Дайджест Start X № 406

1. Атака начинается с тщательно подготовленных фишинговых писем, внешне похожих на легитимную корпоративную переписку. Жертвы получали письмо якобы от коллеги или начальства, в котором содержалось сообщение с пометкой о срочности.

2. Письмо могло утверждать, что в архиве содержатся банковские отчёты или уведомления о выплате премий.

3. Чтобы повысить доверие, использовались реальные данные о сотрудниках или компании, а тема письма, например, «Приказ о премировании сотрудников», звучала вполне правдоподобно.

4. Архив в формате RAR был защищён паролем, якобы для сохранения конфиденциальности данных, что ещё больше убеждало получателя в его подлинности.

5. В архиве находились два файла: поддельный документ с приказом о премировании и вредоносный исполняемый файл на языке Golang.

6. Документы-имитации в архивах отличались высоким качеством и профессионализмом. В случае с приказом использовались реальные должности, имена и даты. Такой уровень проработки деталей делал подлог незаметным, а само письмо — максимально убедительным. Для жертвы это выглядело как стандартное рабочее взаимодействие, и открытие файла казалось естественным шагом.

7. Исполняемый файл на Golang действовал как обратная оболочка, подключаясь к командному серверу. Это позволяло злоумышленникам удалённо управлять системой жертвы, продолжая собирать конфиденциальные данные.

1. Преступники рассылают людям сообщения с предложением оплатить штрафы и пени через СБП.

2. В уведомлении говорится, что человек просрочил платежи, указана конкретная сумма и прилагается QR-код или ссылка для перехода к оплате.

3. Для убедительности могут приводиться разные законодательные акты.

4. Некоторые люди не проверяют информацию и отправляют им деньги. Иногда их подталкивают предложения скидок, которые действуют «только сейчас и при такой форме оплаты».

1. Фишинговые страницы маскировались под розыгрыши известных брендов, а сообщения о «выигрышах» приходили потенциальным жертвам на почту или в личные сообщения аккаунтов в мессенджерах и соцсетях.

2. Мошенники сообщали, что для получения выигрыша необходимо оплатить налог или провести конвертацию выигрыша (если сумма указана не в рублях).

3. Для этого пользователя перенаправляли на фишинговый сервис, оформленный под «Росплатеж».

4. В результате таких действий мошенники получали суммы разовых платежей от 300 до 6 тыс. рублей.

5. Все домены (более 30 сайтов) располагались в зоне .shop и содержали логотип «Росплатежа».

6. Сумма оплаты включала комиссию, на странице был указан номер счета и телефон технической поддержки.

Распознать фишинг пользователям зачастую было довольно сложно. Единственное, что могло навести на подозрения, — это прямой перевод на карту при оплате.

База была доступна по адресам oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000 и содержала значительный объем историй чатов, данные бэкэнда и конфиденциальную информацию, включая логи, секреты API и оперативные данные.

Потенциальный злоумышленник мог полностью контролировать БД и повышать привилегии в среде DeepSeek, без какой-либо аутентификации. Так, используя HTTP-интерфейс ClickHouse, исследователи смогли обратиться к эндпоинту /play и выполнять произвольные SQL-запросы из браузера. С помощью show tables они получили список доступных датасетов.

Одна из таблиц, log_stream, содержала всевозможные конфиденциальные данные, и в целом журнал насчитывал более миллиона записей, включая: временные метки, ссылки на эндпоинты API, истории чатов пользователей открытым текстом, ключи API, детали бэкэнда, операционные метаданные и так далее.

В зависимости от конфигурации базы злоумышленник мог извлечь пароли в открытом виде, локальные файлы и служебные данные, просто выполняя соответствующие SQL-команды.

После получения информации о проблеме DeepSeek оперативно устранила брешь.

Агрессивная тактика и стремление унизить жертву — характерная особенность Hellcat. В случае со Schneider Electric злоумышленники заявили о краже 40 ГБ данных, а затем опубликовали 75 000 адресов электронной почты и имён сотрудников компании. Требование выкупа в багетах — насмешка над французской компанией.

Hellcat «работает» по модели Ransomware-as-a-Service (RaaS), предоставляя инструменты шифрования и инфраструктуру для кибератак в обмен на часть прибыли от вымогательских операций. Предполагают, что группа связана с высокопоставленными участниками BreachForums. Hellcat применяет тактику двойного вымогательства: сначала крадёт данные, а затем блокирует системы и угрожает публикацией конфиденциальной информации.

Пресс-служба Ozon сообщила, что компания в курсе ситуации, доступ был оперативно восстановлен, а рассылка прекращена. Фишинговые сообщения, отправленные пользователям, были удалены. Пользователей, получивших мошеннические сообщения, призвали ни в коем случае не переходить по ссылкам.

Инцидент затронул только горячие кошельки, холодных кошельков атака не коснулась. Сообщается, что атака была «изощрённой», однако подробности не уточняются.

В официальном заявлении компании говорится следующее:
«23 января 2025 года мы обнаружили необычную активность в нашем горячем кошельке, после чего задействовали механизм экстренного реагирования, приостановили работу соответствующих функций и начали устранять потенциальные уязвимости. Затронутые атакой устройства были идентифицированы и изолированы, об инциденте уведомили сторонние ИБ-компании и правоохранительные органы для дальнейшей поддержки и принятия мер».

Изначально стоимость украденной криптовалюты оценивалась в 29 млн долларов США, но вскоре блокчейн-аналитики PeckShield сообщили, что было похищено более 69 млн долларов США. Затем оценка ущерба увеличилась ещё раз, когда Тейлор Монахан (Taylor Monahan) из MetaMask подсчитала, что стоимость украденной криптовалюты составляет не менее 85 млн долларов США.

Сейчас вывод средств с Phemex постепенно восстанавливается. Уже работают ETH, USDT и USDC на Ethereum, SOL, USDT и USDC на Solana, а также Arbitrum, Optimism, BSC, Polygon и Base.

Инцидент был обнаружен утром 24 января. Преступники получили несанкционированный доступ к информационным системам округа и нарушили работу нескольких департаментов, временно парализовав часть операций.

К 26 января округу удалось восстановить некоторые сервисы. Для упрощения налоговых платежей были установлены специальные ящики возле офиса налоговой службы округа, однако приём платежей в офисах по-прежнему не работает. Жителям рекомендовано отправлять чеки почтой.

Аварийные службы округа не пострадали от кибератаки. Расследование инцидента продолжается. Пока ни одна хакерская группировка не взяла на себя ответственность за атаку.

В четверг, 25 января, в 20:25 по местному времени, в полицию поступило сообщение о проникновении злоумышленника в здание музея. Это привело к сбою в работе нескольких систем, включая платформу для продажи билетов.

Представители музея заявили, что бывший сотрудник IT-подрядчика, уволенный на прошлой неделе, незаконно проник в здание и отключил ряд важных систем. Полиция оперативно отреагировала на происшествие, задержав злоумышленника на месте преступления.

Подозреваемый — мужчина в возрасте около 50 лет — был арестован по обвинению во взломе и причинении умышленного ущерба. Позже его отпустили под залог.

Несмотря на инцидент, музей продолжил работу в выходные дни. Однако доступ к платным выставкам, включая экспозицию «Шёлковый путь», был ограничен из-за неработоспособности системы бронирования билетов.

По информации, полученной от оперативных служб, ученик школы разбил окно здания и бросил внутрь бутылку с легковоспламеняющейся жидкостью. Поджигателя быстро задержали, им оказался ученик одной из школ Москвы.

В ходе расследования выяснилось, что подросток стал жертвой мошенников, которые звонили с номеров, зарегистрированных на Украине.

Мошенники убедили ребёнка перевести им около миллиона рублей, которые он взял из квартиры родителей. Затем они начали давить на него, требуя совершить поджог. После этого они позвонили семье мальчика и заявили, что он похищен, и потребовали выкуп.

Однако план преступников не удался. Сестра школьника заподозрила неладное и вызвала полицию.

Генеральный директор компании Рэй Юсеф подтвердил, что взлом произошел 1 января через уязвимость, связанную с мостом Solana.

Платформа отреагировала на инцидент, отключив уязвимый мост. На данный момент мост остаётся недоступным. В своем заявлении генеральный директор отметил, что активы и личные данные пользователей не были затронуты, а восстановление работы с Solana возможно только после проведения тщательного тестирования на проникновение.

Злоумышленники выводили средства небольшими частями — по 7000 долларов США за транзакцию. В общей сложности было украдено активов на 7,9 млн долларов США с сетей Ethereum, Tron, Solana и Binance Smart Chain. Затем средства были отправлены в Tornado Cash для «отмывания».

NoOnes первоначально описала инцидент как плановое техническое обслуживание и только позже подтвердила факт взлома. В дополнение к отключению моста Solana были зафиксированы перебои в работе с блокчейном TON, а также временное приостановление депозитов в сети Solana.

Злоумышленник заявляет, что утечка произошла в январе 2025 года и затронула 18 839 551 текущих и бывших клиентов компании. Однако TalkTalk пользуются лишь около 2,4 млн абонентов, поэтому ИБ-специалисты уже усомнились в подлинности этой утечки.

В доказательство своих слов преступник опубликовал образец похищенных данных, который содержит имена абонентов, email-адреса, последние использованные IP-адреса, номер рабочего и домашнего телефонов. Также он выложил в открытый доступ скриншоты, судя по которыми, данные могли быть украдены с SaaS-платформы управления подписками Ascendon, а не напрямую у TalkTalk.

Представители TalkTalk уже подтвердили СМИ, что в настоящее время компания проводит расследование случившегося и полагает, что инцидент связан со взломом стороннего партнера.