Кратко об информационной безопасности Российские спецслужбы выдают себя за службы поддержки клиентов в коммерческих мессенджерах, таких как Signal, с целью компрометации учетных записей и проведения фишинговых атак, предупредили ФБР и Агентство по кибербезопасности и защите инфраструктуры (CISA) в прошлую пятницу.
Атаки нацелены на лиц, представляющих высокую разведывательную ценность, таких как бывшие государственные чиновники, военные, политики и даже журналисты [Мы польщены – Ред.]. Злоумышленникам удалось захватить тысячи личных аккаунтов, что позволило россиянам читать и отправлять сообщения, а также собирать информацию из списков контактов.
Злоумышленники рассылают сообщения, уведомляя пользователей о «подозрительной активности», связанной с их учетными записями, и настоятельно призывают перейти по ссылке для прохождения процедуры верификации. Как только жертвы нажимают на ссылку, злоумышленники привязывают свои аккаунты к аккаунту жертвы или полностью захватывают его, если пользователь достаточно наивен, чтобы ввести учетные данные или код двухфакторной аутентификации (2FA).
Signal остается высокозащищенным способом обмена сообщениями, но даже лучшая сквозная (end-to-end) криптография не спасет от злоумышленников, если пользователи сами их впустят.
ФБР и CISA предлагают стандартные рекомендации по противодействию фишингу в своем кратком сообщении об этих атаках.
Дядя Сэм изъял четыре домена, использовавшиеся для иранских психологических операций
Министерство юстиции США изъяло домены, связанные с группировкой, аффилированной с Ираном, которая стоит за кибератакой на медицинскую компанию Stryker.
По данным федеральных властей, эти веб-сайты использовались для подстрекательства к насилию и для присвоения себе заслуг в нарушении работы американской медтехнологической фирмы. Изъятые домены: Justicehomeland[.]org, Handala-Hack.[to], Karmabelow80[.]org и Handala-Redwanted[.]to.
Упомянутая атака затронула американскую медтехнологическую компанию Stryker через уязвимость в Microsoft Intune, что привело к стиранию информации на устройствах сотрудников. Иранская хактивистская группа Handala, считающаяся прикрытием для Министерства разведки и безопасности (MOIS) страны, заявила о своей причастности к атаке на Stryker на одном из сайтов, Handala-hack[.]to.
Операторы сайтов также использовали их для публикации личных данных (doxxing) членов Армии обороны Израиля (ЦАХАЛ) и для заявлений о краже 851 ГБ конфиденциальных данных у хасидской еврейской общины Санзер.
Глава ФБР Кэш Пател предупредил в своем заявлении: «Это ФБР будет выслеживать каждого участника этих трусливых угроз убийством и кибератак и применит всю мощь американских правоохранительных органов против них».
Однако некто, утверждающий, что представляет Handala, не впечатлился и опубликовал дерзкое сообщение, в котором говорится: «Они, возможно, и закрыли наш веб-сайт, но они никогда не сломят наш дух, нашу решимость или силу правды».
Эта «правда», по-видимому, включает обвинения в «церемониях колдовства» со стороны общины Санзер, согласно заявлению ФБР, что перекликается с давними антисемитскими мифами, используемыми для оправдания насилия в отношении евреев.
Компания, предоставляющая банковские услуги, уведомила 670 000 человек о краже данных
Marquis, компания, предоставляющая услуги банкам, разослала уведомления более чем 670 000 человек о том, что их данные были украдены группировкой, занимающейся программами-вымогателями, еще в августе прошлого года.
В письме [PDF] задается пугающий вопрос: «Кто мы и почему у нас есть ваша информация?», после чего объясняется, что компания является поставщиком маркетинговых услуг для финансовых учреждений.
Похищенные данные сообщались как содержащие конфиденциальную информацию, такую как номера социального страхования, идентификаторы налогоплательщиков и информация об учетных записях.
Пытаясь исправить ситуацию, Marquis предложила пострадавшим бесплатное членство на один месяц в сервисе от Epiq Privacy Solutions, предназначенном для мониторинга неправомерного использования личной информации и урегулирования случаев кражи личных данных. Компания также призвала пострадавших «сохранять бдительность, просматривая выписки по счетам и кредитные отчеты на предмет несанкционированной активности в течение следующих 12–24 месяцев», как будто у нас и так не хватает забот.
LeakNet обнаружила социальную инженерию ClickFix
Группа программ-вымогателей LeakNet отошла от своей обычной тактики покупки украденных учетных данных и теперь использует мошенническую схему социальной инженерии ClickFix, согласно новому отчету от компании по безопасности Reliaquest.
ClickFix, которую мы уже освещали, рассматривалиранее, использует поддельные сообщения, доставляемые через скомпрометированные, но легитимные веб-сайты, чтобы убедить жертв выполнить действия, например, запустить команды, которые загружают руткит или другое вредоносное ПО.
LeakNet использует ClickFix для показа фальшивого диалогового окна «докажите, что вы не робот», которое просит пользователей открыть диалоговое окно «Выполнить» в Windows с помощью сочетания клавиш Win + R и вставить команду, которая выглядит как ссылка на страницу верификации Cloudflare Turnstile, но на самом деле выполняет команду msiexec.
Эта команда загружает и выполняет искусно замаскированный загрузчик на основе (легитимного) рантайма Deno, который затем выполняет вредоносный код непосредственно в памяти, помогая скрыть атаку от методов криминалистического сканирования, ориентированных на файлы.
По данным Reliaquest, эта тактика может позволить LeakNet расширить свою текущую частоту атак, которая составляет около трех жертв в месяц.
Песочница AWS, которая таковой не является
Компания по безопасности BeyondTrust Phantom Labs утверждает, что среда песочницы интерпретатора кода AWS Bedrock AgentCore не является полноценной песочницей. Хотя Amazon заявляла, что запуск этого сервиса в режиме песочницы полностью блокирует внешний доступ, Phantom Labs заявляет, что публичные DNS-запросы проходят, что может позволить злоумышленникам установить каналы управления и контроля (command-and-control) и извлечь данные.
Phantom Labs сообщает, что уведомила AWS о проблеме еще в сентябре прошлого года через отчет HackerOne, и AWS внедрила исправление в ноябре 2025 года, но позже отменила его «по другим причинам». Каков конечный результат? В декабре Amazon обновила свою документацию, порекомендовав клиентам использовать режим виртуальной частной сети (VPC), если они хотят полностью контролировать весь входящий трафик.
По словам Phantom Labs, Amazon наградила исследователя подарочной картой на 100 долларов в магазине AWS Gear Shop.
Strava раскрыла местоположение авианосца
Французская газета Le Monde на прошлой неделе сообщила, что моряк на борту авианосца совершил пробежку длиной семь километров по его палубе, отслеживая ее с помощью своих смарт-часов, которые затем загрузили данные о пробежке на сайт для отслеживания физической активности Strava.
Таким образом, местоположение авианосца стало видно всему миру, что, как понимает The Register, является фактом, который не любят раскрывать военно-морские силы. Вооруженные силы Франции должны были знать лучше, учитывая, что телохранители президента Эммануэля Макрона, по сообщениям, раскрыли свои местоположения с помощью этого фитнес-приложения. – Саймон Шарвуд ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Matt Rosoff
