад конечного этапа, используемый в этой кампании, представляет собой бэкдор KEYMARBLE, который загружается со скомпрометированного сервера в виде CAB-файла, замаскированного под изображение JPEG — http://37.238.135[.]70/img/anan.jpg.

Взломанный сервер принадлежит «South Oil Company», хостер сервера — EarthLink Ltd.

Вся схема атаки выглядит следующим образом:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники звонят под видом Госуслуг, выманивают СМС-код для угона аккаунта

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК МВД России) продолжает выявлять случаи телефонного мошенничества, связанного с «обновлением учетной записи».

Злоумышленники пытаются получить доступ к аккаунту, убеждая жертву передать код из СМС, используемый для двухфакторной аутентификации при восстановлении доступа.

Как сообщает официальный телеграм-канал УБК МВД «Вестник киберполиции России», атаки на пользователей портала Госуслуг не теряют актуальности.

«Почему звонки с предложением обновить аккаунт на Госуслугах — это всегда мошенничество? Потому что сам портал не обзванивает пользователей. Это технически невозможно: услугами портала пользуется более 110 млн человек, а для обзвона всех за месяц потребовалась бы команда из 7,5 тыс. операторов, что экономически и организационно неосуществимо», — говорится в сообщении.

Для информирования пользователей Госуслуг используются три официальных канала:

Все сообщения, требующие срочного обновления учетной записи, особенно сопровождающиеся настойчивыми звонками, являются признаком мошенничества.

Взломанные аккаунты на Госуслугах чаще всего используются для оформления кредитов в микрофинансовых организациях от имени владельца учетной записи. Кроме того, такие аккаунты могут применяться для фиктивной регистрации приезжих, в том числе мигрантов.

Помимо телефонных звонков, мошенники используют другую схему — регистрацию на портале Госуслуг с телефонными номерами, которые ранее были привязаны к учетным записям, но впоследствии перевыпущены мобильными операторами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru