У Facebook розповіли про китайське хакерське угрупованням Earth Empusa (інша назва Evil Eye), що проводило шкідливі операції з використанням платформи Facebook.

За словами фахівців, угруповання атакувало активістів, журналістів і дисидентів, які є вихідцями з Китаю і проживають в Туреччині, Казахстані, США, Сирії, Канаді та Австралії. Зловмисники використовували цілий ряд прийомів кібершпигунства для виявлення жертв і зараження їх пристроїв шкідливим ПЗ для стеження.

Проведені Earth Empusa шкідливі операції мали відмінні риси: гарне фінансування, ретельне проведення та приховування джерел. Хакери використовували Facebook в першу чергу для розповсюдження посилань на шкідливі сайти, а не самого шкідливого ПЗ. Періодично ці операції припинялися у відповідь на контрзаходи, що вживаються як самою Facebook, так і іншими компаніями.

Фахівці виявили наступні тактики, техніки і процедури (TTP), що використовувалися угрупованням:

  • Вибірковий таргетинг і захист експлойтів: хакери ретельно приховували свою діяльність і захищали експлойти, заражаючи шкідливим ПЗ для iOS тільки тих, хто відповідав певним технічним критеріям (IP-адреси, ОС, браузер, країна і налаштування мови);
  • Компрометація і підробка новинних сайтів: зловмисники підробляли домени певних новинних сайтів. Вони також зламали часто відвідувані жертвами легітимні ресурси в рамках атак watering hole. Деякі з цих сторінок містили шкідливий Javascript-код, що нагадує вже відомі експлойти, які встановлюють шкідливе ПЗ для iOS під назвою INSOMNIA;
  • Соціальна інженерія: угруповання підробляла облікові записи в соцмережі Facebook, які нібито належали журналістам, активістам, правозахисникам;
  • Використання сторонніх магазинів додатків: зловмисники створили як мінімум один підроблений магазин Android-додатків, через які поширювали додатки, що містять шкідливе ПЗ ActionSpy або PluginPhantom;
  • Аутсорсинг розробки шкідливого ПЗ: угруповання використовувало кілька сімейств шкідливого ПЗ, створених різними розробниками.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.