ТОП-3 ИБ-событий недели по версии Jet CSIRT
На этой неделе вышло два важных исследования — бэкдора FoggyWeb и новой версии шпионского ПО FinSpy. А в даркнете выставлена на продажу обогащённая база данных пользователей Clubhouse. Новости собирал Андрей Маслов, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
Опубликовано исследование бэкдора FoggyWeb
Эксперты из Microsoft Threat Intelligence Center (MSTIC) представили своё исследование нового бэкдора FoggyWeb. Этот бэкдор активно используется при атаках на AD FS серверы группировкой NOBELIUM (также известной как APT29). Со слов специалистов, FoggyWeb является узконаправленным бэкдором, нацеленным на извлечение конфиденциальной информации со скомпрометированного AD FS сервера. В рамках своего развёртывания он может подгружать дополнительные компоненты с доступного командного сервера (C2).
Обогащённая база данных 3,8 млрд пользователей Clubhouse выставлена на продажу
На одном из подпольных форумов выставлена база данных с 3,8 млрд телефонных номеров пользователей социальной сети Clubhouse. Сама по себе база не имеет особой ценности, однако один из злоумышленников объединил её с 533-миллионной базой телефонных номеров пользователей Facebook. По словам специалистов, подобная обогащённая база может использоваться злоумышленниками в различных атаках на аккаунты пользователей.
Опубликовано исследование новой версии шпионского ПО FinSpy
Специалисты «Лаборатории Касперского» представили исследование новой версии шпионского ПО FinFisher (также известного как FinSpy и Wingbird). Это ПО для заражения системы использует UEFI-буткит, внедряемый в загрузчик Windows Boot Manager. Данная особенность позволяет злоумышленникам развёртывать ВПО без необходимости обходить проверки безопасности прошивки.