Дайджест Jet CSIRT [01-11.01.2021]

01.01.2021

Обнаружена связь между бэкдором Sunburst и ВПО группировки Turla  

 

Исследователи из Лаборатории Касперского заметили сходства между бэкдором Sunburst, который использовался для атаки на компанию SolarWinds, и другим вредоносным инструментом, разработанным APT-группировкой Turla – Kazuar. Оба семейства вредоносных программ используют схожий алгоритм ожидания (бездействуют в течение случайного периода времени между подключениями к C&C-серверу), алгоритм хэширования и хэш FNV-1a для обфускации вредоносного кода, а также алгоритм генерации уникальных идентификаторов жертв. ВПО Kazuar представляет из себя .NET-бэкдор, обнаруженный в 2017 ИБ подразделением Unit42 компании Palo Alto.  


Группировка APT27 занялась вымогательством

 

К такому выводы пришли специалисты ИБ-компаний Profero и Security Joes по результатам расследования кибератак с использованием шифровальщиков на пять организаций игорной сферы. Эксперты обнаружили образцы ВПО Clambling, которое использовалось в масштабной кампании по кибершпионажу за online-казино по всему миру, организованной китайскими группировками APT27 и Winnti. Примечательно, что ранее группировка APT27 была замечена только в кибершпионской активности.


Эксперты оценили заработок операторов вымогателя Ryuk

 

Согласно совместному отчету компаний Advanced Intelligence и HYAS заработок злоумышленников, которые стоят за ВПО Ryuk, может составлять более $150 млн. Исследователи проанализировали транзакции с 61 биткойн-депозитов, связанных с шифровальщиком Ryuk и обнаружили, что большая часть средств отправляется на криптовалютные биржи через посредника для обналичивания. Две основные биржи - Huobi и Binance, обе расположены в Азии.


Исходный код множества ИТ-продуктов компании Nissan попал в открытый доступ

 

Утечка произошла из-за неправильно настроенного Git-репозитория, доступ к которому осуществлялся через стандартную комбинацию логина и пароля admin:admin. В результате, у компании были похищены исходные материалы мобильных приложений, сервисов и ряда диагностических инструментов. Представители Nissan подтвердили утечку и сообщили, что личные данные потребителей и их автомобилей украдены не были.