Сегодня в ТОП-5 — критическая уязвимость в MOVEit Transfer, атаки группировки ReaverBits на российские компании, распространение вредоносного ПО Unfurling Hemlock, эксплуатация уязвимостей Oracle WebLogic, возрастающая опасность вредоносного ПО на основе Rust P2Pinfect.
Обнаружена новая критическая уязвимость в MOVEit Transfer
Обнаружена новая критическая уязвимость в MOVEit Transfer, которая получила идентификатор CVE-2024-5806 (CVSS 9.1). Использование данной ошибки позволяет злоумышленникам обходить аутентификацию SFTP и получать доступ к системам MOVEit Transfer и Gateway. В настоящий момент уже были зафиксированы случаи эксплуатации данной ошибки в реальных условиях. Progress Software заявила, что проблема устранена, а также что уязвимость затрагивает версии программы с 2023.0.0 до 2023.0.11, с 2023.1.0 до 2023.1.6 и с 2024.0.0 до 2024.0.2. Рекомендуется немедленно выполнить обновление уязвимых версий, выполнить блокировку публичного доступа по RDP к серверам MOVEit Transfer, а также регулярно проводить аудит системы MOVEit Transfer на наличие несанкционированных действий и потенциальных признаков компрометации.
Атака российских компаний с помощью вредоносных писем
Cпециалисты F.A.C.C.T. Threat Intelligence провели анализ активности группы злоумышленников, названной ReaverBits. В настоящий момент исследователям известно уже о пяти рассылках группы, две из которых были зафиксированы в декабре 2023 года, две — в январе 2024 года, а последняя — в мае. Группировка использует вредоносные письма для атак на российские организации. Основным инструментом атаки является стилер MetaStealer, целью которого является кража конфиденциальной информации с компьютеров пользователей. Группа организует волны рассылок, замаскированных под сообщения от известных компаний и министерств, что делает их атаки трудно выявляемыми. На текущий момент известно о нескольких рассылках ReaverBits, направленных на российские компании из разных отраслей, таких как ретейл, телекоммуникации и агропромышленность. Рекомендуется усиление мер безопасности электронной почты, внедрение дополнительных механизмов проверки, блокировка сетевых индикаторов, указанных в статье, а также регулярное обучение сотрудников на предмет фишинговых атак.
Масштабная кампания по распространению вредоносного ПО Unfurling Hemlock
Специалисты Outpost24 сообщили, что в последние месяцы наблюдается рост активности с использованием новой техники распространения вредоносного ПО под названием Unfurling Hemlock. Основная особенность этой кампании заключается в использовании стеганографии для скрытия вредоносных кодов в изображениях и других мультимедийных файлах. Это делает их обнаружение более сложным для традиционных антивирусных систем. Кроме того, они активно используют социальную инженерию для обмана пользователей и обхода защитных мер. Для защиты от таких атак рекомендуется регулярное обновление антивирусных и антишпионских программ до последних версий, внедрение системы мониторинга сетевого трафика и обнаружения нештатных сетевых активностей, использование многоуровневой защиты сети, включая фильтрацию трафика и мониторинг доступа к важным ресурсам.
Эксплуатация уязвимостей Oracle WebLogic для развертывания XMRig
Злоумышленники Water Sigbin продолжают активно использовать старые уязвимости CVE-2017-3506 (CVSS 7.4) и CVE-2023-21839 (CVSS 7.5) для развертывания майнеров. Компания нацелена на сервера Oracle WebLogic и использует многослойную загрузку для доставки PureCrypter и криптомайнера XMRig, которые защищены с помощью .Net Reactor для предотвращения обратной разработки. PowerShell-скрипт декодирует файл, выдающий себя за VPN-приложение WireGuard. Происходит запуск PureCrypter и регистрация на удаленном сервере. В результате XMRig доставляется на узел и подключается к майнинговому пулу для криптомайнинга. Для минимизации данной угрозы рекомендуется регулярное обновление систем и программного обеспечения, сканирование сетей и систем на наличие уязвимостей, а также внедрение проактивных мер защиты, таких как мониторинг подозрительной активности.
Вредоносное ПО P2Pinfect стало еще опаснее
Специалисты Cado Security сообщили, что вредоносное ПО на основе Rust P2Pinfect теперь включает в себя криптомайнер и вымогатель. Это ПО использует P2P ботнет-сеть для управления и контроля. Обновление распространяется через уязвимости в Redis. Криптомайнер активируется через пять минут после запуска основного бинарного файла, а компонент rsagen скачивается и выполняется по команде, шифруя файлы и добавляя сообщение с требованием выкупа. ВПО собирает информацию о системе и передает ее на командно-контрольный сервер, при этом исключая файлы из проверки Windows Defender и создавая задачи в планировщике. Для минимизации риска заражения рекомендуется регулярно устанавливать обновления безопасности для всех используемых систем и программного обеспечения, ограничить доступ к критически важным системам, осуществлять регулярное резервное копирование всех важных данных и хранить их в месте, недоступном для основной системы.