Для киберпреступности не существует такой вещи, как медленная неделя, а это означает, что охватить все разведывательные данные об угрозах и интересные истории — сложная, если не невыполнимая задача. Эта неделя не стала исключением и, по сути, принесла настоящий кладезь важных событий, о которых было бы упущением не упомянуть.
А именно: опасные вредоносные кампании! Информация-кража! Захват аккаунта YouTube! Криптовалюта в осаде! Предупреждения Майкрософт!
В свете этого Dark Reading запускает еженедельный дайджест «на случай, если вы пропустили» (ICYMI), в котором собраны важные новости за неделю, которые у наших редакторов просто не было времени освещать раньше.
На этой неделе читайте больше о следующем, ICYMI:
- Умные фабрики сталкиваются с лавинообразным ростом киберактивности
- Lazarus Group, вероятно, стоит за крипто-грабежом на 100 миллионов долларов
- Банда 8220 добавляет ошибку Atlassian в цепочку активных атак
- Киберспециалисты по критической инфраструктуре чувствуют себя безнадежными
- Хакер выдает себя за TrustWallet в мошенничестве с крипто-фишингом
- Кража файлов cookie YTStealer захватывает учетные записи YouTube
- Ошибка Follina, используемая для распространения шпионского ПО XFiles
Умные фабрики сталкиваются с лавинообразным ростом киберактивности
Согласно опросу, проведенному на этой неделе, колоссальные 40% умных фабрик по всему миру подверглись кибератакам.
Умные фабрики, на которых датчики и оборудование промышленного Интернета вещей (IIoT) используются для снижения затрат, получения телеметрии и поддержки автоматизации, официально существуют. цифровизация производства идет полным ходом. Но, по данным Исследовательского института Capgemini, это замечают и кибератаки.
Среди отраслей тяжелая промышленность столкнулась с наибольшим объемом кибератак (51%). Эти атаки также принимают разные формы: 27% фирм наблюдают увеличение на 20% и более числа ботов-пастухов, захвативших конечные точки IIoT для распределенных атак типа «отказ в обслуживании» (DDoS); и 28% фирм заявили, что, например, они наблюдают увеличение на 20% и более числа сотрудников или поставщиков, приносящих зараженные устройства.
«Поскольку «умная фабрика» является одной из знаковых технологий перехода к оцифровке, она также является главной мишенью для кибератак, которые чуют свежую кровь», — говорится в сообщении. к отчету.
В то же время фирма также обнаружила, что почти в половине (47%) организаций кибербезопасность интеллектуальных заводов не является проблемой высшего уровня.
Lazarus Group, вероятно, стоит за крипто-грабежом на 100 миллионов долларов
Исследователи безопасности возлагают взлом криптобиржи Horizon Bridge на 100 миллионов долларов на печально известную северокорейскую Lazarus Group продвинутая постоянная угроза.
Horizon Bridge позволяет пользователям блокчейна Harmony взаимодействовать с другими блокчейнами. Ограбление произошло 24 июня, когда преступники скрылись с различными криптоактивами, включая Ethereum (ETH), Tether (USDT), Wrapped Bitcoin (WBTC) и BNB.
Согласно Elliptic, есть явные признаки того, что за инцидентом стоит Лазарус. Исследователи отметили, что группа не только осуществляет классическую деятельность APT, такую как кибершпионаж, но и действует как источник дохода для северокорейского режима.
По словам Elliptic, воры в этом случае отправили 41% от 100 миллионов долларов украденных криптоактивов в миксер Tornado Cash, который, по сути, действует как отмыватель денег.
Банда 8220 добавляет ошибку Atlassian в цепочку активных атак
Группа 8220 добавила последнюю критическую уязвимость безопасности, затрагивающую Atlassian Confluence Server и ЦОД на свой набор уловок для распространения криптомайнеров и IRC-бота, предупредила Microsoft на этой неделе.
Китайскоязычная группа угроз активно использует ошибку с момента ее обнаружения в начале июня.
«Группа активно обновляла свои методы и полезные нагрузки за последний год. Самая последняя кампания нацелена на системы i686 и x86_64 Linux и использует эксплойты RCE для CVE-2022-26134 (Confluence) и CVE-2019-2725 (WebLogic) для начального доступа», — сообщает Центр анализа безопасности Microsoft. чирикал.
Киберспециалисты по критической инфраструктуре чувствуют себя безнадежными
Ошеломляющие 95% руководителей кибербезопасности в критически важных национальных инфраструктурных организациях в Великобритании говорят, что они могут уйти с работы в следующем году.
Согласно опросу из Брайдвелла 42% считают разрыв неизбежным и не хотят омрачать свою карьеру, а 40% говорят, что испытывают стресс и выгорание, которые влияют на их личную жизнь.
При этом более двух третей опрошенных говорят, что объем угроз и успешных атак увеличился за последний год — и 69% говорят, что стало труднее обнаруживать угрозы и реагировать на них.
Хакер выдает себя за TrustWallet в мошенничестве с крипто-фишингом
За последние недели более 50,000 XNUMX фишинговых писем, отправленных с вредоносной учетной записи Zendesk, попали в почтовые ящики с целью завладеть учетными записями TrustWallet и вывести средства.
TrustWallet — кошелек Ethereum и популярная платформа для хранение невзаимозаменяемых токенов (NFT). Исследователи Vade заявили, что фишинг имитирует службу, используя привлекательный и убедительный сайт под брендом TrustWallet, чтобы запрашивать у пользователей фразы для восстановления пароля на гладкой фишинговой странице TrustWallet.
В то же время электронные письма вряд ли вызовут срабатывание фильтров шлюза электронной почты, поскольку они отправляются с Zendesk.com, который является надежным доменом с высокой репутацией.
«Поскольку в последние недели в NFT и криптовалютах в целом наблюдается значительный спад, инвесторы, находящиеся на грани, скорее всего, быстро отреагируют на электронные письма о своих крипто-счетах», — говорится в отчете. анализ Вейда на этой неделе.
Кража файлов cookie YTStealer захватывает учетные записи YouTube
На форумах Dark Web появилась невиданная ранее угроза «вредоносное ПО как услуга», целью которой является захват учетных записей YouTube.
Исследователи из Intezer отметили, что вредоносное ПО, которое прямо называется YTStealer, работает для кражи файлов cookie аутентификации YouTube у создателей контента, чтобы удовлетворить подпольный спрос на доступ к аккаунтам YouTube. Файлы cookie извлекаются из файлов базы данных браузера в папке профиля пользователя.
«Для проверки файлов cookie и получения дополнительной информации об учетной записи пользователя YouTube вредоносная программа запускает один из установленных веб-браузеров на зараженной машине в автономном режиме и добавляет файл cookie в свое хранилище файлов cookie», — говорится в сообщении. к анализу. «[Таким образом] вредоносное ПО может управлять браузером так, как если бы злоумышленник сел за компьютер, а текущий пользователь ничего не заметил».
Оттуда YTStealer переходит на страницу управления контентом YouTube Studio и собирает данные, в том числе название канала, количество подписчиков, сколько ему лет, монетизируется ли он, является ли это официальным каналом артиста и было ли имя проверено.
Ошибка Follina, используемая для распространения шпионского ПО X-Files
Происходит череда кибератак, целью которых является использование уязвимости Microsoft Follina для получения множества конфиденциальной информации от жертв.
Follina — это недавно исправленная ошибка удаленного выполнения кода (RCE), которую можно использовать с помощью вредоносных документов Word. Он начал свою жизнь как неисправленный нулевой день, который быстро завоевал популярность среди групп киберпреступников.
Согласно отчету исследовательской группы Cyberint, переданному Dark Reading по электронной почте, аналитики обнаружили несколько кампаний по краже XFiles, в которых уязвимость Follina использовалась на этапе доставки.
«Группа, продающая стилер, базируется в России и в настоящее время стремится к расширению», — говорят исследователи. «Недавние данные свидетельствуют о том, что по всему миру [идут] кампании субъектов угроз».
Похититель извлекает данные из всех браузеров на основе Chromium, Opera и Firefox, включая историю, файлы cookie, пароли и информацию о кредитных картах. Он также поднимает учетные данные FTP, Telegram и Discord и ищет предопределенные типы файлов, которые находятся на рабочем столе жертвы вместе со снимком экрана. Он также нацелен на другие клиенты, такие как Steam, и криптокошельки.
