КиберСек

Метка: OFAC

  • Китайские хакеры взломали Минфин США через 0Day

    Китайские хакеры взломали Минфин США через 0Day

    В 2023 году хакеры использовали уязвимости в базе данных PostgreSQL, чтобы атаковать компанию BeyondTrust, которая занимается защитой привилегированного доступа. Они использовали две новые уязвимости (CVE-2024-12356 и CVE-2024-12686), а также украденный API-ключ, чтобы проникнуть в систему BeyondTrust и 17 сервисов удаленной поддержки.
    В январе 2025 года Минфин США сообщил, что их сеть тоже была атакована. Хакеры использовали украденный API-ключ, чтобы получить доступ к системе BeyondTrust. Оказалось, что за атакой стоит китайская хакерская группа Silk Typhoon, которая ранее уже взламывала множество серверов по всему миру.
    Хакеры целились в Комитет по иностранным инвестициям в США (CFIUS) и Управление по контролю за иностранными активами (OFAC), занимающиеся санкциями и безопасностью инвестиций. Они также проникли в Управление финансовых исследований, но пока неизвестно, какие данные были украдены. Киберпреступники могли получить информацию о санкциях и других важных решениях.
    В декабре 2024 года CISA добавило уязвимость CVE-2024-12356 в свой каталог KEV и требовало госструктурам исправить ее в течение недели. То же самое было сделано и для уязвимости CVE-2024-12686 в январе.
    Специалисты Rapid7 обнаружили, что хакеры использовали уязвимость CVE-2025-1094 в PostgreSQL для взлома системы BeyondTrust RS. Даже после установки исправлений от BeyondTrust, угроза уязвимости CVE-2025-1094 остается, если база данных не обновлена. Но обновление блокирует атаки и предотвращает использование вредоносных символов в уязвимом коде.
    Специалисты также указали, что BeyondTrust неправильно классифицировала уязвимость CVE-2024-12356 как уязвимость внедрения команд (CWE-77), вместо инъекции аргументов (CWE-88). Они обнаружили новые методы очистки входных данных, но уязвимость CVE-2025-1094 остается не решенной, и PostgreSQL планирует выпустить обновление для ее устранения.
    Специалисты рекомендуют администраторам BeyondTrust PRA и RS установить исправление BT24-10-ONPREM1 или BT24-10-ONPREM2 как можно скорее.

  • Западные страны ввели санкции против Zservers

    Западные страны ввели санкции против Zservers

    Американское Управление по контролю за иностранными активами, а также министерства иностранных дел Великобритании и Австралии ввели санкции против российской компании Zservers и её руководителей — Александра Большакова и Александра Мишина. Они обвиняются в содействии кибергруппировке LockBit.

    Zservers предоставляет услуги пуленепробиваемого хостинга. По мнению властей, компания причастна к атакам с использованием программа-вымогателей, в том числе LockBit, которая провела тысячи атак с 2019 по 2024 год.

    Официальный представитель из США заявил, что киберпреступники используют компании, подобные Zservers, для атак на США и международную инфраструктуру. Совместные действия с Австралией и Великобританией направлены на борьбу с преступными схемами и защиту национальной безопасности.

    Данные о преступной деятельности Zservers получены в ходе расследования в Канаде. Один из подозреваемых использовал виртуальную машину на серверах Zservers для работы с программным интерфейсом LockBit.

    Большаков и Мишин получили санкции как ключевые администраторы Zservers. Компания также размещала рекламу на сайтах, используемых киберпреступниками.

    Санкции включают замораживание активов Zservers, Большакова и Мишина в трех странах, а также запрет на въезд. Любые финансовые операции с ними на территории этих стран исключены.