Предположительно спонсируемые правительством Ирана киберпреступные группировки в ходе своих вредоносных кампаний эксплуатируют уязвимости в VPN-серверах для создания бэкдоров в компаниях по всему миру. Согласно отчету специалистов из израильской компании ClearSky, иранские злоумышленники атакуют предприятия в сфере информационных технологий, телекоммуникаций, нефтегазовой промышленности, авиации, а также госкомпании.
По словам экспертов, «иранские APT-группировки владеют хорошими техническими возможностями для осуществления атак и способны использовать так называемые 1-day уязвимости в относительно короткие периоды времени после их раскрытия». В некоторых случаях преступники эксплуатировали уязвимости в VPN-сервисах в течение нескольких часов после публикации информации о них.
В 2019 году иранские преступники эксплуатировали уязвимости, обнаруженные в серверах Pulse Secure «Connect» VPN (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) и Palo Alto Networks «Global Protect» VPN (CVE-2019-1579). Атаки на данные системы начались еще летом прошлого года и продолжаются в 2020 году. Главными целями злоумышленников являются проникновение в корпоративные сети, перемещение по внутренним системам и установка бэкдоров для дальнейшего использования.
Преступники в ходе атак злоупотребляют функцией Sticky Keys, чтобы получить права администратора на системах под управлением Windows, используют инструменты JuicyPotato и Invoke the Hash, а также легитимное ПО для системного администрирования, такое как Putty, Plink, Ngrok, Serveo или FRP.
В рамках атак преступники используют следующие инструменты: STSRCheck (для выявления открытых портов), POWSSHNET (для туннелирования по протоколу RDP через SSH), кастомные скрипты VBScripts для загрузки TXT-файлов с C&C-сервера и объединения их в исполняемый файл, Port.exe (инструмент для сканирования IP-адресов предопределенных портов).
Как предполагают исследователи, за атаками на VPN-серверы по всему миру стоят по меньшей мере три иранские группировки — APT33 (Elfin, Shamoon), APT34 (Oilrig) и APT39 (Chafer).

Источник: https://www.securitylab.ru/news/505118.php

Специалисты из компании IBM опубликовали ежегодный анализ угроз «IBM X-Force Threat Intelligence Index 2020», демонстрирующий изменения в методах киберпреступников за последний год.
Согласно исследованию, 60% первичных проникновений в инфраструктуру жертвы были осуществлены при помощи ранее украденных учетных данных и известных уязвимостей в ПО. Таким образом, в 2019 году в качестве первоначального метода проникновения фишинг использовался в 31% случаев, тогда как в 2018 году данная цифра достигала почти 50%.
По словам специалистов, в 29% случаев злоумышленники использовали ранее украденные учетные данные. Только в 2019 году было скомпрометировано более 8,5 млрд записей, что на 200% больше по сравнению с предыдущим годом. По результатам исследования, 39% сотрудников компаний применяли один и тот же пароль для нескольких учетных записей, а 28% вовсе не меняли свои пароли. Подобная тенденция вместе с растущим количеством утечек данных дают преступникам возможность проводить масштабные атаки.
Как отметили эксперты, компании продолжают сталкиваться с проблемами безопасности облачных сервисов. Из более чем 8,5 млрд взломанных записей в 2019 году 7 млрд (более 85%) были связаны с неправильной настройкой облачных серверов и других систем.
Банковские трояны, как, например, TrickBot, стали чаще использоваться для проведения масштабных вымогательских кампаний. Шифровальщики и новые коды, которые используют банковские трояны, возглавили рейтинг новых вредоносных программ, появившихся в прошлом году. Новый вредоносный код был замечен в 45% банковских троянов и в 36% шифровальщиков.
Вместе с некоммерческой организацией Quad9 специалисты IBM отметили усиливающуюся тенденцию в сфере фишинга: преступники выдают себя за крупные потребительские бренды, пользующиеся наибольшим доверием пользователей и подделывают ссылки на их сайты с целью фишинга. В числе наиболее крупных брендов, используемых в мошеннических схемах оказались, такие компании, как Google, YouTube и Apple. 6 из 10 наиболее часто используемых мошенниками брендов относились к доменам Google и YouTube. Бренды Apple (15%) и Amazon (12%) также использовались мошенниками для хищения данных пользователей.
Facebook, Instagram и Netflix также вошли в десятку наиболее подделываемых брендов, но со значительно меньшей долей использования.

Источник: https://www.securitylab.ru/news/504859.php

Желание купить картину обернулось для Государственного музея Твенте (Нидерланды) потерей более £2 млн. Как сообщает Bloomberg, художественный музей инициировал переговоры с британским арт-дилером Simon C. Dickinson Ltd о покупке дорогостоящей картины английского художника Джона Констебла, которую директор музея заприметил на европейской художественной выставке.
В течение нескольких месяцев стороны вели переговоры по электронной почте, в какой-то момент злоумышленникам удалось получить доступ к системам одной из организаций и вмешаться в переписку. Под видом арт-дилера они отправили музею поддельные сообщения, после чего последний перевел £2,4 млн ($3,1 млн) на банковский счет в Гонконге якобы принадлежащий Simon Dickinson.
В результате арт-дилер так и не получил причитающиеся ему деньги, а мошенников вычислить не удалось. Теперь пострадавшие стороны в суде выясняют, кто виноват в сложившейся ситуации. В иске, направленном в Высокий суд Лондона, музей обвинил Simon Dickinson в том, что компания не выявила мошенничества с электронными письмами. В свою очередь арт-дилер заявил, что не заметил чужого присутствия в переписке, а музей должен был проверить счет прежде чем отправлять на него средства. Кроме того, обе стороны считают друг друга источником кражи, поскольку каждая из них допустила компрометацию своих систем.
Государственный музей Твенте требует возмещения ущерба. Суд не посчитал ответчика виновным в халатности, но отметил, что пересмотренные требования о возмещении ущерба могут быть приняты к рассмотрению. Теперь суд должен решить, кому принадлежит право собственности на картину.

Источник: https://www.securitylab.ru/news/504590.php

Министерство юстиции США предъявило четырем офицерам Народно-освободительной армии Китая обвинения во взломе бюро кредитных историй Equifax в 2017 году. Согласно обвинительному акту , состоящему из девяти пунктов, четверо обвиняемых незаконно проникли в системы Equifax и похитили как конфиденциальные документы самого бюро, так и персональные данные его клиентов. Обвинение было подано в суде Атланты – городе, где расположен главный офис Equifax.
Ву Чжийон, Ван Цянь, Су Ке и Лю Лей обвиняются в сговоре с целью компьютерного мошенничества (три пункта), экономического шпионажа и мошенничества с использованием средств связи. Кроме того, им предъявлены обвинения в экономическом шпионаже, мошенничестве с использованием средств связи (три пункта), несанкционированном доступе и умышленном причинении вреда защищенному компьютеру (два пункта).
Бюро кредитных историй Equifax подверглось кибератаке в 2017 году. Ее жертвами стала почти половина населения США (около 145 млн человек), а также порядка 1 млн граждан Канады и Великобритании. Похищенные данные включали: имена, адреса, даты рождения, номера социального страхования, а также некоторые данные водительских прав.
Для осуществления атаки злоумышленники могли проэксплуатировать уязвимость в Apache Struts, позволявшую получить несанкционированный доступ к Apache Struts Web Framework и удаленно выполнить произвольный код в целевом web-приложении. Согласно обвинительному акту, уязвимость не была исправлена на online-портале Equifax.

Источник: https://www.securitylab.ru/news/504851.php

Полицейские задержали злоумышленника в одном из самых дорогих отелей столицы, где он временно проживал.
Сотрудники киберполиции Украины задержали в Киеве иностранца, разыскиваемого в США за совершение киберпреступлений. 32-летный иностранец подозревается в хищении $6 млн со счетов американских финансовых учреждений.
Сотрудники ФБР и Службы расследования финансовых преступлений (FNTT) США начали расследование преступной деятельности злоумышленника еще в 2010 году. В 2019 году Украине поступил запрос о предоставлении международно-правовой помощи по розыску и задержанию преступника.
Мужчине выдвинуты обвинения в незаконном вмешательстве в работу компьютерных систем, хищении и отмывании денег в особо крупных размерах и мошенничестве. Полицейские задержали злоумышленника в одном из самых дорогих отелей столицы, где он временно проживал. В настоящее время решается вопрос о выдаче задержанного властям США.

Источник: https://www.securitylab.ru/news/502076.php