Дайджест Jet CSIRT [24-26.10.2020]

24.10.2020

Опубликован традиционный Threat Roundup от Cisco Talos

В материале содержатся сведения об основных угрозах, по мнению вендора, за период с 16 по 23 октября.


Мошенники активно регистрируют RU-домены с именами Tele2 и Роснефть

Специалистами в области информационной безопасности зафиксирована массовая скупка доменов в зоне .RU. Мошенники приобретают домены, имя которых содержит название известного бренда и оканчивается на -off (familiya-off.ru, detskiy-mir-off.ru, tele2-off.ru, rosneft-off.ru). За последний месяц наблюдатели насчитали около 200 новых имен такого рода, зарегистрированных на частное лицо.


Российское НИИ, подозреваемое в разработке ВПО Triton, попало под санкции США

23 октября министерство финансов США ввело санкции в отношении Государственного научного центра Российской Федерации ФГУП «Центральный научно-исследовательский институт химии и механики» (ЦНИИХМ). В 2018 году специалисты FireEye, Dragos и Symantec с «высокой точностью предположили», что ЦНИИХМ причастен к кибератакам с использованием вредоносного ПО Triton (Trisis или HatMan) на критическую инфраструктуру стран, в частности на нефтехимический завод в Саудовской Аравии, принадлежащий компании Tasnee.

Злоумышленники обошли процесс нотаризации приложений Apple

Исследователю безопасности Джошуа Лонгу (Joshua Long) из компании Intego удалось обнаружить шесть новых приложений, которым удалось пройти процесс нотаризации Apple и попасть в белый список внутри службы безопасности Apple GateKeeper. Программы маскировались под установщики Adobe Flash Player и использовали методы стеганографии для обхода нотаризации. После установки приложений, в систему загружалось рекламное ПО OSX/MacOffers (также известное как MaxOfferDeal).