Xakep #305. Многошаговые SQL-инъекции
Представители компании Microsoft сообщили, что, по их данным, за последние месяцы сразу три APT-группы атаковали как минимум семь компаний, занятые исследованиями COVID-19 и разработкой вакцин. В этих атаках обвиняют русскоязычную группировку Strontium (Fancy Bear, APT28 и так далее), а также северокорейские Zinc (Lazarus) и Cerium.
Заявление гласит, что атаки были нацелены на производителей вакцин, чьи разработки находятся на разных стадиях клинических испытаний, на клиническую исследовательскую организацию, которая задействована в этих испытаниях, а также на организацию, создавшую тест на COVID-19. Компании-жертвы, чьи названия не раскрываются, базируются в Канаде, Франции, Индии, Южной Корее и США.
По информации Microsoft, группировка Strontium использовала брутфорс и технику password spraying с целью хищения учетных данных, взлома учетных записей и кражи конфиденциальной информации. Упомянутая техника заключается в том, что атакующие перебирают различные имена пользователей и пытаются использовать их с одним и тем же простым, легко угадываемым паролем, надеясь таким образом обнаружить плохо защищенную учетную запись.
В свою очередь, хак-группа Zinc (она же Lazarus) в основном полагалась на целевые фишинговые кампании, отправляя потенциальным жертвам письма с фиктивными описаниями вакансий и выдавая себя за рекрутеров.
Вторая северокорейская группировка, Cerium, похоже, является новым игроком. Представители Microsoft заявляют, что Cerium организовывала целевые фишинговые, выдавая себя за представителей Всемирной организации здравоохранения, а содержимое писем-приманок было связано с COVID-19.
«Microsoft призывает мировых лидеров подтвердить, что международное право защищает медицинские учреждения, и принять необходимые меры по обеспечению соблюдения закона», — пишет в блоге компании вице-президент Microsoft Том Берт (Tom Burt).