Сегодня в подборке ключевых новостей Jet CSIRT – атака северокорейской группировки Kimsuki, новый троян для удалённого доступа, утечка хэшей паролей сервиса Whois. ТОП-3 на этой неделе подготовил Никита Комаров, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.

Институт ядерных исследований Южной Кореи взломан северокорейской группировкой Kimsuky

Южнокорейская исследовательская организация в области ядерной энергетики признала, что пострадала от атаки, которая предположительно была осуществлена северокорейской группировкой Kimsuky. Сообщается, что доступ к внутренней сети института получили злоумышленники, действующие с тринадцати неавторизованных IP-адресов. При этом один из этих IP-адресов ранее был замечен в атаках, которые также приписываются APT Kimsuky. В заявлении представителей исследовательской организации говорится, что злоумышленникам удалось проникнуть в сеть организации через уязвимость VPN.

Обнаружен новый троян для удалённого доступа ReverseRat

Специалисты компании Lumen's Black Lotus Labs опубликовали исследование нового ВПО для удаленного доступа – ReverseRat. По словам специалистов, основной целью ВПО являются правительственные и энергетические организации в регионах Южной и Центральной Азии.

Интернет-регистратор APNIC сообщил об утечке хэшей паролей сервиса Whois

Интернет-регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, сообщил об ошибке, в результате которой в открытый доступ попал SQL-дамп сервиса Whois. Дамп этот содержит конфиденциальные данные и хэши паролей. SQL-дамп базы разместили сотрудники компании APNIC в облачном хранилище Google Cloud в рамках внедрения поддержки протокола RDAP. Доступ к данным сервиса Whois при этом не был ограничен, из-за чего они были публично доступны около 3-х месяцев.