Неделя в мире киберугроз: уязвимости Android, утечки данных от Asus и новые ботнеты

Мы собрали основные события из сферы кибербезопасности за последнюю неделю.

Исследователи из израильской кибербезопасной компании Hudson Rock обнаружили скомпрометированное устройство в логах инфостилера Lumma, которое принадлежало хакеру из Северной Кореи.

Анализ доступных данных показал, что это устройство имело прямую связь с инфраструктурой, использованной для атаки на биржу Bybit в феврале. Важным доказательством стал адрес электронной почты, найденный на девайсе, который уже упоминался в отчетах Silent Push. Этот адрес был использован для регистрации фишингового домена всего за несколько часов до инцидента с Bybit.

Хотя владелец скомпрометированного устройства мог не быть напрямую вовлечён в процесс вывода средств, эксперты считают, что его машина была частью общего ресурса группировки Lazarus.

Аналитики отметили, что скомпрометированная рабочая станция обладала значительной вычислительной мощностью и была специально настроена для разработки вредоносного ПО. Несмотря на использование VPN для маскировки под американский IP-адрес, в настройках браузера был установлен китайский язык, а в истории поиска находились запросы на перевод с корейского.

Судя по активности на диске, хакер готовил новую фишинговую атаку. Исследователи также обнаружили следы процесса приобретения доменов, имитирующих популярные сервисы, а также локальные файлы поддельных установщиков Zoom.

Эксперты Zimperium обозначили новую вредоносную кампанию, нацеленную на пользователей Android.

Выявленный троян под названием DroidLock сочетает в себе функции вымогателя и шпионского ПО. Согласно утверждениям специалистов, он распространяется через фальшивые веб-сайты, выдающие себя за легитимные приложения, используя двухшаговую схему заражения. После установки оно обманом получает права администратора, предоставляя доступ к специальным функциям устройства.

Данное вредоносное ПО преимущественно нацелено на испаноязычных пользователей и может модифицировать PIN-коды, биометрические данные, а также осуществлять удаленное управление устройством. Кроме того, DroidLock перехватывает графические ключи, записывает звук и крадет SMS и информацию о звонках.

В отличие от традиционных шифровальщиков, DroidLock не кодирует файлы, а угрожает их физическим удалением. При получении соответствующей команды от сервера на экране появляется окно с требованием выкупа.

Специалисты уже сообщили команде безопасности Android, а система Google Play Protect научилась определять и блокировать эту угрозу.

Эксперты настоятельно советуют избегать загрузки APK-файлов с ненадежных ресурсов и внимательно относиться к приложениям, запрашивающим права администратора устройства.

Среди новых угроз — ботнет Broadside, который активно инфицирует системы видеонаблюдения и IoT-шлюзы на коммерческих судах. Как указывают эксперты Cydome, данное вредоносное ПО создаётся на базе кода Mirai и представляет опасность благодаря возможности проведения мощных DDoS-атак, а также скрытного перехвата видеопотоков. Зараженные устройства могут служить плацдармом для доступа к навигационным системам судов, что создает прямую угрозу безопасности мореплавания.

Согласно данным Cydome, ботнет активирует механизмы для подбора слабых паролей в спутниковых терминалах VSAT, обеспечивающих связь судов в открытом море. Заражение происходит автоматически, как только жертва попадает в зону покрытия. После инфицирования шлюза вредоносное ПО сканирует локальную сеть судна, ищет уязвимости в системах электронной навигации.

Исследователи предостерегли, что операторы Broadside уже начали продавать доступ к инфицированным сетям судов на теневых форумах. Покупателями могут стать как конкуренты в логистике, стремящиеся заполучить информацию о маршрутах и грузах, так и пираты, использующие данные о местоположении судов для планирования атак в потенциально опасных зонах.

Компания Asus подтвердила взлом в системе одного из своих поставщиков. В то же время, вымогательская группа Everest сообщила о крупной утечке данных, согласно информации из издания «Хакер».

Злоумышленники утверждают, что им удалось украсть 1 Тб конфиденциальных данных сразу у трех компаний — Asus, Qualcomm и ArcSoft. По полученным данным, в их руках оказался исходный код программного обеспечения для камер смартфонов, кастомные модели искусственного интеллекта и внутренние инструменты разработчиков.

В качестве доказательства хакеры опубликовали в даркнете скриншоты взломанных файлов.

В Asus подчеркнули, что инцидент не затронул сервера компании и данные её клиентов. Утечка ограничилась частью исходного кода программного обеспечения для мобильных камер, находившегося в ведении партнера. Производитель уже начал аудит безопасности цепочки поставок, однако название скомпрометированного контрагента не раскрыто.

На момент публикации Qualcomm и ArcSoft ничего не комментировали о возможной утечке данных.

Французские теоретики отметили, что технологии не являются нейтральными. Интернет, созданный как пространство свободы, также содержит элементы контроля и симуляции.