Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
11 февраля неизвестный инсайдер опубликовал в открытом доступе архив внутренних чатов группировки вымогателей Black Basta из приложения Matrix. На это обратили внимание исследователи киберугроз PRODAFT.
Переписка охватывает период с сентября 2023 по сентябрь 2024 года. Она содержит адреса криптокошельков, учетные записи жертв, описание фишинговых схем и тактик взломов.
Кроме того, в ней раскрыты личности некоторых членов группировки: в частности, предположительного лидера банды Олега Нефедова (псевдонимы GG, AA, «Трамп») и двух вероятных администраторов под никами Lapa и YY.
Leaked BlackBasta chat logs contain messages spanning from September 18, 2023, to September 28, 2024. Let's analyze the statements disclosed by the leaker:— Lapa is one of the key administrators of BlackBasta and is constantly busy with administrative tasks. Holding this… https://t.co/KxQVKZBp75 pic.twitter.com/BibWU5P9e8
— 3xp0rt (@3xp0rtblog) February 20, 2025Компания Hudson Rock передала более миллиона полученных внутренних сообщений чат-боту ChatGPT и запустила открытый BlackBastaGPT для их анализа.
По мнению экспертов, слив мог стать результатом внутренних разборок группировки.
Январский взлом американской фирмы по отслеживанию местоположения Gravy Analytics привел к крупной утечке данных пользователей по всему миру — от РФ до США. Брокер перепродавал сведения о геолокации, собранные тысячами мобильных приложений.
Утекшая база данных связана с рекламными идентификаторами IDFA для iOS и AAID для Android-устройств, что нередко позволяет отслеживать перемещения людей, а в ряде случаев даже деанонимизировать их.
Исследователь Баптист Роберт в ходе эксперимента изучил траекторию движения одного из пользователей от знаковой площади Колумбус-Серкл на Манхэттене в Нью-Йорке до его дома в Теннесси, а на следующий день до места жительства его родителей. Основываясь исключительно на данных OSINT, исследователь узнал множество информации об этом человеке, включая имя его матери и тот факт, что его покойный отец был ветераном ВВС США.
Example of deanonymization:— Dec 29, 7:08 PM: Seen at Columbus Circle, NYC.— Later: Returned home to a TN town with a registered locksmith business.— Next day: Visited his mother, Carol. His father was an USAF vet and passed 3 years ago.Yes, you can be tracked. pic.twitter.com/MtViWTbpgf
— Baptiste Robert (@fs0c131y) January 8, 2025Утечка Gravy Analytics подняла вопрос о серьезных рисках индустрии брокеров данных.
В Google Threat Intelligence Group сообщили, что российские хакеры активно пытаются скомпрометировать учетные записи Signal посредством злоупотребления функцией привязки устройств. Потенциальных жертв обманом заставляют сканировать вредоносные QR-коды для синхронизации мессенджера с девайсом злоумышленника.
Вредоносный QR-код. Данные: Google Threat Intelligence Group.
Для целенаправленных атак фишинговые ссылки маскируют под приглашения в группу Signal или под инструкции по сопряжению устройств с легитимного сайта.
Новый метод атаки опасен тем, что не требует полного взлома оборудования для отслеживания защищенных разговоров жертвы.
Пользователям Signal рекомендуется обновить приложение до последней версии, которая включает улучшенную защиту от фишинговых атак, обнаруженных Google.
Северокорейские хакеры Lazarus использовали ранее неизвестную JavaScript-малварь Marstech1 в целевых атаках на блокчейн-разработчиков. Об этом заявили специалисты SecurityScorecard.
North Korea’s @Lazarus Group is Targeting Developers—Again The STRIKE team just uncovered Operation Marstech Mayhem—a new malware campaign spreading through @GitHub and NPM packages. Developers are unknowingly pulling infected repositories into their projects, putting… pic.twitter.com/1Cic14u1NP
— SecurityScorecard (@security_score) February 13, 2025Вредонос встраивается в сайты или пакеты npm, связанные с различными криптовалютными проектами. Попав на устройство жертвы, он ищет в каталогах Chromium-браузеров расширения кошельков MetaMask, Exodus и Atomic Wallet, после чего меняет их настройки.
Впервые Marstech1 заметили в 2024 году. Его жертвами уже стали не менее 233 человек из США, стран Европы и Азии.
Исследователи отследили вредонос до публичного репозитория на GitHub, созданного ныне заблокированным профилем SuccessFriend.
Хакеры «Украинского киберальянса» сообщили о взломе инфраструктуры российской микрофинансовой компании CarMoney и получении доступа к данным о большом количестве заемщиков организации. Среди них — подразделения ГРУ, ФСБ и воинские части.
В качестве подтверждения группировка опубликовали в том числе два заявления на заем на имена военнослужащих Дмитрия Соловьева и Максима Вагина.
Telegram-канал «Агентство» изучил утечки и обнаружил информацию о людях с аналогичными ФИО, датами и местами рождения. Однако СМИ не смогло независимо проверить информацию, представленную хакерами.
Пресс-служба CarMoney на странице во «ВКонтакте» сообщила, что взлому подвергся «один из старых сайтов компании», а персональные данные клиентов и инвесторов не пострадали. Тем не менее «для предотвращения последствий» специалисты отключили все системы на время проведения мониторинга.
Основателем сервиса кредитования CarMoney является Эдуард Гуринович, называющий себя эксклюзивным партнером игры Hamster Kombat в РФ. Журналисты со ссылкой на издание «Собеседник» также напомнили, что доля в CarMoney принадлежит бывшей жене президента Владимира Путина Людмиле.
Специалисты «Лаборатории Касперского» обнаружили, что 31 декабря 2024 года киберпреступники запустили кампанию массового заражения криптомайнером XMRig посредством троянизированных версий популярных игр на торрент-сайтах. Атака StaryDobry длилась на протяжении месяца.
New Year’s Eve wasn’t the only thing #StaryDobry crashed. On December 31, our experts discovered that cybercriminals had launched a mass infection campaign, hiding #XMRig cryptominers inside trojanized game torrents. With a multi-stage execution chain and stealthy evasion… pic.twitter.com/ZGdtKWD1Ni
— Kaspersky (@kaspersky) February 21, 2025Вредоносные релизы игр BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy злоумышленники создали заранее и загрузили на торрент-трекеры примерно в сентябре 2024 года. Среди скомпрометированных установщиков были популярные симуляторы и игры-песочницы, требующие минимального дискового пространства.
Криптомайнер после установки проверял количество ядер процессора и не запускался, если их оказывалось меньше восьми. Также злоумышленники разместили сервер майнингового пула в собственной инфраструктуре вместо публичной, что затруднило отслеживание их доходов.
Кампания затронула отдельных лиц и предприятия по всему миру, в том числе в РФ, Бразилии, Германии, Беларуси и Казахстане.
Также на ForkLog:
Разбираемся, кто в действительности стоит за серией «президентских» мем-токенов.
Вслед за Gotbit. На рынке появилась крупная группа скамеров
JOIN
