Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 20-21, 26 марта 2025.
Российская шпионская кампания нацелена на логистические и технологические организации
Западные правительства предупредили о шпионской кампании, проводимой российской группировкой Swallowtail, нацеленной на западные логистические и технологические компании, в том числе организации, участвующие в доставке иностранной помощи Украине.
Согласно совместному заявлению, опубликованному Агентством национальной безопасности США (NSA), Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) и несколькими западными разведывательными и спецслужбами, кампания продолжается с 2022 года и характеризуется «восстановленными возможностями для password spraying-атак», фишингом с прицельным таргетингом (spearphishing) и изменением прав доступа к почтовым ящикам Microsoft Exchange.
Действия после компрометации включали разведку взломанных организаций с целью выявления лиц, занимающихся кибербезопасностью и координацией транспорта. Для латерального перемещения использовались Impacket, PsExec и RDP. Злоумышленники также использовали Certipy и ADExplorer для эксфильтрации информации из Active Directory.
Вывод данных осуществлялся с помощью двоичного файла OpenSSH. Среди похищенных данных были списки пользователей Office 365.
Злоумышленники манипулировали правами доступа к почтовым ящикам, чтобы собирать электронные письма. Это включало изменение прав доступа к папкам учетных записей и подключение взломанных учетных записей к механизмам многофакторной аутентификации (MFA) для повышения уровня доверия и обеспечения постоянного доступа.
Помимо общедоступных инструментов, злоумышленники также использовали варианты семейств вредоносных программ Headlace и Masepie, которые загружались с помощью перехвата порядка поиска DLL.
Swallowtail (также известная как APT28, Fancy Bear, Forest Blizzard) – это давно существующая российская кибершпионская группа. По данным правительства США, эта группа является подразделением российской военной разведки ГРУ.
Группа в основном нацелена на военные, оборонные и правительственные объекты в Европе и Северной Америке. Она попала в поле зрения общественности в 2016 году, когда была связана с атакой на Национальный комитет Демократической партии (DNC) перед президентскими выборами в США.
Неисправленная уязвимость Active Directory может позволить злоумышленникам захватить домен
Исследователи обнародовали информацию о неисправленной уязвимости в Windows Server 2025, которая может представлять серьезную угрозу для организаций, использующих Active Directory (AD), позволяя злоумышленникам повысить свои привилегии и получить доступ к данным любого пользователя в домене AD. Эта уязвимость, получившая название BadSuccessor, была обнаружена исследователем безопасности Akamai Ювалом Гордоном и связана с функцией делегированной учетной записи управляемой службы (dMSA), представленной в Windows Server 2025.
Эта уязвимость позволяет злоумышленникам с низкими правами, а именно с возможностью создавать дочерние объекты в любом подразделении организации (OU), захватить контроль над любым субъектом в домене, что фактически дает им контроль над всем доменом. Атака с использованием этой уязвимости возможна даже в том случае, если домен не использует dMSA, при условии, что в домене присутствует хотя бы один контроллер домена Windows Server 2025.
В ходе исследования было обнаружено, что в 91% исследованных сред пользователи, не входящие в группу администраторов домена, имели необходимые права для выполнения этой атаки, что делает эту уязвимость широко распространенной и легко используемой.
Компания Microsoft была проинформирована об этой проблеме, но оценила ее как умеренно серьезную, мотивируя свою оценку тем, что для ее использования требуются повышенные права доступа, а поэтому не требуется немедленное исправление. Однако исследователь не согласен с этой оценкой и считает, что, учитывая наличие этой проблемы в широко распространенных конфигурациях по умолчанию, а также скрытность и серьезные последствия потенциальной атаки с использованием этой уязвимости, пользователям рекомендуется принять меры для снижения риска, пока Microsoft работает над исправлением. Организациям следует провести аудит и ограничить права доступа к созданию дочерних объектов в организационных подразделениях, чтобы снизить риск.
ЕС ввел санкции против Stark Industries за содействие дестабилизирующей деятельности, связанной с Россией
Европейский Союз (ЕС) ввел санкции против Stark Industries, британского провайдера веб-хостинга, а также его генерального директора Юрие Некулити и владельца Ивана Некулити за содействие кибератакам и дестабилизирующей деятельности, направленной на продвижение интересов российского государства.
Эта мера является частью более широкого комплекса мер ЕС по противодействию тому, что он считает гибридными угрозами со стороны России, и направлена против 21 лица и шести организаций, причастных к поддержке внешней политики России посредством кибератак, дезинформации и шпионских кампаний.
Stark Industries за годы работы заработала репутацию «пуленепробиваемого хостинг-провайдера» – термин, используемый для описания надежных хостинг-сервисов, которые не сотрудничают с правоохранительными органами и не реагируют на жалобы о злоупотреблениях, закрывая глаза на вредоносную деятельность своих клиентов. Компания предлагает VPS/VDS-серверы в нескольких странах и принимает к оплате криптовалюты, такие как Bitcoin и Monero.
В поддержку своих действий следователи привели доказательства того, что инфраструктура Stark Industries использовалась для поддержки известных киберпреступных группировок, таких как Coreid (также известная как FIN7, Carbon Spider, ALPHV, BlackCat), которые арендовали у компании множество IP-адресов для своих вредоносных кампаний. Кроме того, компания была замешана в хостинге серверов, участвовавших в кампаниях по дезинформации и распределенных атаках типа «отказ в обслуживании» (DDoS), которые приносили выгоду России и были тесно связаны по времени с вторжением России в Украину.
Возможно, почувствовав давление со стороны своих клиентов, Stark’s недавно начала сотрудничать с исследователями в области кибербезопасности и группами по сбору информации об угрозах, такими как Team Cymru, в попытке сократить злоупотребления своей инфраструктурой, но эта мера кажется слишком незначительной и запоздалой для ЕС, который решил продолжить санкции. Меры, включенные в эти санкции, предусматривают замораживание активов, запрет на поездки (в пределах ЕС) и запрет для организаций ЕС на ведение бизнеса с указанными сторонами.
Раскрыта крупная кампания по краже данных с помощью вредоносных расширений для Chrome
Исследователи раскрыли недавнюю кампанию по распространению вредоносного ПО, в которой было задействовано более 100 вредоносных расширений для Chrome, маскирующихся под легитимные инструменты, такие как VPN, AI-помощники и утилиты, связанные с криптовалютами.
Эти расширения распространяются через поддельные веб-сайты, на которые злоумышленники привлекают трафик с помощью вредоносной рекламы. Вредоносные расширения и веб-сайты разработаны так, чтобы имитировать известные бренды, включая Fortinet, YouTube и DeepSeek AI, с целью побудить ничего не подозревающих пользователей установить их. Поддельные веб-сайты предлагают кнопку «Добавить в Chrome», которая ведет на официальный веб-магазин Chrome, где размещены вредоносные расширения. Таким образом, вредоносные расширения могут выглядеть легитимными, что помогает убедить пользователей установить их.
Чтобы сделать это менее заметным для жертв, расширения предоставляют некоторые из обещанных функций, такие как VPN-сервисы, но в фоновом режиме они тайно подключаются к серверам, контролируемым злоумышленниками, для отправки любых конфиденциальных данных, таких как файлы cookie браузера и токены сеанса, собранные с зараженного компьютера.
Вредоносные расширения запрашивают рискованные разрешения, которые позволяют им динамически вставлять скрипты и осуществлять фишинговые атаки. Они могут использоваться для предоставления бэкдор-доступа к зараженным браузерам, что дает злоумышленникам возможность осуществлять другие действия по своему усмотрению.
Хотя некоторые из этих расширений были удалены Google, многие, как утверждается, по-прежнему доступны для загрузки. Пользователям рекомендуется устанавливать расширения браузера только из надежных источников и оставаться бдительными в отношении потенциально вредоносных расширений, размещенных в веб-магазине Google Chrome, несмотря на усилия компании по искоренению злоупотреблений.
Уравнение NIST пытается предсказать вероятность эксплуатации уязвимости
Национальный институт стандартов и технологий США (NIST) разработал новое уравнение, которое пытается определить вероятность использования в реальных условиях вновь обнаруженной уязвимости злоумышленниками.
Уравнение вероятных уязвимостей (LEV) дает вероятность эксплуатации, даже если такая активность не была обнаружена в реальных условиях. Этот показатель призван помочь группам по обеспечению безопасности определить приоритетность исправлений, позволяя им сначала сосредоточиться на уязвимостях с высоким показателем LEV.
184 миллиона учетных данных раскрыты в результате крупной утечки данных
В Интернете произошла утечка огромной базы данных, содержащей примерно 184 миллиона учетных данных. База данных, по всей видимости, была собрана злоумышленниками и может содержать учетные данные, похищенные с помощью вредоносного ПО для кражи информации.
База данных была обнаружена исследователем в области безопасности Джеремайей Фаулером, который заявил, что записи содержат множество признаков того, что утечка данных была осуществлена с помощью какого-то типа вредоносного ПО для кражи информации. Размер базы данных превышает 47 ГБ и включает адреса электронной почты, имена пользователей, пароли и URL-адреса учетных записей. В ней хранятся учетные данные для широкого спектра сервисов, включая почтовые сервисы, сервисы Microsoft, Facebook, Instagram, Snapchat и Roblox.
Также были раскрыты учетные данные для банковских и других финансовых сервисов.
Злоумышленники используют TikTok для распространения видео с техникой атаки ClickFix
Сообщается, что злоумышленники используют TikTok для распространения видео, которые, по всей видимости, были созданы с помощью искусственного интеллекта и предлагают способы разблокировать премиум-функции в популярных программах, таких как Windows, Microsoft Office, CapCut и Spotify. Видео, используемые в этих атаках, следуют сценарию все более популярной техники социальной инженерии, известной как ClickFix. Эта техника заключается в том, чтобы обманом заставить ничего не подозревающих жертв заразить свои компьютеры, следуя инструкциям, якобы помогающим им решить проблему, в данном случае «проблема» заключается в том, как получить доступ к премиум-функциям без оплаты.
Как это часто бывает, попытки получить доступ к премиум-функциям бесплатно зачастую сопряжены с опасностью. Пользователям, которых соблазняют эти поддельные видео, показываются инструкции, которые неизбежно включают в себя загрузку и запуск скрипта PowerShell с веб-сайта (allaivo[.]me/spotify), что приводит к установке вредоносного ПО Vidar или StealC, предназначенного для кражи информации.
Затем эти вредоносные программы используются для получения доступа к скомпрометированному компьютеру и кражи конфиденциальной информации. Целевая информация может включать учетные данные, данные платежных карт, файлы cookie, ключи кошельков криптовалюты, файлы и многое другое.
Защита
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin
