«Черви» корпоративной среды
Компания Red Canary («Красная канарейка») опубликовала отчет 2020 Threat Detection Report [1], в котором проанализировала 15 тыс. подтвержденных угроз, выявленных по методике MITRE ATT&CK из собираемых компанией данных телеметрии. В отчете утверждается, что для современной вредоносной активности характерно использование «червей», прежде всего TrickBot., для распространения внутри атакуемой среды. Самыми популярными техниками проникновения по классификации MITRE ATT&CK оказались следующие: инъекции постороннего кода в процесс (T1055), расширение административных полномочий в Windows (T1077), использование языка PowerShell (T1086), удаленного копирования файлов (T1105) и планировщика (Т1053). Все техники вредоносной активности свойственны для «червей»: три из них использует TrickBot, две оставшиеся – средства удаленного администрирования (RAT). Компания сформулировала типовой набор инструментов для проникновения: «троянец» Emotet, применяемый для проникновения внутрь корпоративной среды, «червь» TrickBot для горизонтального распространения внутри и «вымогатель» Ryuk как финальная цель заражения. По такому сценарию были реализованы наиболее известные атаки WannaCry и NotPetya 2017 г. и серия атак на муниципальные организации в 2019 г. В настоящее время методика продолжает активно использоваться, что и показано на примерах из отчета компании.
Захват поддоменов
Команда исследователей под названием VULLNERAB1337 опубликовала анализ DNS-структуры компании Microsoft и обнаружила большое количество поддоменов, которые ей не принадлежат. Исследователи даже назвали количество таких доменов – более 670. Это чревато тем, что злоумышленники могут встроить свой сайт в систему Microsoft и в дальнейшем применить его для проведения фишинговой атаки. Если при этом используется не безопасный протокол HTTP, то пользователь даже не сможет понять, кому именно принадлежит, например, такой домен, как mybrowser.microsoft.com (впрочем, его уже не существует). Тем не менее, платформы Github, Amazon Web Services, Azure, Pantheon, Shopify, WordPress, Fastly, Heroku, Tumblr и многие другие часто дают возможность инъекции посторонних записей в DNS для создания вредоносных поддоменов,что упрощает фишинг с помощью подобных платформ и не позволяет пользователям адекватно оценить безопасность URL-ссылки. Этим и пользуются авторы «троянцев» для проникновения в корпоративные сети.
Задержаны российские кардеры
По сообщению Брайана Кребса [3], который ссылается на отчет ФСБ, на территории России были задержаны более 30 членов преступной группы кардеров, которые торговали данными платежных карт. Группой было создано 90 электронных магазинов по продаже финансовой информации, которая использовалась для хищения денежных средств. Кребс связывает задержанную группу с Алексеем Строгановым (псевдонимы Flint и Flint24), который, по его сведениям, является крупным торговцем данными карт, полученными в результате крупных утечек информации у западных ритейлеров. Как тут не вспомнить утечку в Target? При обыске у задержанных были обнаружены денежные средства в размере 1 млн долл. и 3 млн руб.
Платформа DEER.IO закрыта
Агенты ФБР арестовали администратора платформы для хостинга криминальных сайтов DEER.IO Кирилла Викторовича Фирсова и взяли под контроль расположенные на этой платформе электронные магазины [4]. По данным Бюро и департамента юстиции США на платформе располагалось 24 тыс. электронных магазинов, которые торговали корпоративными данными. Годовой оборот сайтов составлял около 17 млн долл. Агенты ФБР не обнаружили на DEER.IO ни одного легального магазина, хотя платформа функционировала с октября 2013 г.
Перевыпуск сертификатов
Компания Let’s Encrypt, которая занимается выпуском бесплатных TLS-сертификатов, объявила программу их перевыпуска в связи с обнаруженными ошибками [5]. В коде была обнаружена ошибка, которая была допущена в июле прошлого года и делала уязвимым почти 3 млн выданных с того времени сертификатов – почти 2,6% активных сертификатов, выданных данной компанией. Let’s Encrypt в соответствии с регламентами вынуждена отозвать уязвимые сертификаты и предлагает клиентам их перевыпустить. Для владельцев большого количества серверов предлагается специальный инструмент для выявления уязвимых сертификатов. Следует отметить, что в феврале 2020 г. компания выпустила свой миллиардный сертификат.
[1] https://redcanary.com/blog/worms-dominate-2020-threat-detection-report/
[2] https://www.darkreading.com/vulnerabilities—threats/researchers-find-670+-microsoft-subdomains-vulnerable-to-takeover/d/d-id/1337246
[3] https://krebsonsecurity.com/2020/03/russians-shut-down-huge-card-fraud-ring/
[4] https://www.hackread.com/cyber-crime-marketplace-deer-io-seized-admin-arrested/
[5] https://threatpost.com/lets-encrypt-revoke-millions-tls-certs/153413/