Сегодня в подборке новостей Jet CSIRT — эксплойт для уязвимости в MSHTML, обнаружение Linux-версии Cobalt Strike Beacon и новый вектор доставки банковского трояна ZLoader. Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
Появился эксплойт для уязвимости в MSHTML
На форумах даркнета появилась инструкция по эксплуатации zero-day уязвимости в браузерном движке MSHTML, о которой на прошлой неделе сообщила компания Microsoft. Эксплойт был модифицирован таким образом, чтобы создание вредоносных документов происходило без использования ActiveX, который специалисты Microsoft рекомендовали отключить в качестве меры защиты. На этой неделе в рамках ежемесячного Patch Tuesday Microsoft выпустила обновление, устраняющее данную уязвимость.
Реализация Cobalt Strike Beacon для Linux угрожает организациям по всему миру
При анализе недавних атак, направленных на финансовые организации, ИТ-компании и госучреждения различных стран, специалистами израильской компании Intezer была обнаружена Linux-версия Cobalt Strike Beacon. Вредоносный семпл был впервые загружен на Virus Total 10 августа. Инструмент, получивший название Vermilion Strike, входит в состав легитимного ПО, которое обычно используется ИБ-специалистами для оценки защищенности ИТ-инфраструктуры и пока плохо детектируется антивирусами.
Zloader использует новую цепочку заражения для отключения антивируса Microsoft Defender на компьютерах жертв
Кампания по распространению банковского трояна ZLoader изменила вектор доставки вредоносных программ со спама и фишинговых писем на рекламу TeamViewer, публикуемую через Google Adwords. Фальшивые ссылки позволяют перенаправлять жертв на поддельные сайты для скачивания подписанного вредоносного MSI-установщика. После завершения ряда сценариев отключаются все модули Защитника Windows и нарушается корреляция «родитель/потомок», часто используемая системами обнаружения целевых атак. В конце выполняется короткий сценарий, который загружает DLL ZLoader с использованием законной функции Windows, известной как regsvr32, которая позволяет злоумышленникам проксировать выполнение DLL через подписанный двоичный файл Microsoft.