Синтез кошкодевочек как требование хакеров, инцидент Nansen и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Пользователи Nansen стали жертвами фишинга после утечки почтовых адресов

Клиенты аналитической платформы Nansen получили фишинговую рассылку с предложением принять участие в эксклюзивном аирдропе. Первым внимание на инцидент обратил исследователь криптовалюты Officer_cia.

Users have reported receiving phishing emails from fake @nansen_ai today… stay safe! FYI @ASvanevik pic.twitter.com/jqVRVE9by9

— Officer's Notes (@officer_cia) November 24, 2023

Письма поступали с адреса mail@networkforgood.com, не имеющего отношения к компании.

Злоумышленники предлагали в течение 48 часов перейти на сфальсифицированный сайт, где якобы производилась раздача токенов NANSEN.

По мнению Officer_cia, мошенники получили доступ к пользовательской почте в ходе произошедшего в конце сентября взлома стороннего поставщика Nansen. 

Тогда пострадали 6,8% клиентов. У части из них также оказались раскрыты хеши паролей и кошельки. Сама Nansen уточнила, что этот инцидент не повлиял на средства клиентов.

Хакеры из КНДР атаковали цепочку поставок CyberLink

Северокорейская хакерская группировка Diamond Sleet взломала тайваньского разработчика мультимедийного ПО CyberLink. Об этом сообщили эксперты Microsoft Threat Intelligence.

По их данным, злоумышленники заразили трояном LambLoad один из установщиков компании, чтобы атаковать цепочку поставок. На момент написания отчета вредоносная активность затронула более 100 устройств в разных странах, включая Японию, Тайвань, Канаду и США.

Малварь получает полезную нагрузку второго этапа из изображения формата PNG.

Впервые активность измененного установщика эксперты Microsoft заметили еще 20 октября. Они уведомили CyberLink о происходящем.

От взломанной ядерной лаборатории потребовали начать синтез кошкодевочек

У Национальной лаборатории ядерных исследований в Айдахо (INL) произошла утечка конфиденциальных данных в результате атаки хакеров SiegedSec. Об этом сообщают местные СМИ.

INL занимается разработкой атомных электростанций следующего поколения, легководных реакторов, кибербезопасностью систем управления, испытаниями передовых транспортных средств, биоэнергетикой, робототехникой, а также переработкой ядерных отходов.

Хакеры слили подробную информацию сотни тысяч сотрудников и пользователей систем, включая полные установочные данные, электронную почту и телефоны, номера социального страхования, адреса проживания и сведения о трудоустройстве.

В сообщении на хакерском форуме SiegedSec указали, что готовы удалить слив, если лаборатория начнет исследования по синтезу кошкодевочек.

Представитель INL подтвердил факт нарушения. Ведется расследование с участием спецслужб и силовых структур.

Исследователи обошли авторизацию по отпечатку пальца на ноутбуках Microsoft, Dell и Lenovo

Недостатки безопасности сканера отпечатка пальцев Windows Hello позволили обойти аутентификацию на ноутбуках Dell Inspiron, Lenovo ThinkPad и Microsoft Surface Pro X. Об этом сообщили исследователи Blackwing Intelligence.

Boom!
Windows Hello fingerprint authentication bypassed on top three devices:
— Dell Inspiron
— Lenovo ThinkPad
— Microsoft Surface Pro
Still waiting for recordings from our BlueHat talk to drop, but here's our writeup: https://t.co/BTkIJQpE9F#infosec #security #vulnresearch…

— Jesse D'Aguanno (@0x30n) November 21, 2023

Для предотвращения воспроизведения и сопоставления сохраненных на хосте отпечатков пальцев Microsoft разработала протокол SDCP. Однако эксперты выяснили, что на деле он охватывает лишь очень узкую область действия типичного устройства.

Атака MiTM производилась через специальное устройство Raspberry Pi 4 на базе Linux, подключенное к исследуемым ноутбукам.

На Dell и Lenovo обход аутентификации достигался путем перебора действительных идентификаторов и его подмены на отпечаток злоумышленника как легитимного пользователя Windows.

Датчик Microsoft Surface не имел защиты SDCP. Для его взлома потребовалось отсоединить клавиатуру Type Cover и подключить USB-устройство, которое подделало датчик отпечатков пальцев, сообщая системе о входе авторизованного пользователя.

Московский суд оштрафовал Telegram на 4 млн рублей

Таганский суд Москвы назначил мессенджеру Telegram административный штраф в размере 4 млн рублей за неудаление запрещенной в РФ информации. Это максимально возможное наказание по статье. 

Как пишет ТАСС со ссылкой на судебный протокол, речь идет о сведениях, дискредитирующих армию РФ, а также об «информации, направленной на дестабилизацию в стране и оправдание экстремистской деятельности». 

Кроме того, мессенджер не ограничил доступ к сведениям о незаконной продаже и обналичивании Пушкинских карт.

Топ-популярных мошеннических схем в «черную пятницу»

Эксперты «Лаборатории Касперского» поделились с ForkLog популярными схемами онлайн-мошенничества в «черную пятницу».

В топе оказались фишинг и скам. За первые десять месяцев 2023 года решения компании выявили по всему миру почти 31 млн фишинговых атак, нацеленных на онлайн-магазины, платежные системы и финансовые организации. При этом в 43,5% случаев злоумышленники маскировались под платформы электронной коммерции — 13 млн атак.

Начиная с октября количество доменов, использующих слова «черная пятница» или black friday выросло втрое. В их числе как полностью выдуманные магазины, так и правдоподобные копии реальных онлайн-площадок, продающих одежду, бытовую технику и электронику. Чаще всего встречается схема, при которой покупатели в итоге не получают якобы приобретенные товары. 

Кроме того, злоумышленники активно создают фейковые страницы с предложением продукции Apple. С января по октябрь 2023 года эксперты обнаружили 2,8 млн фишинговых атак с упоминанием этого бренда. 

Также мошенники могут, например, постепенно списывать деньги пользователя, привязавшего банковскую карту к их «онлайн-магазину», или предлагать купить несуществующие подарочные сертификаты известных торговых площадок.

Также на ForkLog:

• Киберполиция Украины за год открыла свыше 1500 дел, связанных с криптовалютами.
• Хакер вывел из пулов KyberSwap криптоактивы на $47 млн. Компания предложила ему вернуть 90% средств за вознаграждение.
• Суд в Черногории одобрил экстрадицию До Квона.
• Эксперт: майнинг-пулы блокируют транзакции от подсанкционных адресов.
• Аналитики оценили ущерб от взлома HTX и Heco Bridge в $110 млн.
• Tether заморозила связанные с преступным синдикатом $225 млн в USDT.
• Bybit, Bitstamp и ряд других бирж начали выдавать банкам РФ данные клиентов.
• Хакер вывел с платформы Kronos Research $25 млн.
• dYdX потеряла $9 млн в результате «целенаправленной атаки».
• Джастин Сан увеличил награду для взломщика Poloniex до $10 млн.

Что почитать на выходных?

Эксклюзивный материал ForkLog о проекте по сбору биометрических данных Worldcoin и хакерской атаке на него.