Хакеры пытаются украсть PoC-коды у ИБ-экспертов с помощью соцсетей

Хакеры пытаются украсть PoC-коды у ИБ-экспертов с помощью соцсетей

Специалистов по поиску и анализу уязвимостей преследуют злоумышленники, которых, по всей видимости, интересуют результаты таких исследований. Авторы необычной кампании создали множество фейковых профилей в соцсетях, а также тематический блог, чтобы вступить в контакт с экспертами, завоевать их доверие и установить бэкдор на целевые компьютеры.

Аналитики из Google произвели разбор текущих атак и пришли к выводу, что их инициатором, скорее всего, является северокорейская группа хакеров, спонсируемых государством. Доступ к компьютерам ИБ-исследователей им нужен, очевидно, для кражи информации, которую можно использовать в целевых атаках, — такой как еще не опубликованные уязвимости и пробные эксплойты (proof-of-concept, PoC).

Расследование выявило ряд поддельных профилей в Twitter, LinkedIn, Telegram и Keybase, с помощью которых злоумышленники пытаются завязать знакомство с представителями ИБ-сообщества. Они имитируют бурную переписку между выдуманными персонажами, выкладывают видео, хвастаясь мнимыми успехами, а также публикуют ссылки на свой блог.

Заинтересовав намеченную жертву, фальшивый «коллега по цеху» напрямую обращается к ней, предлагая поработать вместе, и прикрепляет к сообщению файл для проекта Visual Studio — код некоего эксплойта, якобы для проверки. Как оказалось, этому эксплойту отведена совсем иная роль: после его отработки на машину исследователя устанавливается кастомный бэкдор, который подключается к C2-серверу и ожидает команд.

В некоторых случаях злоумышленники высылают вредоносный файл по email или пытаются провести атаку через браузер, предлагая собеседнику почитать публикации в блоге. По свидетельству аналитиков, этот сайт, специально созданный в зоне .IO, содержит в основном перепечатки чужих отчетов об уязвимостях, иногда подаваемых как вклад «гостя» — приглашенного эксперта.

При заходе в этот блог по указанной ссылке в системе исследователя регистрируется вредоносная служба, и запускается выполняемый в памяти бэкдор. Его сходство по коду с одним из инструментов, используемых APT-группой Lazarus, подтверждает предположение о северокорейских корнях авторов нападения на ИБ-экспертов.

Примечательно, что от эксплойта в данном случае не спасает ни полностью пропатченная Windows 10, ни новейшая версия Chrome. По всей видимости, злоумышленники используют связку каких-то уязвимостей нулевого дня в ОС и браузере Google. Установлено, что взлому подвергаются только 64-битные версии Windows 10, Windows Server 2019 и Windows Server 2016.

Зафиксирован также случай установки бэкдора на Android с браузером Chrome.

Поскольку схема заражения все еще не ясна, специалисты Google призывают ИБ-сообщество активнее делиться деталями наблюдаемых атак, а также информацией о новых уязвимостях в Chrome, за которую можно получить вознаграждение.

Потенциальным жертвам эксплойта рекомендуется проверить историю браузера на наличие адреса blog[.]br0vvnn[.]io и сверить свои контакты в соцсетях со списком фальшивых профилей, приведенным в блоге Google. Используемые компьютеры и виртуальные машины лучше разделить по назначению: одни использовать только для исследований, другие — для обычной навигации в интернете, общения с коллегами или загрузки присланных файлов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

У Wildberries украли 385 млн руб. с помощью бреши в обработке платежей

Руководство интернет-магазина Wildberries обратилось к правоохранителям по факту мошенничества, в результате которого компания потеряла 385 миллионов рублей. Оказалось, что злоумышленники использовали ошибку при обработке платежей.

Схема работала следующим образом: мошенники регистрировались на площадке в качестве продавцов, после чего выставляли несуществующий товар и, выступая уже в роли покупателей, пытались оплатить его по некорректным реквизитам.

Сам реализатор при этом переводил продавцу средства, будто сделка прошла успешно. Эксперты предупреждают, что похожие мошеннические схемы угрожают всем интернет-магазинам, ориентированным на быстрый рост.

Как сообщил «Коммерсант», ему удалось ознакомиться с копией заявления представителей Wildberries, направленного в УВД по СЗАО Москвы. Маркетплейс просит полицию возбудить уголовное дело по факту похищения более 385 миллионов рублей. Фотографию заявления можно найти в Telegram-канале «Банкста».

Подробно мошенническую схему пока никто не описывает, однако известно, что Wildberries в контексте вышеописанных действий переводит продавцу деньги как за успешную продажу. При этом банк блокирует операцию подставных покупателей, но деньги интернет-магазина всё равно уходят продавцам в лице мошенников.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru