Краткий обзор главных событий в мире ИБ за неделю

Ботнет неизвестного предназначения атакует VoIP-серверы, лавина вредоносных SMS-сообщений накрыла Финляндию, хакеры майнят криптовалюту через взломанные учетные записи в облачных сервисах, интригующий троян для Linux выполняет свои действия «31 февраля» — об этих и других событиях в мире ИБ за период с 25 ноября по 1 декабря 2021 года читайте в нашем обзоре.

Мировой мебельный гигант IKEA расследует текущую вредоносную кампанию, направленную на его компьютерные системы. По словам представителей компании, были обнаружены свидетельства, указывающие на компрометацию серверов Microsoft Exchange. Преступники распространяли электронные письма, замаскированные под настоящий ответ на существующую цепочку писем. Перехват цепочки сообщений электронной почты является одним из уникальных идентификаторов текущей кампании по распространению вредоносного спама SquirrelWaffle . Киберпреступники используют уязвимости ProxyShell и ProxyLogin в серверах Microsoft Exchange для распространения вредоносного ПО Qakbot.

Сингапурская грузовая судоходная компания Swire Pacific Offshore (SPO) подверглась атаке со стороны операторов вымогательского ПО Clop. В результате атаки злоумышленники похитили данные компании. Swire Pacific Offshore обнаружила несанкционированное сетевое проникновение в свои IT-системы, которое привело к компрометации некоторых данных сотрудников и коммерческой информации. Кибератака не повлияла на глобальные операции SPO.

Японский многонациональный конгломерат Panasonic сообщил о кибератаке, в ходе которой неизвестные злоумышленники получили доступ к серверам в его сети. Корпорация Panasonic выявила взлом своих сетей 11 ноября 2021 года. Как показали результаты внутреннего расследования, во время атаки был осуществлен доступ к некоторым данным на файловом сервере. Хотя компания не сообщила, когда именно была совершена кибератака, японские информагентства Mainichi и NHK заявили, что злоумышленники имели доступ к серверам Panasonic в период с июня по ноябрь нынешнего года.

Американская биофармацевтическая компания Supernus Pharmaceuticals подтвердила , что стала жертвой кибератаки с использованием вымогательского ПО, в результате которой злоумышленники похитили из ее сети огромные массивы данных. Судя по всему, инцидент произошел в середине ноября 2021 года. Атакующие получили доступ к данным на определенных системах, развернули вымогательское ПО, отрезавшее сотрудникам компании доступ к файлам, а затем пригрозили обнародовать похищенную информацию, если не будет уплачен выкуп. Несмотря на это, заявляют в компании, атака не оказала существенного влияния на ее работу, и ее операции не были сорваны.

Американская телекоммуникационная компания AT&T «приняла меры по устранению» ботнета, состоящего более чем из 5,7 тыс. VoIP-серверов в ее сети. Все зараженные устройства — это EdgeMarc Enterprise Session Border Controllers. По данным подразделения Netlab китайского техногиганта Qihoo 360, злоумышленники взламывали необновленные серверы EdgeMarc через старую уязвимость CVE-2017-6079 и устанавливали модульное вредоносное ПО EwDoor. Все взломанные серверы находятся на территории США.

Специалисты Федерального управления по информационной безопасности Германии и компании Cisco предупредили о кибератаках, в ходе которых преступники эксплуатируют уязвимость CVE-2021-40438 в HTTP-сервере Apache. Проблема была обнаружена группой безопасности Apache HTTP при исследовании другой уязвимости. Уязвимость затрагивает версии сервера 2.4.48 и ранее и была исправлена в середине сентября нынешнего года с выпуском версии 2.4.49.

Компания Google опубликовала отчет «Threat Horizons» («Горизонты угроз»), подготовленный ее командой по кибербезопасности. В нем сообщается , что хакеры используют взломанные учетные записи Google Cloud для майнинга криптовалюты. «Было замечено, что злоумышленники занимались майнингом криптовалюты в скомпрометированных инстансах Cloud», — указано в отчете Google. Число взломанных аккаунтов, участвующих в майнинге, огромно — 86%.