Под маской фейковых магазинов: как BogusBazaar похитила данные 850 000 карт
Мошенническая сеть BogusBazaar за последние 3 года оформила более миллиона заказов на фиктивных интернет-площадках, общий объем заказов которых превысил $50 млн. О новой кампании сообщила SRLabs в своем отчете. Фейковые магазины, используя просроченные домены с хорошей репутацией в Google, привлекали жертв под видом выгодных предложений на обувь и одежду, но в итоге похищали данные платежных карт. Более 850 000 покупателей, в основном из Западной Европы, Австралии и США, уже пострадали от этой схемы, а в Китае, где предположительно находится основная база мошенников, жертв практически нет. Сеть включает в себя более 75 000 доменов, из которых около 22 500 были активны по состоянию на апрель 2024 года. SRLabs отмечает, что, хотя каждый случай мошенничества имел относительно небольшой «объем», организованность и распространенность операции позволили злоумышленникам оставаться вне поля зрения правоохранительных органов. Мошенники использовали два основных метода преступления: сбор данных кредитных карт на поддельных страницах оплаты и продажа несуществующего или контрафактного товара через фейковые платежные системы, имитирующие PayPal и Stripe. Клиенты, сделавшие покупку через поддельный сервис, не получали ничего или, в лучшем случае, контрафактные товары. Мошенники также использовали поддельные платежные страницы, которые можно было быстро заменять на новые при обнаружении мошенничества. Организационная структура BogusBazaar напоминает модель «инфраструктура как услуга» (Infrastructure-as-a-Service, IaaS), где главная команда отвечает за управление инфраструктурой, а децентрализованная сеть партнеров управляет мошенническими магазинами. Процесс создания новых сайтов максимально автоматизирован. Большинство серверов BogusBazaar располагаются в США и используют защиту Cloudflare. Один сервер может обслуживать до 500 интернет-магазинов, работающих на WordPress с плагином WooCommerce. Аналитики из SRLabs поделились своими выводами с правоохранительными органами и соответствующими интернет-провайдерами. Некоторые из поддельных магазинов уже отключены, но оценивается, что десятки тысяч сайтов все еще функционируют.
Правосудие настигло преступников: членам хакерской группы ViLe пришлось признать свою вину в суде
Два молодых американца, Сагар Стивен Сингх (20 лет) по прозвищу Weep и Николас Сераоло (26 лет) известный как Ominous/Convict, недавно признали вину по обвинениям в компьютерном взломе и краже личных данных. Ранее они взломали защищённый портал федерального правоохранительного агентства. По данным Министерства юстиции США (DoJ), Сингх и Сераоло использовали украденные учётные данные для несанкционированного доступа к конфиденциальному порталу, потенциально компрометируя множество данных. Обвинения были впервые выдвинуты в марте 2023 года. Расследование дела велось совместными силами представителей Министерства внутренней безопасности США, отдела национальной безопасности и киберпреступности прокуратуры Восточного округа Нью-Йорка, ФБР и полиции Нью-Йорка. Оба подсудимых были членами киберпреступной группы ViLe, которая собирала личную информацию и публиковала её на специальном веб-сайте, требуя выкуп за удаление данных. Логотип группы представлял собой неприглядное изображение повешенной девушки. На момент написания материала сайт группы всё ещё был доступен, однако пугающий логотип был заменён на видео с песней «La rose des vents» французской певицы Франс Галль. Согласно отчёту Брайана Кребса от марта 2023 года, одним из главных «трофеев» обвиняемых хакеров стал взлом американского Управления по борьбе с наркотиками (DEA), имевшего доступ к 16 различным базам данных правоохранительных органов США. Прокуроры сообщили, что Сингх и Сераоло использовали украденный пароль одного из сотрудников правоохранительных органов для доступа к закрытому онлайн-порталу, содержащему записи о наркотиках, разведывательные отчёты и сведения о конфискации валюты. Сингх даже угрожал нанести вред членам семьи жертвы, если те не предоставят ему доступ к своим Instagram-аккаунтам. Эта тактика, известная как «доксинг», может иметь разрушительные последствия для людей, приводя к унижению, преследованию и даже физическому насилию. Оба подсудимых осознавали незаконность своих действий и последствия доступа к конфиденциальной информации. Им грозит от двух до семи лет тюремного заключения. Специальный агент Иван Дж. Арвело отметил, что обвиняемые и их соучастники использовали уязвимости государственных баз данных в личных целях. Прокурор Восточного округа Нью-Йорка, Бреон Пис, осудил действия обвиняемых, подчеркнув всю серьёзность их преступления. Данный случай служит напоминанием о том, что, независимо от мотивов и целей киберпреступников, за любое нарушение закона в цифровой сфере рано или поздно придётся понести справедливое наказание.
«Шотландский миллионер» из Scattered Spider задержан испанской полицией
Полиция Испании задержала ключевого члена известной киберпреступной группы Scattered Spider. Задержанный — 22-летний гражданин Великобритании, был арестован на этой неделе в испанском городе Пальма-де-Мальорка, когда пытался сесть на рейс в Италию. Операция стала результатом совместных усилий ФБР США и испанской полиции. Мужчина обвиняется во взломе корпоративных аккаунтов, что позволило злоумышленникам незаконно получить миллионы долларов. Сообщается, что подозреваемый в какой-то момент контролировал биткоины на сумму 27 миллионов долларов. Задержанный связан сразу с несколькими крупными атаками с использованием программ-вымогателей, осуществлёнными Scattered Spider. Группа исследователей vx-underground подтвердила, что задержанный является SIM-свопером, действовавшим под псевдонимом «Tyler». SIM Swapping — это атака, при которой преступники обращаются к оператору связи с целью переноса номера жертвы на свой SIM, чтобы перехватывать сообщения и получать доступ к онлайн-аккаунтам. По информации журналиста Брайана Кребса, задержанный — 22-летний шотландец Тайлер Бьюкенен, известный под ником «tylerb» в Telegram-каналах, посвящённых SIM-свопингу. Тайлер стал вторым арестованным членом группы Scattered Spider после Ноя Майкла Урбана, которого в феврале этого года обвинили в мошенничестве с использованием проводной связи и краже личных данных, приведших к краже $800 000 у пяти жертв. Scattered Spider, известная также под именами 0ktapus, Octo Tempest и UNC3944, — это группа, занимающаяся финансово мотивированными атаками с использованием социальной инженерии для получения доступа к организациям. Члены группы, возможно, входят в состав крупной киберпреступной сети The Com. Изначально фокусируясь на краже учётных данных и SIM-свопинге, группа перешла к вымогательству данных и атакующим атакам без шифрования, направленным на кражу данных из приложений, работающих по подписке (SaaS). По данным компании Mandiant, участники Scattered Spider активно использовали тактики запугивания для получения учётных данных жертв, включая угрозы разглашения личной информации, физической расправы и распространения компрометирующих материалов. Ранее представители ФБР высказывали предположения, что группировка состоит преимущественно из молодых людей и даже тинейджеров. Вполне возможно, что именно из-за юного возраста и определённой степени максимализма, злоумышленники используют столь жёсткие методы. Активность Scattered Spider имеет сходства с другой группой, отслеживаемой Palo Alto Networks Unit 42 под именем Muddled Libra, также занимающейся кражей данных из SaaS-приложений. Однако эксперты подчёркивают, что это не одна и та же группа. Scattered Spider известна использованием фишинговых наборов для кражи учётных данных Okta, что затрудняет определение виновных. Также группа использовала злоупотребление правами доступа Okta, чтобы расширить вторжение на облачные и SaaS-приложения. Атаки группы характеризуются использованием легитимных утилит для синхронизации облаков, таких как Airbyte и Fivetran, для экспорта данных в контролируемые злоумышленниками хранилища, а также созданием новых виртуальных машин для установления постоянного доступа и обхода защиты. В рамках своих атак Scattered Spider также использовала решения для обнаружения и реагирования на инциденты на конечных устройствах (EDR) для выполнения команд и тестирования доступа к среде.
Исправляйте до релиза: Path Traversal – главный враг разработчиков
CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути (path traversal) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически важные файлы, что нарушает механизмы аутентификации и приводит к удаленному выполнению кода. Ведомства подчеркивают, что подобные действия становятся возможными из-за недостаточной защиты со стороны производителей технологий, которые не рассматривают данные, предоставляемые пользователями, как потенциально вредоносные. Указанные уязвимости могут дать хакерам доступ к конфиденциальной информации, в том числе к учетным данным, что впоследствии используется для брутфорс-атак. Проблема усугубляется тем, что такие уязвимости уже много лет известны как «непростительные», но несмотря на это, они все еще широко распространены, что подтверждается исследованиями классов уязвимостей CWE-22 и CWE-23.
ФБР и CISA рекомендовали разработчикам принять проверенные меры предосторожности, включая:
генерацию случайного идентификатора для каждого файла с хранением связанных метаданных отдельно от имени файла;
ограничение типов символов, которые могут быть использованы в именах файлов;
обеспечение того, чтобы загружаемые файлы не имели прав на выполнение.
Поводом для данного предупреждения стали недавние атаки на критически важную инфраструктуру, в том числе в секторах здравоохранения и общественного здоровья, где злоумышленники использовали уязвимости перехода по каталогам для реализации своих кампаний. Например, в атаках с использованием уязвимости ScreenConnect CVE-2024-1708. Уязвимости перехода по каталогам заняли 8 место в рейтинге 25 наиболее опасных программных уязвимостей по версии MITRE, уступая таким угрозам, как выход за пределы массива (out-of-bounds), межсайтовый скриптинг (cross-site scripting, XSS) и SQL-инъекции.
Открыты для хакеров: SilkSecured бросает вызов суверенитету Китая
Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам.
В ходе работы под названием SilkSecured специалисты рассмотрели:
разрешение доменных имен;
использование сторонних библиотек;
службы удостоверяющих центров (Certificate Authority, CA);
сервисы доставки контента (Content Delivery Network, CDN);
интернет-провайдеров (Internet Service Providers, ISP);
внедрение HTTPS;
интеграцию IPv6;
реализацию DNSSEC (Domain Name System Security Extensions);
производительность сайтов.
В ходе анализа было обнаружено множество проблем:
более 25% доменов государственных сайтов не имели записей name server (NS), что может свидетельствовать о неэффективной конфигурации DNS и возможной ненадежности или недоступности.
выявлена «заметная зависимость» от пяти провайдеров DNS-услуг – нехватка разнообразия, которая может открыть сетевую инфраструктуру для единых точек отказа.
в 4 250 системах использовались версии библиотеки JavaScript jQuery, подверженные XSS-уязвимости CVE-2020-23064 (CVSS: 6.1), то есть сайты могли стать мишенью удаленной атаки, известной уже около 4 лет.
выявлены проблемы с подписями DNSSEC – обнаружено 101 несогласованность между записями поддоменов и записями подписи ресурсов.
широкий спектр уязвимостей, включая проблемы с заголовками, отсутствие защиты от CSRF-атак, отсутствие политик безопасности контента и утечку информации о внутренних IP-адресах.
Несмотря на умеренно распределенную географию интернет-провайдеров, используемых государственными сайтами, исследователи посчитали избыточность серверов недостаточной для оптимальной безопасности и надежности.
Исследователи пришли к выводу, что выявленные проблемы могут не иметь быстрого решения. Уязвимость систем к кибератакам подчеркивает «острую необходимость постоянного мониторинга и обнаружения вредоносной активности». Также отмечена потребность в «жестком отборе и регулярном обновлении» сторонних библиотек. Авторы призывают к «диверсифицированному распределению сетевых узлов» для повышения устойчивости и производительности систем. Результаты исследования вряд ли будут благосклонно восприняты в Пекине, учитывая призывы правительства КНР к улучшению цифровых госуслуг и часто выпускаемые указания об улучшении кибербезопасности.
