Таргетирани атаки

В последните месеци, руски хакери са насочили своите усилия към компрометиране на профили в приложението за сигурни съобщения Signal. Известно със своето високо ниво на криптиране и защита на личните данни, сега то е мишена на различни зловредни кампании.

Хакерите използват разнообразни методи за атака, включително фишинг, куишинг и зловреден софтуер. Фишинг атаките включват изпращане на подвеждащи съобщения или имейли, които изглеждат като легитимни, но всъщност съдържат линкове към зловредни сайтове. Когато потребителите кликнат върху тях, личната им информация може да бъде открадната или да изтеглят зловреден софтуер на своите устройства.

Зловредният софтуер, използван от хакерите, е проектиран да прониква в системите на потребителите и да събира чувствителна информация. Това включва съобщения, контакти и дори криптирани данни.

Тези атаки представляват сериозна заплаха за потребителите на Signal и подчертават важността на повишената бдителност и използването на допълнителни мерки за сигурност.

За да се защитите:

• избягвайте да кликате върху линкове или да изтегляте прикачени файлове от съмнителни източници;
• използвайте актуализирани антивирусни програми;
• активирайте двуфакторна автентикация (2FA);
• използвайте силни и уникални пароли за всеки свой акаунт;
• следете новините и актуализациите за киберсигурност, за да бъдете информирани за новите методи на атака и как да се защитите от тях.

 

Двама хакери публично злепоставиха Министерството на правителствената ефективност (DOGE) на Илон Мъск. Те успяха да получат достъп до уебсайта му и оставиха след себе си няколко подигравателни съобщения.

Нападателите разкриват, че използването на уязвимостите на сайта е било проста задача. Според тях всеки с основни умения за кодиране може да направи същото. Те произтичат от използването на база данни, известна като Cloudflare Pages – незащитена платформа, която всеки с достъп може да редактира. Този пропуск е позволил на хакерите да напишат каквото си искат в сайта.

Пробивът идва след амбициозното обещание на Мъск да внесе прозрачност в работата на правителството, като създаде DOGE. Оказва се обаче, че уебсайтът е бил разработен набързо, което в крайна сметка е довело до очевидния провал в сигурността.

Много анализатори акцентират върху по-широките последици от хакерската атака. Според тях тя хвърля сянка върху способността на правителството да управлява своята цифрова инфраструктура.

Само няколко дни преди пробива в DOGE новостартиралият правителствен сайт waste.gov също се сблъска с криза в сигурността. Тя наложи спешно блокиране на достъпа до него, след като беше установено, че е използван незавършен шаблон на WordPress.

54% от глобалните финансови институции са били подложени на кибератаки, при които са били унищожени данни, през миналата година.

Според Modern Bank Heists Report 2025 на Contrast Security това представлява увеличение от 12,5% на т.нар. destructive attacks спрямо 2023. Унищожаването на данни обаче не е насочено само към саботажи и прекъсване на услугите. То се прави и за да се прикрият следи.

Деструктивните варианти на злонамерен софтуер целят да унищожат, нарушат или влошат работата на системите на жертвите. За целта те предприемат действия като криптиране на файлове, изтриване на данни, унищожаване на твърди дискове, прекратяване на връзки или изпълнение на злонамерен код.

Останалите заключения в доклада сочат, че:

• 64% от анкетираните признават, че тяхната институция е била обект на киберинциденти през изминалата година;
• облачните среди и API са двата най-често срещани вектора на атаки;
• за 71% от респондентите Zero day заплахите са най-голямата грижа по отношение на защитата на приложенията и API.

Унищожаването на данни не е единственият проблем, свързан с киберсигурността на финансовия сектор. Около 2/3 от анкетираните заявяват, че нападателите се опитват да откраднат непублична пазарна информация. След това тя се продава с цел борсови манипулации.

Други 48% са регистрирали увеличаване на броя на случаите на превземане на клиентски сметки. 43% пък са претърпели атака от типа island hopping. При нея хакерите използват неоторизиран достъп до банката жертва, за да атакуват нейни клиенти и партньори.

За да се защитят, финансовите институции трябва да:

• наблюдават постоянo API за поведенчески аномалии;
• внедрят ADR, за да блокират атаките в самото начало и улавят уязвимостите в приложенията и API.

 

Нашумeлият в последните дни китайски AI разработчик DeepSeek спря регистрациите в чат платформата си DeepSeek-V3. Причината – продължаваща „мащабна“ кибератака, насочена към нейните услуги.

DeepSeek е сравнително нова платформа за изкуствен интелект. Тя обаче бързо привлече вниманието заради разработването и пускането на усъвършенстван модел със значително по-ниски разходи. Тази новина разтърси из основи фондовия пазар в САЩ.

Точно когато приложението DeepSeek AI Assistant изпревари ChatGPT като най-изтегляното в Apple App Store, компанията е принудена да изключи новите регистрации. Твърди се, че това се дължи на DDoS атака срещу нейния API и самия AI чатбот.

Това не е изненада за професионалната общност. В понеделник доставчикът на киберсигурност KELA обяви, че е успял да пробие модела и да произведе злонамерени резултати. Пробивът включва широк спектър от сценарии – разработване на ransomware софтуер, изработване на чувствително съдържание и подробни инструкции за създаване на токсини и взривни устройства.

Нова кампания на руската група за криптоизмами Crazy Evil таргетира инфлуенсъри в областта на технологиите, игрите и криптовалутите.

Тя пренасочва легитимен трафик към злонамерени целеви страници, които разпространяват усъвършенствани зловредни инструменти като Stealc (за Windows) и AMOS (за macOS).

Изследователите по сигурността от Insikt Group са идентифицирали поне 10 активни платформи за криптоизмами на Crazy Evil. Те се популяризират през социалните медии.

Списъкът включва:

• Voxium – фалшив инструмент за децентрализирана комуникация, изграден върху блокчейн инфраструктурата на криптовалутата Solana;
• Rocket Galaxy – фалшива игра, която разпространява злонамерени полезни товари;
• TyperDex – фалшив софтуер за продуктивност, подпомаган от изкуствен интелект;
• DeMeet – фалшива платформа за „развитие на общносттаˮ с функционалности за чат, планиране на събития и лоялност към марката;
• Фалшиви Zoom и WeChat;
• Selenium Finance – фалшива платформа за управление на цифрови активи;
• Gatherum – фалшив AI софтуер за виртуални срещи.

Crazy Evil има над 3000 последователи в публичния си канал в Telegram. Тя е генерирала над 5 млн. долара незаконни приходи и е заразила десетки хиляди устройства със зловреден софтуер по целия свят. Това я прави изключително голяма заплаха.

За да се защитите от подобни групи:

• използвайте усъвършенствани EDR решения за наблюдение и блокиране на изпълнението на известни семейства зловреден софтуер;
• внедрете инструменти за филтриране на уеб страници за блокиране на достъпа до известни злонамерени домейни, както и на подозрителни изтегляния. Това важи с особена сила за кракнат „безплатен“ софтуер;
• актуализирайте редовно знанията си за напредналите киберзаплахи.

DDoS атака, достигнала максимална скорост от 5,6 Tbps (терабита в секунда), счупи световния рекорд. Тя е извършена от ботнет Mirai с 13 000 компрометирани устройства и е била насочена срещу доставчик на интернет услуги в Източна Азия.

Атаката е продължила 80 секунди, но не е оказала влияние върху целта. Нейното откриване и смекчаване е било напълно автоматично.

Доскорошният рекорд за най-обемна DDoS атака беше 3,8 Tbps от октомври 2024, продължила 65 секунди.

Според Cloudflare хиперволуметричните DDoS атаки зачестяват – тенденция, станала особено забележима през Q3/2024. През Q4 атаките, надхвърлящи 1 Tbps, са скочили с 1885% на тримесечна база.

Тези над 100 млн. pps (пакета в секунда) също са се увеличили със 175%, като забележителните 16% от тях са надхвърлили и 1 млрд. pps.

Компанията твърди, че най-атакуваните цели през последното тримесечие на 2024 са в Китай, Филипините и Тайван, следвани от Хонконг и Германия. Повечето от тях са били в областта на телекомуникациите, доставчиците на услуги, интернет сектора и маркетинга и рекламата.

На практика обаче нито един бизнес не е застрахован – независимо от сферата и региона, в които оперира. За да се защитите:

• използвайте специализираните услуги за защита от DDoS атаки, предлагани от доставчиците на интернет услуги и хостинг компаниите;
• инсталирайте защитни стени и мрежови филтри, които могат да идентифицират и блокират подозрителен трафик;
• постоянно наблюдавайте мрежовия трафик за необичайни активности;
• използвайте CDN (Content Delivery Network) мрежи, които разпределят трафика към различни сървъри;
• поддържайте актуализирани всички софтуерни компоненти, за да няма уязвимости, които могат да бъдат използвани при DDoS атаки;
• инсталирайте AI решения за анализ на трафика в реално време и автоматично блокиране на злонамерени заявки.

Подкрепяната от Китай APT група Silk Typhoon е проникнала в Комитета за чуждестранни инвестиции в САЩ (CFIUS). CFIUS е правителствена служба, която преглежда външните финансови потоци и сделките с недвижими имоти, за да определи ефекта им върху националната сигурност на страната.

Същите нападатели са пробили и Службата за контрол на чуждестранните активи (OFAC), също част от Министерството на финансите. Тя администрира програмите за търговски и икономически санкции.

Не на последно място, те са хакнали и Службата за финансови изследвания на ведомството.

Хакерите използваха откраднат BeyondTrust Remote Support SaaS API ключ, за да проникнат в мрежата на Министерството на финансите на САЩ. За кампанията беше съобщено преди няколко седмици, но досега липсваха подробости за конкретните цели.

Този случай за пореден път повдигна въпроса за важността, която имат външните доставчици за киберсигурността на всяка организация.

Усъвършенствана техника за кибератаки използва Windows Defender Application Control (WDAC), за да деактивира EDR.

WDAC е въведена с Windows 10 и Windows Server 2016 и предоставя на организациите фин контрол върху изпълнимия код на техните устройства. Експерти по сигурността обаче откриват, че хакерите могат да използват тази функция в своя полза. Това потенциално оставя цели мрежи уязвими за атаки.

Техниката позволява на нападатели с административни привилегии да изготвят и внедрят специално разработени политики за WDAC. Те могат ефективно да блокират EDR по време на зареждането на системата. По този начин нападателите работят без ограниченията на тези критични за сигурността решения.

Атаката може да бъде извършена по различни начини – от насочване към отделни машини до компрометиране на цели домейни. В най-тежките сценарии нападател с права на администратор на домейн може да разпространи злонамерени WDAC политики в цялата организация.

Атаката включва три основни фази:

• атакуващият създава персонализирана WDAC политика, която позволява на собствените му инструменти да се изпълняват и блокира решенията за сигурност. След това тази политика се поставя в директорията C:\Windows\System32\CodeIntegrity\ на целевата машина;
• нападателят рестартира крайната точка, за да приложи новата политика;
• при рестартиране тя влиза в сила, като не позволява на EDR да се активира и оставя системата уязвима за по-нататъшно компрометиране.

Откриването на този тип атаки е предизвикателство заради използването на легитимни функции на Windows. Но за да смекчите тяхното въздействие, трябва да предприемете следните мерки:

• внедрете централни WDAC политики, които отменят локалните промени. Това гарантира, че злонамерените правила не могат да влязат в сила;
• прилагайте принципа на най-малките привилегии. Ограничете разрешенията за промяна на WDAC политиките и записите в чувствителни папки;
• деактивирайте или защитете локалните администраторски акаунти с инструменти като Local Administrator Password Solution (LAPS) на Microsoft.

С усъвършенстването на инструментите за сигурност се усъвършенстват и методите за тяхното преодоляване. Това подчертава необходимостта от многопластов подход към киберсигурността и постоянна бдителност от страна на бизнесите.

Доскоро се смяташе, че обикновено за да бъде пробита една Wi-Fi мрежа, нападателят трябва да е физически близо до точката за достъп. Новопоявилата се тактика, наречена Nearest Neighbor, обаче обори категорично това разбиране.

Тя разкри, че дори добре защитената безжична мрежа може да се превърне в удобна входна точка за отдалечени нападатели. За целта те просто трябва да компрометират друга, по-уязвима компания, намираща се в същата или съседна сграда.

Как се случва атаката Nearest Neighbor?

Представете си хакерска група, която планира да проникне дистанционно в дадена организация. Тя събира информация за жертвата си, проучва външния ѝ периметър и успява да се сдобие с идентификационните данни на служители от масиви с изтекли пароли. Но не открива уязвимости, които да могат да бъдат използвани. В същото време външните услуги на организацията са защитени с MFA, така че само паролите не са достатъчни за достъп.

Един от потенциалните методи за проникване може да бъде корпоративната Wi-Fi мрежа. Това важи с още по-голяма сила, ако има такава за гости, която не е достатъчно изолирана от основната.

Тук обаче идва един проблем: хакерите са на другия край на земното кълбо и не могат физически да се свържат с Wi-Fi мрежата на организацията. Отговорът е тактиката Nearest Neighbor.

При нея нападателите:

• откриват по-слабо защитена организация, физически разположена в обхвата на целевата Wi-Fi мрежа;
• пробиват нейните системи и получават достъп до тях;
• компрометират устройство, оборудвано с безжичен модул;
• сканират Wi-Fi средата чрез него и откриват SSID на мрежата на целевата компания;
• използват компрометираното устройство като мост и се свързват с целевата Wi-Fi мрежа.

По този начин нападателите проникват в периметъра на жертвата. След това те могат да продължат с основните си цели – кражба на информация, криптиране на данни, наблюдение на дейността на служителите и др.

Как да се предпазите

Nearest Neighbor не е теоретична заплаха. Тази тактика вече се използва от ATP групите.

За да не станете жертва на подобна атака, трябва да се отнасят към сигурността на своите Wi-Fi мрежи изключително отговорно.

Ето пет основни стъпки, които могат да ви защитят:

1. Уверете се, че Wi-Fi мрежата за гости е наистина изолирана от основната мрежа.
2. Засилете сигурността на корпоративния Wi-Fi достъп чрез 2FA с еднократни кодове или сертификати.
3. Възприемете Zero Trust модела за сигурност.
4. Използвайте усъвършенствана система за откриване и предотвратяване на заплахи.
5. Ако не разполагате с висококвалифицирани вътрешни специалисти по киберсигурност, използвайте външни такива.

Нов тип атака използва стандарта SD Express, за да получи директен достъп до паметта на устройството чрез неговия четец на SD карти.

DaMAgeCard заобикаля традиционните мерки за сигурност. Той позволява на нападателите да извличат чувствителни данни или да инжектират зловреден код, без да имат физически достъп до целевото устройство.

Стандартът SD Express е въведен с цел повишаване на скоростта на пренос на данни в SD картите. С него те могат да работят както в режим SDIO, така и като PCIe/NVMe устройство. Това означава, че те могат да взаимодействат директно с шината за памет на системата. Тази възможност, макар и полезна за производителността, въвежда значителни рискове за сигурността, когато не се управлява правилно.

Атаката използва способността на SD Express картите да превключват между двата режима, показват в своя демонстрация от Positive Labs. Когато се поставят, хост контролерът обикновено започва в режим SDIO, след което преминава в PCIe. Той обаче може да бъде заблуден чрез емулиране на това взаимодействие.

Последиците от DaMAgeCard са сериозни. Тя може потенциално да:

• извлича чувствителни данни – ключове за криптиране или всякаква информация, съхранявана в оперативната памет;
• инжектира зловреден код, което да доведе до постоянни инфекции със зловреден софтуер или до неоторизиран контрол върху устройството;
• неутрализира традиционните протоколи за сигурност като IOMMU (Input-Output Memory Management Unit), което прави системите уязвими.

Фотографи, геймъри и други потребители, които се нуждаят от високоскоростен трансфер на данни, бързо възприемат SD Express технологията. Както се вижда обаче, тя отваря нови вектори за атака. Не забравяйте, че производителността никога не трябва да бъде за сметка на сигурността.