Обзор инцидентов безопасности за период с 22 по 28 апреля 2019 года

Специалисты компании Check Point раскрыли подробности кампании, в рамках которой русскоговорящие киберпреступники атаковали ряд европейских посольств в Италии, Либерии, Кении и других странах, разослав чиновникам фишинговые письма якобы от Госдепартамента США. Распространяемые злоумышленниками письма содержали вредоносную версию инструмента TeamViewer, позволявшую получить удаленный доступ к компьютерам жертв. Учитывая причастность одного из преступников к кардерскому сообществу, исследователи полагают, что атаки преследуют финансовую выгоду. Даркнет лишился еще одного крупного подпольного рынка - Wall Street Market (WSM). Как стало известно, администраторы подпольной торговой площадки сбежали, похитив $14,2 млн, принадлежащих пользовавшихся услугами сайта продавцам наркотиков, оружия и вредоносного ПО. Бытует мнение, что к такому шагу их подтолкнуло закрытие крупнейшего рынка «Темной сети» - Dream Market, запланированное на 30 апреля, и возможные проблемы, связанные с наплывом пользователей и пристальным вниманием правоохранительных органов. Швейцарский производитель спецтехники для содержания территорий аэропортов и уборки улиц компания Aebi Schmidt была вынуждена приостановить операции из-за кибератаки с использованием вымогательского ПО. Атака вызвала нарушения в работе компьютеров во внутренней сети компании. Нерабочими оказались системы, отвечающие за производственные процессы, а также электронная почта компании. О какой программе-вымогателе идет речь, пока неизвестно. Злоумышленники активно атакуют 0Day-уязвимость в серверах Oracle WebLogic. Проблема затрагивает компоненты WLS9_ASYNC и WLS-WSAT и может быть проэксплуатирована для перехвата контроля над целевой системой. Как отмечают ИБ-эксперты, пока киберпреступники только проводят сканирование в поисках уязвимых серверов WebLogic и используют простенькие эксплоиты для ее тестирования, однако организация полномасштабных атак – только вопрос времени. На минувшей неделе исследователи в области безопасности заметили странный всплеск трафика, имитирующего IP-адреса крупных американских банков, в том числе Bank of America, JPMorgan Chase и SunTrust. По их мнению, таким образом организаторы кампании пытаются нарушить работу команд кибербезопасности и защитных решений, блокирующих вредоносный трафик. Гонконгский офис правозащитной организации Amnesty International в течение нескольких лет находился под атакой хакеров, предположительно работающих на правительство Китая. Первые признаки взлома были замечены в середине марта нынешнего года. В организации не сообщили информацию о числе пострадавших, однако правозащитники уверены, что атака не затронула финансовые данные. Хостинг-провайдер и регистратор доменов GoDaddy отключил более 15 тыс. поддоменов, использовавшихся в спам-кампаниях, рекламирующих поддельные товары. Эти поддомены принадлежали легитимным сайтам, владельцы которых даже не догадывались об их существовании. Для рекламы поддельных продуктов мошенники использовали имена знаменитостей, в том числе Гвен Стефани, Дженнифер Лопес, Стивена Хокинга и пр. В минувшую пятницу администрация проекта Docker Hub сообщила об утечке данных порядка 190 тыс. пользователей, произошедшей в результате взлома базы данных Docker Hub. Скомпрометированными оказались имена пользователей, хеши паролей, а также токены для репозиториев GitHub и Bitbucket, используемые для автоматизированных сборок Docker. Команда Docker отозвала все скомпрометированные токены и ключи доступа и порекомендовала разработчикам проверить свои проекты на предмет взлома.