Сегодня в ТОП-3 новостей от Jet CSIRT — взлом подрядчика Apple, троян ToxicEye и новые 1-Click уязвимости в Telegram, OpenOffice и другом ПО. Тройку главных новостей собрал Андрей Маслов, аналитик Jet CSIRT компании «Инфосистемы Джет». Подробнее читайте под катом.
Операторы программы-вымогателя REvil получили доступ к технической документации Apple
Операторы REvil заявили, что им удалось взломать подрядчика Apple — тайваньскую компанию Quanta Computer. Quanta Computer — одна из немногих компаний, которые собирают продукты Apple на основе предоставленных им схем и дизайнов. Эти схемы и дизайны и попали в распоряжение злоумышленников в результате взлома.
Операторы REvil опубликовали на своём сайте послание, в котором требуют заплатить за украденные данные 50 млн долларов до 27 апреля. В противном случае преступники угрожают выложить в открытый доступ десятки похищенных схем и чертежей. На текущий момент на сайте злоумышленников опубликован 21 скриншот с чертежами MacBook. Новые данные преступники обещают публиковать каждый день до тех пор, пока не будет заплачен выкуп.
Telegram используется злоумышленниками для управления трояном ToxicEye
Исследователи Check Point рассказали, что в своих атаках злоумышленники всё чаще используют Telegram в качестве готовой C&C-системы. В частности, мессенджер применяется в связке с новым видом трояна RAT ToxicEye.
Сначала злоумышленники создают учётную запись и специального бота в мессенджере, связывают его с трояном, который, в свою очередь, распространяют по спам-рассылке. Когда жертва открывает вредоносное вложение в рассылке, троян разворачивается на узле, запуская ряд эксплойтов.
После установки на компьютер жертвы ToxicEye подключает его к C&C злоумышленника. В итоге у преступников появляется возможность управления заражённым компьютером с помощью команд, передаваемых через Telegram.
Выявлены 1-Click уязвимости в популярном программном обеспечении
Исследователи кибербезопасности Positive Security нашли уязвимости в Telegram, Nextcloud, VLC, Libre-/OpenOffice, Bitcoin/Dogecoin Wallets и Wireshark. Уязвимости эти связаны с особенностями поведения операционных систем при обработке URL-адресов.
Специалисты выделили два основных вектора эксплуатации уязвимостей. Первый — при открытии приложениями URL-адреса, который указывает на вредоносный исполняемый файл (.desktop, .jar, .exe и др.), размещенный на доступном через интернет файловом ресурсе (nfs, webdav, smb и пр.). Второй — при уязвимости в URL-обработчике открытого приложения.