Zestawienie tygodniowe 19 – 26 lipca

„Fraud Family” rozbita!

Dalej pozostajemy w Holandii, w której właśnie służby aresztowały 24-latka, który uważany jest za twórcę struktur phishingowych dla grupy cyberprzestępczej „Rodzina oszustw”.

Według holenderskiej policji mężczyzna pracował razem z 15-letnim wspólnikiem w celu opracowania i sprzedaży paneli phishingowych, które umożliwiały cyberprzestępcom kradzież danych uwierzytelniających do bankowości.

Według firmy zajmującej się wywiadem zagrożeń Group-IB, która pomogła w dochodzeniu, Fraud Family to niderlandzko- języczny syndykat przestępczy, który buduje, sprzedaje i wynajmuje wyrafinowane systemy phishingowe.

Podszywając się pod legalne organizacje finansowe, osoby atakujące zazwyczaj kontaktują się z ofiarami za pośrednictwem wiadomości e-mail, SMS-ów lub WhatsApp i nakłaniają je do kliknięcia złośliwych linków, które prowadzą do stron phishingowych, gdzie są proszone o udostępnienie swoich danych logowania.

Cyberprzestępcy stojący za tą operacją „Fraud-as-a-Service” dostarczyliby innym cyberprzestępcom zestawy phishingowe i panele internetowe wymierzone w użytkowników banków, głównie w Holandii i Belgii. Systemy umożliwiają przeciwnikom interakcję z witryną phishingową w czasie rzeczywistym, a także umożliwiają gromadzenie danych i zarządzanie nimi.

Członkowie Fraud Family wykorzystywali kanały Telegram do reklamowania swoich usług, w tym narzędzi phishingowych i gotowej do użycia infrastruktury. Ceny wahały się od 200 do 250 EUR miesięcznie za panel.

Według Group-IB gang prowadził co najmniej osiem kanałów Telegrama, które miały łącznie około 2000 abonentów. Połowa z tych użytkowników może być rzeczywistymi nabywcami.

Uwaga na Agro Workflows!

Zgodnie z ostrzeżeniem dostawcy zabezpieczeń, firmy Intezer, hakerzy używają Argo Workflows do atakowania wdrożeń Kubernetes i wdrażania koparek kryptowalut.

Kubernetes to otwarta platforma do zarządzania, automatyzacji i skalowania aplikacji kontenerowych. Jego pierwotna wersja została stworzona w 2014 roku przez Google, a obecnie rozwijany jest przez Cloud Native Computing Foundation. Kubernetes działa z wieloma narzędziami kontenerowymi, w tym z Dockerem.

Zespół Intezer zidentyfikował szereg niezabezpieczonych instancji obsługiwanych przez organizacje w sektorach technologii, finansów i logistyki, które umożliwiły każdemu wdrożenie systemu „workflow”. W niektórych przypadkach węzły były atakowane przez złośliwych cyberprzestępców w celu rozmieszczenia koparek kryptowalut.

Argo Workflows to open-source, natywny dla kontenerów silnik „przepływu pracy”, który działa na Kubernetes. Umożliwia użytkownikom łatwe uruchamianie równoległych zadań z centralnego interfejsu. Argo używa plików YAML do zdefiniowania rodzaju pracy do wykonania, przy czym przepływy pracy są wykonywane z szablonu lub przesyłane bezpośrednio za pomocą konsoli.

W przypadku źle skonfigurowanych instancji, Intezer ostrzega, że cyberprzestępcy mogą uzyskać dostęp do otwartego pulpitu nawigacyjnego Argo i wdrożyć swój przepływ pracy. W jednym z zaobserwowanych ataków przeciwnik zastosował kannix/monero-miner, znany kontener do kopania kryptowalut, który został usunięty z Docker Hub.

Kontener wykorzystuje XMRig do wydobywania Monero i jest wykorzystywany przez cyberprzestępców do przeprowadzania operacji krypto-jackingu, ponieważ można go łatwo skonfigurować, po prostu zmieniając adres krypto-portfela, w którym powinna zostać zdeponowana wykopana wirtualna moneta.

Aby sprawdzić, czy ich instancje zostały poprawnie wdrożone, użytkownicy mogą po prostu spróbować uzyskać dostęp do panelu Argo Workflows spoza sieci firmowej, korzystając z przeglądarki incognito i bez uwierzytelniania.

Użytkownikom zaleca się sprawdzenie swoich instancji Argo pod kątem podejrzanych działań i upewnienie się, że żadne workflowy nie działają zbyt długo, ponieważ może to wskazywać, że w klastrze wdrożono krypto-miner.