Аналитики обнаружили скомпрометированное устройство хакера из КНДР
Исследователи из израильской компании Hudson Rock, специализирующейся на анализе данных инфостилеров, выявили в логах вредоносного ПО Lumma устройство, принадлежавшее, предположительно, северокорейскому хакеру.
Анализ телеметрии показал связь владельца зараженной машины с инфраструктурой, задействованной в атаке на криптобиржу Bybit, произошедшей в феврале. Ключевым доказательством стал адрес электронной почты, обнаруженный на устройстве. Ранее он уже фигурировал в расследованиях компании Silent Push и использовался для регистрации фишингового домена всего за несколько часов до инцидента с биржей.
Хотя прямое участие владельца компьютера в выводе средств не подтверждено, эксперты считают, что рабочая станция входила в общий пул ресурсов группировки Lazarus. По их оценке, устройство обладало высокой вычислительной мощностью и было специально подготовлено для разработки и тестирования вредоносного ПО.
Несмотря на попытки маскировки — использование VPN с американским IP-адресом, — следователи обнаружили ряд несоответствий. В браузере был установлен китайский язык интерфейса, а история поисковых запросов включала переводы с корейского.
Судя по активности файловой системы, хакер готовил новую фишинговую кампанию: на диске сохранились шаблоны доменов, имитирующих популярные сервисы, а также локальные копии поддельных установщиков Zoom.
Новое шпионское ПО атакует пользователей Android
Специалисты компании Zimperium зафиксировали масштабную вредоносную кампанию, нацеленную на владельцев Android-устройств. В ее основе — троян DroidLock, сочетающий функции вымогателя и шпионского ПО.
Вредонос распространяется через поддельные сайты под видом легитимных приложений и использует двухэтапную схему заражения. После установки программа обманным путем получает права администратора и доступ к специальным возможностям системы.
По данным исследователей, основная аудитория кампании — испаноязычные пользователи. DroidLock способен менять PIN-коды и биометрические данные, перехватывать графические ключи, записывать аудио, а также похищать SMS-сообщения и историю звонков. Кроме того, злоумышленники получают возможность удаленно управлять устройством.
В отличие от классических программ-вымогателей, троян не шифрует файлы. Вместо этого он угрожает их полным удалением. По сигналу управляющего сервера на экране появляется сообщение с требованием выкупа.
О находке уже уведомлена команда безопасности Android, а Google Play Protect получил обновление, позволяющее распознавать и блокировать DroidLock. Эксперты настоятельно советуют не устанавливать APK-файлы из сторонних источников и с осторожностью относиться к приложениям, запрашивающим расширенные административные права.
Ботнет Broadside угрожает безопасности морских судов
Компания Cydome, работающая в сфере морской кибербезопасности, сообщила о новом ботнете Broadside, который активно заражает системы видеонаблюдения и IoT-шлюзы на коммерческих судах.
Вредоносное ПО основано на коде Mirai и способно проводить мощные DDoS-атаки, а также скрытно перехватывать видеопотоки. Основная опасность заключается в том, что зараженные устройства могут стать точкой входа в навигационные системы кораблей, создавая угрозу безопасности судоходства.
По данным Cydome, Broadside использует подбор слабых паролей к спутниковым терминалам VSAT, обеспечивающим связь судов в открытом море. Инфицирование происходит автоматически при попадании корабля в зону покрытия. После заражения шлюза ботнет начинает сканирование внутренней сети, пытаясь выявить уязвимости в системах электронных навигационных карт.
Исследователи также предупредили, что операторы Broadside уже продают доступ к зараженным судовым сетям на подпольных форумах. Потенциальными покупателями могут быть конкуренты логистических компаний, заинтересованные в данных о маршрутах и грузах, а также пираты, использующие такую информацию для подготовки физических атак.
Хакеры заявили о взломе Asus, Qualcomm и ArcSoft
Компания Asus подтвердила инцидент безопасности, связанный с компрометацией инфраструктуры одного из ее поставщиков. Параллельно вымогательская группировка Everest заявила о краже данных сразу у трех технологических компаний — Asus, Qualcomm и ArcSoft. Об этом сообщило издание «Хакер».
По утверждению злоумышленников, им удалось похитить около 1 Тб конфиденциальной информации, включая исходные коды программного обеспечения для камер смартфонов, кастомные ИИ-модели и внутренние инструменты разработчиков. В качестве доказательства хакеры опубликовали в даркнете скриншоты файлов.
В Asus подчеркнули, что собственные серверы и данные клиентов компании не пострадали. Утечка затронула лишь часть исходного кода ПО для мобильных камер, который находился в управлении стороннего партнера. Производитель начал аудит безопасности цепочки поставок, однако имя скомпрометированного контрагента раскрывать не стал.
Совокупность этих инцидентов в очередной раз подчеркивает рост сложности и масштабов киберугроз — от атак на мобильных пользователей до вмешательства в критически важные отрасли и цепочки поставок крупных технологических корпораций.
