Сегодня в ТОП-5 — спам-кампания c использованием PikaBot, риск компрометации более 150 тысяч WordPress-cайтов, обновления безопасности Windows, исправление двух критических уязвимостей от GitLab и новая кампания по распространению ВПО Mimic. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Евгений Тюрин.
Разбор спам-кампании c использованием PikaBot
Специалисты TrendMicro представили отчет об активно распространявшемся в 2023 году в рамках спам-кампаний ВПО PikaBot. Злоумышленники проводили фишинговые кампании с помощью двух его компонентов — загрузчика и основного модуля. ВПО обеспечивало несанкционированный удаленный доступ и позволяло выполнять произвольные команды через установленное соединение со своим сервером управления и контроля (C&C). Зачастую распространение вредоноса происходило через спам-сообщения, содержащие архив или вложение в формате PDF. Исследователи отметили, что PikaBot после первоначального закрепления на устройстве жертвы демонстрирует то же поведение, что и QakBot. Специалисты представили индикаторы компрометации, выявленные в рамках исследования.
Более 150 тысяч WordPress-cайтов подвержены риску компрометации
Исследователи Wordfence предупреждают, что более 150 тысяч сайтов WordPress подвергаются риску компрометации из-за уязвимого плагина. Две уязвимости затрагивают плагин POST SMTP Mailer WordPress, который представляет собой инструмент для работы с электронной почтой и используется на огромном количестве сайтов. Первая получила идентификатор CVE-2023-6875 (CVSS: 9.8). Уязвимость представляет собой критическую ошибку обхода авторизации, при которой злоумышленник имеет возможность сброса ключа API и просмотра конфиденциальной информации. Вторая получила идентификатор CVE-2023-7027 (CVSS: 7.2). Уязвимость связана с проблемами входных и выходных данных и затрагивает POST SMPT до версии 2.8.7. Успешная эксплуатация может позволить злоумышленнику внедрять произвольные сценарии на веб-страницы уязвимых сайтов. 1 января 2024 года разработчики представили обновленную версию 2.8.8, исправляющую оба недостатка.
Обновления безопасности Windows
Во вторник Microsoft выпустила обновления для устранения в общей сложности 49 новых уязвимостей в системе безопасности своего программного обеспечения, 12 из которых были связаны с RCE. Самыми серьезными стали уязвимости, связанные с обходом защитной функции Windows Kerberos и удаленным выполнением кода в Hyper-V. По заявлению специалистов, ни одна из представленных уязвимостей не использовалась в реальных кибератаках. Несмотря на данный факт, рекомендуем установить свежее обновление для устранения серьезных недостатков в безопасности, которые могут быть использованы злоумышленниками.
GitLab исправила две критические уязвимости
GitLab выпустила обновления безопасности для устранения двух критических уязвимостей. Наиболее серьезной из них был присвоен идентификатор CVE-2023-7028 (CVSS: 10). Уязвимость заключается в проблеме аутентификации, которая позволяет отправлять запросы на сброс пароля на произвольные непроверенные адреса электронной почты. Вторая получила идентификатор CVE-2023-5356 (CVSS: 9.6). Уязвимость заключается в атаках на цепочку поставок и связана с интеграцией вредоносного кода в действующие среды. Проблемы затронули несколько версий, поэтому рекомендуем установить новейшие обновления.
Новая кампания по распространению ВПО Mimic
Исследователи Securonix Threat Research выявили кампанию, которая включает в себя атаки и эксплуатацию серверов баз данных MSSQL. Основными целями кампании являются продажа доступа к скомпрометированным хостам или распространение программ-вымогателей Mimic. Первом этапом атаки являлась компрометация серверов баз данных MSSQL, доступных из внешней сети, с помощью перебора паролей. Затем злоумышленники использовали хранимую в системе процедуру xp_cmdshell, которая позволяла им создавать командную оболочку Windows с теми же правами безопасности, что и учетная запись службы SQL Server. На следующем этапе злоумышленники разворачивали полезную нагрузку Cobalt Strike. Они также запускали AnyDesk как сервис удаленного доступа для сбора и извлечения учетных данных с помощью Mimikatz. В завершение атаки злоумышленники разворачивали Mimic в виде самораспаковывающихся архивов с целью поиска файлов и их дальнейшего шифрования приложением Everything. В отчете подробно описаны разные этапы кампании и представлены индикаторы компрометаций.