Утечка у издателя Call of Duty, фишинг сотрудников Coinbase и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Сотрудники Coinbase стали жертвами SMS-фишинга 

17 февраля криптовалютная биржа Coinbase заявила, что ее сотрудники стали жертвами фишинговой SMS-кампании. Инцидент произошел еще 5 февраля.

Целевые работники получили текстовые сообщения о срочной необходимости войти в свою учетную запись по предоставленной ссылке. Один из получателей перешел по ней, ввел логин и пароль.

Установленную на учетной записи 2FA злоумышленники обошли, позвонив сотруднику от имени IT-отдела. Жертва выполнила инструкции и авторизовалась на своем устройстве. 

Подозрительную активность заметила служба безопасности Coinbase, которая оперативно заблокировала скомпрометированную учетную запись.

Злоумышленнику удалось получить ограниченную контактную информацию сотрудников, включая имена, адреса электронной почты и номера телефонов.

При этом биржа заверила, что данные клиентов и их средства не были затронуты.

В Coinbase предположили, что за атакой стоит хакерская группировка 0ktapus также известная как Scattered Spider, на счету которой не менее 130 аналогичных взломов других организаций.

ФБР зафиксировало вредоносную активность во внутренней сети

17 февраля неизвестный злоумышленник взломал компьютерную систему центрального подразделения ФБР в Нью-Йорке. Об этом сообщает CNN.

По данным осведомленных источников, затронутый сегмент использовался для расследования преступлений, связанных с сексуальной эксплуатацией детей.

Согласно заявлению агентства, это был единичный инцидент, который удалось оперативно локализовать. Других комментариев касательно расследования, в том числе об источниках угрозы, ФБР не предоставило.

В сеть слили расписание выхода обновлений Call of Duty

Разработчик и издатель компьютерных игр Activision подтвердил несанкционированный доступ к одному из своих внутренних каналов Slack и хищение данных. Инцидент произошел еще в декабре 2022 года, однако публично о нем стало известно только после сообщения исследователей из Vx-underground.

.@Activision was breached December 4th, 2022. The Threat Actors successfully phished a privileged user on the network. They exfiltrated sensitive work place documents as well as scheduled to be released content dating to November 17th, 2023.

Activision did not tell anyone. pic.twitter.com/urD64iIlC5

— vx-underground (@vxunderground) February 20, 2023

Они опубликовали ряд отредактированных скриншотов от 4 декабря 2022 года, полученных непосредственно от злоумышленников. На них представлены конфиденциальные рабочие документы Activision, связанные с франшизой Call of Duty, а также расписание публикации контента на 2023 год.

По данным Vx-underground, взлом осуществили посредством фишинговой SMS-атаки на одного из сотрудников компании. После этого хакеры проникли в Slack-канал Activision.

Сам разработчик видеоигр не уточнил подробности взлома, однако заверил, что исходные коды игр и личные данные игроков не затронуты.

Согласно выводам издания Insider Gaming, утечка включает полные имена, email-адреса, номера телефонов, размеры зарплат и другие данные сотрудников. Помимо этого, скомпрометированный специалист Activision, по словам журналистов, работает в отделе кадров и имеет доступ к большому количеству конфиденциальной информации.

GoDaddy сообщил о многолетней компрометации систем 

Регистратор GoDaddy в поданном SEC отчете раскрыл факт целенаправленной атаки на свои системы, продолжавшейся в течение нескольких лет.

По данным компании, неизвестные скомпрометировали среду общего хостинга cPanel, украли исходный код и устанавливали вредоносное ПО на их серверах.

О проблеме узнали в начале декабря 2022 года после жалоб клиентов о том, что их сайты использовались для перенаправления на случайные домены.

В GoDaddy отметили, что атаку совершила организованная группа, нацеленная на хостинговых провайдеров по всему миру. Их задачей являлось заражение сайтов малварью для проведения фишинговых кампаний и других злонамеренных действий.

Сейчас команда регистратора сотрудничает с внешними экспертами по кибербезопасности и правоохранительными органами для расследования инцидента.

В даркнете получил распространение новый инфостилер

Среди киберпреступников набирает популярность новый стилер Stealc, способный похищать данные из браузеров, расширения и адреса криптовалютных кошельков. На это обратили внимание эксперты компании Sekoia.

https://t.co/CnRXY1H4Ke uncovered a new #infostealer advertised as #Stealc on underground forums since early 2023 and already widespread in the wild.

In a nutshell, Stealc is a copycat of the prominent #Vidar and #Raccoon stealers.https://t.co/3FqVt4y9ZM

— SEKOIA.IO (@sekoia_io) February 20, 2023

С января 2023 года вредонос активно рекламируют на хакерских форумах и в Telegram-каналах. 

В частности авторы постов отмечают, что создатели Stealc опирались на уже существующие «на рынке» решения, включая Vidar, Raccoon, Mars и Redline. Тем не менее в отличие от них новый стилер можно настроить для захвата определенных типов файлов.

Исследователи выявили более 40 управляющих серверов Stealc и несколько десятков образцов малвари, что свидетельствует об интересе к ней в среде киберпреступников.

Эксперты указали на всплеск атак через соцсети и мессенджеры

Специалисты Positive Technologies изучили наиболее актуальные киберугрозы четвертого квартала 2022 года. Среди главных трендов — увеличение числа атак через социальные сети и мессенджеры.

Также злоумышленники прибегали к использованию малвари, методам социальной инженерии и эксплуатации уязвимостей.

Из-за их действий наблюдались перебои в работе критической инфраструктуры, крупные утечки данных пользователей и исходного кода продуктов.

Общее количество кибератак за исследуемый период выросло на 15% по сравнению с четвертым кварталом 2021 года. 

Также на ForkLog:

• Сэма Бэнкмана-Фрида обвинили в сговоре с целью банковского мошенничества.
• У Edge Wallet произошла утечка 2000 закрытых ключей.
• Житель Беларуси потерял $70 000 в попытке обналичить криптовалюту.
• Основателей Forsage обвинили в создании криптовалютной пирамиды на $340 млн.
• Voyager проверят на вводящий в заблуждение криптомаркетинг.
• Адвокат Винника допустил возможность его обмена.
• В Москве задержали биткоин-консультанта Северной Кореи.
• Хакеры похитили $300 000 через фишинговый сайт известной Ethereum-конференции.
• Ботнет Trickbot попал под санкции США и Великобритании.
• Звезда НБА Пол Пирс заплатит $1,4 млн за рекламу EthereumMax.
• Журналисты сообщили об убийстве основательницы OneCoin Руджи Игнатовой.

Что почитать на выходных?

В образовательном разделе «Крипториум» рассказываем о перезапуске сайдчейна Ronin после масштабного взлома.