Malwarebytes, компания по обеспечению безопасности, заявила, что ее атаковала та же хакерская группировка, которая осуществила взлом систем SolarWinds. При этом в Malwarebytes утверждают, что эта атака планировалась отдельно, так как компания не использует какое-либо программное обеспечение SolarWinds в своей внутренней сети.

Отмечается, что с помощью неактивного продукта защиты электронной почты в клиенте Office 365 были взломаны внутренние системы.

Malwarebytes заявила, что узнала об атаке 15 декабря от Microsoft Security Response Center (MSRC), который обнаружил подозрительную активность, исходящую от бездействующего приложения безопасности Office 365. В то время Microsoft проводила аудит своей инфраструктуры Office 365 и Azure на предмет наличия признаков вредоносных приложений, созданных хакерами SolarWinds. Позднее компания подтвердила факт получения хакерами доступа к внутренним сетевым и серверным ресурсам компании. В ходе взлома злоумышленники смогли просмотреть часть исходного кода некоторых продуктов Microsoft.

Malwarebytes начала внутреннее расследование, чтобы определить, к какой информации получили доступ хакеры. Выяснилось, что они завладели некоторыми внутренними электронными письмами компании.

В Malwarebytes также провели аудит всех своих продуктов и их исходного кода. Он не выявил несанкционированный доступ или взлом локальных и производственных сред. Как утверждает компания, ее ПО остается безопасным в использовании.

Таким образом, Malwarebytes стала четвертым крупным поставщиком средств обеспечения безопасности, на которого совершили атаку. Ранее о взломе сообщали FireEye, Microsoft и CrowdStrike.

В декабре стало известно, что хакерской атаке подверглись сети минфина, Национального управления по телекоммуникациям и информации, Госдепа, министерства внутренней безопасности, министерство финансов и министерство торговли США. Также она могла затронуть министерство энергетики и Национальное управление по ядерной безопасности.

Атаку могла организовать хакерская группа АРТ29, или Cozy Bear, которую связывают с российским правительством. Российские власти все обвинения опровергли.

Microsoft поделилась подробностями своего расследования относительно того, как хакерам при взломе систем SolarWinds удавалось оставаться незамеченными.

Отчет представили эксперты Microsoft 365 Defender, Microsoft Threat Intelligence Center (MSTIC) и Microsoft Cyber ​​Defense Operations Center (CDOC).

Новые подробности касаются второго этапа взлома Solorigate, когда хакеры предпринимали шаги для развертывания загрузчиков Cobalt Strike (Teardrop, Raindrop и другие) после удаления бэкдора DLL Solorigate (Sunburst).

Как выяснили эксперты, хакеры следовали лучшим методам обеспечения безопасности операций (OpSec), чтобы минимизировать следы и оставаться вне поля зрения.

Некоторые примеры тактики уклонения хакеров:

методическое устранение общих индикаторов для каждого скомпрометированного хоста путем развертывания пользовательских Cobalt Strike DLL на каждом компьютере,

маскировка путем переименования инструментов и двоичных файлов в соответствии с файлами и программами на взломанном устройстве,

отключение регистрации событий с помощью AUDITPOL перед практическими действиями с клавиатуры и включение обратно после них,

создание правил брандмауэра для минимизации исходящих пакетов для определенных протоколов перед запуском действий по перечислению сетей, которые потом удалялись,

отключение служб безопасности на целевых хостах, использование временных меток для изменения временных меток артефактов, а также процедур и инструментов очистки, чтобы препятствовать обнаружению вредоносных внедрений DLL в уязвимых средах.

Кроме того, Microsoft предоставляет список наиболее интересных и необычных тактик, приемов и процедур (TTP), используемых в этих атаках.

Компания также заявила, что «активно работает с MITER, чтобы убедиться, что любая новая техника, возникающая в результате этого инцидента, задокументирована в будущих обновлениях структуры ATT&CK».

Подробный график этих атак показывает, что бэкдор Solorigate DLL был развернут в феврале, а в скомпрометированных сетях — в конце марта.

Брайан Фой, эксперт по Perl, сообщил, что домен сайта Perl.com был захвачен неизвестными хакерами.

Он опубликовал сообщение на Reddit: «Мы все еще пытаемся разобраться, и я не могу вдаваться в подробности. Однако, похоже, что это был взлом аккаунта».

CD Projekt сообщила в твиттере, что неизвестные хакеры получили доступ к серверам компании. Теперь они требуют от студии выкуп.

Хакеры заполучили исходный код Cyberpunk 2077, «Ведьмака 3», «Гвинта», а также пока не вышедшей версии третьего «Ведьмака». Кроме того, им удалось завладеть документами бухгалтерии и административными бумагами.

Суд в США приговорил россиянина Владимира Дунаева к пяти годам и четырём месяцам тюрьмы по делу о создании и внедрении вредоносного ПО Trickbot, которое использовалось для атак на государственные организации, компании и частных лиц по всему миру. Минюст США оценил ущерб от его действий в $3,4 млн.

Исследователи из китайской QiAnXin обнаружили на официальном Microsoft App Store вредоносный установщик, замаскированный под русскоязычную версию ПО 7Zip.

Группировка Sticky Werewolf получает доступ к системам государственных организаций России и Республики Беларусь с помощью фишинговых писем со ссылками на вредоносные файлы, сообщили Хабру в пресс-службе BI.ZONE. Для создания ссылок используется коммерческое вредоносное ПО IP Logger. Всего Sticky Werewolf с апреля этого года совершила не менее 30 атак.

Microsoft Defender for Endpoint теперь использует автоматическое прерывание атак для изоляции скомпрометированных учётных записей пользователей. Также он блокирует горизонтальное перемещение при атаках с использованием клавиатуры благодаря опции «сдерживать пользователя». Она появилась в общедоступной предварительной версии.

Microsoft анонсировала новый защищённый режим печати Windows (WPP), который значительно повышает безопасность системы. Он опирается на существующий стек печати IPP, в котором поддерживаются только принтеры, сертифицированные Mopria, и исключает возможность загрузки сторонних драйверов. 

Британский суд приговорил 18-летнего хакера Ариона Куртаджа к госпитализации в психиатрической клинике на неопределённый срок за взлом Rockstar Games и слив геймплея GTA VI. Судья заявила, что Куртадж — ключевой член группировки Lapsus$, а его навыки и желание совершать преступления показывают, как он опасен для общества. Он останется в больнице на всю жизнь, если только врачи не сочтут, что он больше не представляет угрозы, сообщает BBC.

Sony расследует заявление хакерской группировки Rhysida о хищении конфиденциальных данных студии Insomniac Games, включая личную информацию актёра озвучивания, сыгравшего Питера Паркера в игре Spider-Man 2 для PlayStation 5.

Издание Recorded Future представило отчёт, который утверждает, что платформа GitHub становится всё более популярным инструментом для хакеров, которые используют её для размещения и распространения вредоносов.

Информационные системы судов в Канзасе не работают уже несколько дней после того, как 12 октября произошёл некий «инцидент безопасности». Он затронул, в том числе, систему электронной подачи документов в суд, которую используют адвокаты.

Исследователь KrebsOnSecurity Брайан Кребс рассказал о новом типе мошенничества с использованием старого метода, который заключается в том, чтобы заставить пользователей перейти на вредоносные сайты якобы для обновления браузера.