Cybersecurity Digest № 2: кібератаки, шпигунство та фальшиві вакансії

Привіт, спільното! Я — Нікіта Веселков, представляю вам найцікавіші новини зі світу кібербезпеки за вересень-жовтень від команди ESET в Україні.

⚫ Шкідливі програми під виглядом фальшивих вакансій атакують українців

Зловмисники застосовували складні тактики соціальної інженерії, зокрема фальшиві пропозиції роботи та техніки ClickFix, для поширення шкідливого програмного забезпечення та викрадення криптовалюти. Серед цілей ― користувачі у Європі, зокрема в таких країнах як Україна, Франція, Польща та Албанія.

За допомогою фальшивих та викрадених профілів зловмисники видають себе за рекрутерів на таких платформах, як LinkedIn, Upwork, Freelancer.com та Crypto Jobs List. Вони пропонують фальшиві привабливі вакансії, щоб зацікавити жертву та просять її виконати завдання перед співбесідою.

⚫ Discord зазнала витоку даних через кібератаку

Популярна платформа для обміну повідомленнями Discord підтвердила, що їх користувачі постраждали від хакерської атаки на службу підтримки клієнтів. Зокрема було скомпрометовано одного зі сторонніх постачальників Discord для підтримки клієнтів, що дозволило отримати доступ до інформації обмеженої кількості користувачів, які зв’язувалися з Discord через її служби підтримки клієнтів та/або служби довіри та безпеки. Це ще раз доводить, що навіть високозахищені платформи залежать від безпеки їх партнерів в ланцюжку поставок.

⚫ Кібершпигуни атакують європейські компанії у секторі БПЛА

Зловмисники групи Lazarus, пов’язаної з Північною Кореєю, атакували європейські компанії в оборонній промисловості, зокрема у секторі безпілотних літальних апаратів (БПЛА/дронів). Основною метою кіберзлочинців, ймовірно, було викрадення конфіденційної інформації та виробничих ноу-хау.

Атаки були спрямовані на три компанії, що працюють в оборонному секторі Центральної та Південно-Східної Європи. Вони виробляють різні види військової техніки (або її частини), багато з яких наразі використовуються в Україні завдяки військовій допомозі європейських країн. Зловмисники отримали початковий доступ за допомогою соціальної інженерії, а троян віддаленого доступу (RAT) дозволив надати повний контроль над скомпрометованою машиною.

⚫ Російські групи кіберзлочинців разом атакують українські організації

Дві групи кіберзлочинців Gamaredon та Turla, пов’язані з російською ФСБ, здійснили атаки на організації в Україні. Зокрема на інфікованих машинах група Gamaredon розгорнула широкий спектр інструментів, а на одній з них Turla змогла запускати команди через інструменти Gamaredon.

Цього року ESET виявила активність групи Turla на семи машинах в Україні. Тоді як Gamaredon компрометує сотні, якщо не тисячі машин, група Turla зацікавлена лише в певних машинах, ймовірно, тих, що містять конфіденційні військові дані.

⚫ Кібератака на європейські аеропорти

Кібератака, спрямована на постачальника послуг для систем реєстрації та посадки, порушила роботу кількох великих європейських аеропортів, що призвело до затримок та скасування рейсів 20 вересня. Як і будь-яка інша галузь, аеропорти та авіакомпанії повинні забезпечити можливість безперебійного переходу на ручні або альтернативні системи. Незалежно від того, це був навмисний збій чи серйозна технічна несправність, наслідки показують, наскільки уразливими можуть бути такі системи в цифровому світі.

⚫ Модний гігант MANGO підтверджує витік даних в результаті кібератаки

Компанія Mango стала черговою жертвою кібератаки, в результаті якої з одного з зовнішніх маркетингових сервісів було викрадено дані клієнтів (імена, адреси електронної пошти, номери телефонів та поштові адреси). Роздрібний продавець підтвердив у електронному листі, надісланому клієнтам 15 жовтня, що банківська інформація, кредитні картки, паспорти та облікові дані для входу, включаючи паролі, «за жодних обставин не були скомпрометовані».

⚫ Нова програма-вимагач використовує уразливість та вимагає криптовалюту

Програма-вимагач HybridPetya має схожість з відомим шкідливим програмним забезпеченням Petya/NotPetya. Однак загроза дає можливість компрометації систем на основі UEFI та використання CVE-2024-7344 для обходу UEFI Secure Boot на неоновлених системах. У разі інфікування програма-вимагач здатна зашифрувати файли та вимагати гроші за розшифрування у криптовалюті.

Тож використовуйте багатофакторну автентифікацію для акаунтів, не відкривайте підозрілі файли та посилання, а також подбайте про захист своїх пристроїв!