Киберугрозы недели: новая Android-вредоносная программа, утечка данных у Asus и развитие ботнета Broadside

Мы собрали самые значимые события в области кибербезопасности за минувшую неделю.

Исследователи из израильской кибербезопасной компании Hudson Rock выявили скомпрометированное устройство в логах инфостилера Lumma, принадлежащее хакеру из Северной Кореи.

Анализ данных показал прямую связь данного хакера с ресурсами, использованными для атак на биржу Bybit в феврале. Ключевым доказательством стал адрес электронной почты, который был найден на устройстве и уже встречался в отчетах Silent Push. Он использовался для регистрации фишингового домена всего за несколько часов до нападения на Bybit.

Хотя владелец данного устройства мог не быть напрямую вовлечен в кражу средств, эксперты считают, что его система была частью общего пула ресурсов группировки Lazarus.

Аналитики указали, что скомпрометированная рабочая станция обладала значительной вычислительной мощностью и была специально настроена для разработки вредоносного ПО. Несмотря на использование VPN для маскировки под американский IP-адрес, браузер имел настройки на китайский язык, а в истории поиска были запросы на перевод с корейского.

Согласно активности на жестком диске, хакер готовил новую кампанию фишинга. Исследователи также обнаружили следы покупки доменов, симулирующих популярные сервисы, и локальные файлы фальшивых установщиков Zoom.

Компания Zimperium обнаружила новый вредоносный софт, нацеленный на пользователей Android.

Троян DroidLock имеет сочетание функций вымогателя и шпионского ПО. По данным специалистов, он распространяется через мошеннические сайты, выдающие себя за легитимные приложения, используя двухступенчатую схему заражения. После установки программа получает права администратора и доступ к специальным функциям устройства.

Данный троян ориентирован в основном на испаноязычную аудиторию и может менять PIN-код, биометрические данные, а также удаленно управлять устройством. Кроме того, DroidLock способен перехватывать графические ключи, записывать аудио и воровать содержимое SMS и телефонных звонков.

В отличие от традиционных программ-шифровальщиков, DroidLock не шифрует файлы, а угрожает их физическим удалением. По команде сервера на экране появляется окно с требованием выкупа.

Специалисты уже уведомили команду безопасности Android, и система Google Play Protect теперь может распознавать и блокировать данную угрозу.

Эксперты сообщили о появлении нового ботнета Broadside, который активно заражает системы видеонаблюдения и IoT-шлюзы на коммерческих судах. Об этом отчитаются специалисты Cydome, занимающейся морской кибербезопасностью.

Данное вредоносное ПО основано на коде Mirai и представляет опасность благодаря своей способности осуществлять мощные DDoS-атаки и тайно перехватывать видеопотоки. Зараженные устройства могут стать трамплином для атак на навигационные системы кораблей, что создает прямую угрозу безопасности судоходства.

По информации Cydome, ботнет запускает систему подбора слабых паролей для спутниковых терминалов VSAT, обеспечивающих связь судов в открытом море. Процесс заражения происходит автоматически, как только жертва попадает в зону покрытия. После заражения шлюза вредоносное ПО сканирует локальную сеть корабля в поисках уязвимостей в системах навигации.

Исследователи предупредили о том, что операторы Broadside уже начали предлагать доступ к зараженным сетям судов на теневых форумах. Потенциальными покупателями могут быть как конкуренты логистических компаний, желающие получить информацию о маршрутах и грузах, так и пираты, использующие данные о местоположении судов для планирования атак в опасных зонах.

Компания Asus подтвердила факт кибератаки на инфраструктуру одного из своих партнеров. В свою очередь, вымогательская группа Everest заявила о серьезной утечке данных. Об этом сообщает издание «Хакер».

Мошенники утверждают, что им удалось украсть 1 Тб конфиденциальной информации сразу у трех компаний — Asus, Qualcomm и ArcSoft. По данным СМИ, среди украденного оказались исходные коды программ для камер смартфонов, кастомные AI-модели и внутренние инструменты разработчиков.

Хакеры уже выложили в даркнете скриншоты взломанных файлов в качестве доказательства своих действий.

Компания Asus отметила, что атака не затронула их собственные серверы и данные клиентов. Утечка касается лишь части исходного кода программного обеспечения для мобильных камер, принадлежащего партнеру. Производитель уже начал аудит безопасности цепочки поставок, но не уточнил название скомпрометированного контрагента.

На момент написания комментариев от Qualcomm и ArcSoft о возможной утечке данных не поступало.

Французские мыслители продемонстрировали, что технологии не являются нейтральными. Интернет, изначально задумывавшийся как пространство свободы, несет в себе элементы контроля и симуляции.