Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Приложения OAuth использовались для автоматизации скрытого майнинга
Исследователи Microsoft обнаружили серию киберинцидентов, в которых приложения OAuth использовались для автоматизации фишинговых атак, компрометации деловой почты и скрытого майнинга криптовалют.
Целью хакеров являлись учетные записи, в которых отсутствовали надежные механизмы аутентификации. Через захваченные аккаунты создавались новые приложения OAuth с высокими привилегиями, что обеспечивало вредоносу постоянный и при этом незаметный для пользователя доступ к системе.
В одном из случаев злоумышленник под ником Storm-1283 с помощью OAuth развернул виртуальные машины для майнинга криптовалют. Ущерб варьировался от $10 000 до $1,5 млн в зависимости от продолжительности атаки.
В совокупности эксперты нашли и удалили около 17 000 вредоносных версий приложения, с помощью которых с июля по ноябрь злоумышленники отправили более 927 000 фишинговых писем.
ГРУ Украины заявило о взломе налоговой службы РФ
12 декабря киберподразделение Главной разведки Украины сообщило, что взломало 2300 региональных серверов Федеральной налоговой службы РФ посредством заражения их вредоносным ПО.
Согласно заявлению ГРУ, атака привела к полному уничтожению основной базы данных ведомства и ее резервных копий. Также была взломана российская IT-компания Office.ed-it.ru, предоставляющая ФНС услуги центра обработки данных, из-за чего нарушилась связь между территориальными управлениями налоговой и центральным офисом в Москве.
По оценкам украинской стороны, паралич российской налоговой системы сохранится минимум месяц, а ее полное восстановление маловероятно.
Издание Bleeping Computer не смогло независимо подтвердить эту информацию.
В Испании арестовали предполагаемого лидера хакеров Kelvin Security
7 декабря испанская полиция арестовала в Аликанте гражданина Венесуэлы, предположительно являющегося одним из руководителей хакерской группировки Kelvin Security.
Правоохранители считают, что с 2020 года киберпреступники атаковали не менее 300 правительственных учреждений в 90 странах, включая Испанию, Германию, Италию, Аргентину, Чили, Японию и США. Похищенные данные продавались на хакерских форумах.
Задержанный, по версии следствия, отмывал преступные доходы посредством криптовалют.
Полиция конфисковала компьютерную технику, с помощью которой надеется установить сообщников фигуранта, покупателей данных и других аффилированных с ним лиц.
Сайты двух группировок вымогателей ушли в офлайн
На прошлой неделе серверная инфраструктура банд вымогателей ALPHV (BlackCat) и NoEscape внезапно стала недоступной.
Первые спустя несколько дней восстановили сайты переговоров и утечек данных, хотя и без контента. Инцидент они объяснили сбоями на стороне хостинга.
В свою очередь операторов NoEscape пользователи X заподозрили в экзит-скаме на несколько миллионов долларов.
Между тем ряд независимых источников предположил, что отключение инфраструктур обеих группировок могло произойти после вмешательства правоохранителей США. Издание Bleeping Computer независимо подтвердило эту информацию.
В то же время банда вымогателей LockBit, воспользовавшись моментом, объявила о намерении привлечь в свою команду операторов ALPHV и NoEscape.
Данные одной из жертв ALPHV — Немецкого энергетического агентства — уже размещены на сайте утечек LockBit.
Toyota предупредила клиентов об утечке личной и финансовой информации
Toyota Financial Services, дочерняя компания Toyota Motor Corporation, уведомила клиентов, что третья сторона получила доступ к их конфиденциальным и финансовых данным. Инцидент произошел в ноябре и затронул филиалы в Европе и Африке.
Атаку организовали хакеры Medusa. После того, как им не удалось получить выкуп в размере $8 млн, они слили похищенную информацию на свой сайт утечек.
В число скомпрометированных данных вошли:
Toyota продолжает внутреннее расследование и обещает оперативно проинформировать затронутых клиентов, если выявит дальнейшее раскрытие данных.
В РФ распространились мошеннические схемы с привлечением инвестиций в криптовалюты
С начала 2023 года ИБ-компания F.A.С.С.T. выявила 10 активных мошеннических партнерских программ, привлекающих пользователей из РФ посредством розыгрышей и криптоинвестиций.
Для масштабирования нелегального бизнеса злоумышленники приобретают готовые фишинговые ресурсы и шаблонные страницы с формами для оплаты, а также трафик за долю от украденных у жертв денег.
В основном мошеннические страницы посвящены лотереям с выбором коробочки с призом, инвестициям в криптовалюты и особенно «выгодным» акциям от маркетплейсов. Реже встречаются предложения купить «красивое» доменное имя для сайта.
Ежемесячно одна такая программа может приносить участникам «партнерского сообщества» около 4,3 млн рублей.
Также на ForkLog:
Что почитать на выходных?
Рассказываем о специфике этичного хакинга вместе с сотрудниками украинской аналитической компании HAPI.