Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 02 декабря 2024.
Zabbix исправляет критическую ошибку SQL-инъекции
Компания Zabbix, предоставляющая услуги мониторинга корпоративных сетей и приложений с открытым исходным кодом, настоятельно рекомендует своим клиентам применить исправления для критической уязвимости, которая может привести к полной компрометации системы.
Уязвимость SQL-инъекции (CVE-2024-42327), получившая рейтинг серьезности CVSS 9,9 из 10, может быть использована пользователями, имеющими доступ к API.
«Учетная запись пользователя, не являющегося администратором, во фронтенде Zabbix с ролью User по умолчанию или с любой другой ролью, предоставляющей доступ к API, может использовать эту уязвимость», – пояснили в Zabbix. «SQLi существует в классе CUser в функции addRelatedObjects, эта функция вызывается из функции CUser.get, которая доступна для каждого пользователя, имеющего доступ к API».
Затронутые версии Zabbix включают 6.0.0 – 6.0.31, 6.4.0 – 6.4.16 и 7.0.0. Для снижения риска эксплуатации пользователям следует обновиться до версий 6.0.32rc1, 6.4.17rc1 и 7.0.1rc1 соответственно.
Фишеры используют письма на автомобильную тематику, чтобы атаковать пользователей Microsoft 365
Пользователи Microsoft 365 подвергаются новым фишинговым атакам, в которых используется приманка в виде автомобиля, чтобы заставить их пройти аутентификацию на поддельной странице входа в Microsoft 365. Сообщается, что злоумышленники используют все более популярный инструмент фишинга как услуги (PaaS) под названием Rockstar 2FA.
Как следует из названия, этот набор предлагает злоумышленникам возможность справиться с многофакторной аутентификацией (MFA), поставив себя в позицию «противника посередине» (AiTM) для перехвата учетных данных и токенов/OTP, которыми можно обмениваться в процессе MFA-аутентификации.
Сообщается, что инструментарий находится в активной разработке и предлагает пользователям практически все, что необходимо фишерам для проведения успешных атак. Среди предлагаемых возможностей – учебники, документация, шаблоны и удобный портал управления для отслеживания эффективности и прогресса кампаний.
На техническом уровне он также предлагает ряд функций, призванных помочь пользователям преодолеть трудности, возникающие при использовании обычных мер безопасности, таких как защита от спама и аналитики. Одна из таких функций включает предварительный отбор потенциальных жертв с помощью бесплатной задачи Cloudflare Turnstile, которая представляет собой неинтерактивную альтернативу традиционным задачам CAPTCHA.
В ходе недавних кампаний жертвы, прошедшие первоначальную автоматическую проверку, могут так и не увидеть настоящую страницу входа в систему, поскольку фишинговый набор проводит дополнительную проверку на пригодность. Если данные жертвы не подходят, то она перенаправляется на страницу-обманку с автомобильной тематикой.
Защита
Последние обновления системы защиты можно найти в Symantec Protection Bulletin.
Хакер, стоящий за глобальными атаками вымогателей, арестован в России
Российские правоохранительные органы арестовали известного разработчика программ-вымогателей Михаила Павловича Матвеева (он же Wazawaka, Uhodiransomwar, m1x, Boriselcin). Гражданин России разыскивается в США в связи с операциями LockBit (Syrphid) и Hive (Pinion) по распространению вымогательского ПО.
По данным российских СМИ, Матвеев обвиняется в разработке вредоносной программы, предназначенной для шифрования файлов и получения выкупа за ключ к расшифровке. «В настоящее время следователем собрана достаточная доказательственная база, уголовное дело с обвинительным заключением, подписанным прокурором, направлено в Центральный районный суд города Калининграда для рассмотрения по существу», – говорится в сообщении МВД России.
В мае 2023 года правительство США предъявило Матвееву обвинения в организации атак с использованием вымогательского ПО на «тысячи жертв» в США и ряде других стран.
Помимо работы в качестве партнера групп Conti (Miner), LockBit, Hive, Trigona и NoEscape, Матвеев подозревается в том, что до начала 2022 года он занимал руководящую должность в группе Babuk (Leaftier). Также считается, что он связан с российской киберпреступной группой, известной как Evil Corp (Hispid).
Вредоносная программа SpyLoan для Android в Google Play установлена 8 миллионов раз
По данным исследователей McAfee, в последнее время вредоносные кампании SpyLoan для Android отличаются повышенной активностью в различных странах Южной Америки, Юго-Восточной Азии и Африки.
Приложения SpyLoan рекламируются как финансовые инструменты, использующие различные техники для компрометации конфиденциальных данных жертв с целью кражи или вымогательства денег. После установки приложения оно проверяется с помощью одноразового пароля (OTP), чтобы убедиться, что оно базируется в целевом регионе. Затем жертвам предлагается предоставить конфиденциальные документы, удостоверяющие личность, информацию о сотрудниках и данные банковских счетов.
Кроме того, приложения используют свои разрешения для сбора большого количества конфиденциальных данных, а также для доступа к спискам контактов, SMS, камере, журналу звонков и местоположению пользователя.
Последняя крупная «чистка» SpyLoan в Google Play была проведена в декабре 2023 года, когда было удалено более десятка приложений, набравших 12 миллионов загрузок. Теперь в Google Play обнаружен новый набор приложений SpyLoan. В ходе расследования McAfee обнаружила 15 вредоносных приложений SpyLoan, которые были установлены более 8 миллионов раз только через Play Store.
По данным McAfee, приложения SpyLoan работают с одинаковым кодом на уровне приложений и командно-административного управления (C&C) на разных континентах, что говорит о наличии общего разработчика или общей структуры, которая продается злоумышленникам.
Недавно обнаруженные приложения SpyLoan были удалены из официального магазина приложений Android,
Защита
Последние обновления системы защиты можно найти в Symantec Protection Bulletin.
Интерпол возглавил масштабную глобальную операцию против онлайн-мошенников
С июля по ноябрь 2024 года Интерпол в партнерстве с 40 правоохранительными органами со всего мира провел большое количество рейдов в рамках пятой глобальной скоординированной кампании, получившей название «Операция HAECHI-V».
В результате этой операции было арестовано 5500 человек и конфисковано более 450 миллионов долларов в виде криптовалют и активов, обеспеченных государством.
Среди наиболее заметных группировок – крупная банда, занимавшаяся голосовым фишингом, в результате которого 1900 жертв потеряли более ₩1,511 млрд корейских вон (1,1 млрд долларов США). В рамках операции двадцать семь членов группировки, базировавшейся в Корее и Китае и специализировавшейся на выдаче себя за сотрудников правоохранительных органов, были взяты под стражу теми, за кого они себя выдавали.
Интерпол также выпустил фиолетовое уведомление, чтобы предупредить страны о схеме криптовалютного мошенничества, которая включает в себя использование так называемой «аферы с одобрением токенов USDT». Эта схема по сути является разновидностью мошенничества с использованием романтических отношений, в которой жертв уговаривают купить криптовалюту Tether USDT, а затем обманом заставляют передать мошенникам контроль над кошельком, на котором хранятся средства.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
