Новый бэкдор MQsTTang от Mustang Panda
Исследователи ESET проанализировали MQsTTang — новый специальный бэкдор, который приписывается APT-группе Mustang Panda. Утилита позволяет злоумышленнику выполнять произвольные команды на машине жертвы. Одной из его характеристик является использование протокола MQTT для связи с C&C. MQTT обычно применяется для связи между IoT-устройствами и контроллерами, и этот протокол не использовался во многих общедоступных семействах вредоносных программ.
MQsTTang распространяется в архивах RAR, которые содержат только один исполняемый файл. Название этих файлов — исполняемые файлы — позволяет предположить, что вредоносное ПО распространяется с помощью целевого фишинга.
В отчете ESET представлен технический разбор встроенного программного обеспечения на стадиях взаимодействия с C&C (Command and Control Server), копирования и записи своих фрагментов на жестком диске и закрепления в системе.
Буткит BlackLotus способен обходить безопасную загрузку UEFI
Специалисты ESET поделились анализом буткита, который может работать даже на полностью обновленных системах Windows 11 с включенной функцией безопасной загрузки UEFI. Буткит распространяется в виде установщиков, которые эксплуатируют легитимные, но уязвимые двоичные файлы Windows для обхода безопасной загрузки.
Цель установщика — отключение функций безопасности Windows, таких как шифрование диска BitLocker и HVCI (Hypervisor-protected Code Integrity). После этого встроенное программное обеспечение записывает несколько файлов, включая вредоносный буткит, в ESP (системный раздел, с которого происходит загрузка системы). После завершения загрузки он перезагружает скомпрометированное устройство, чтобы убедиться, что самоподписанный буткит UEFI будет автоматически выполняться при каждом запуске системы независимо от состояния защиты UEFI Secure Boot.
В отчете также приведены файловые индикаторы компрометации исследуемого ВПО.
Критические уязвимости в плагине WordPress Houzez позволяют захватить веб-сайт
Согласно новому отчету Patchstack, хакеры активно эксплуатируют две критические уязвимости в плагине Houzez для WordPress, используемом в основном на сайтах недвижимости.
Первая уязвимость — CVE-2023-26540 (CVSS: 9.8) — связана с неправильной конфигурацией безопасности и может быть использована удаленно неавторизованным хакером для повышения привилегий. Проблема затрагивает плагин Houzez версии 2.7.1 и выше, а исправление доступно в версии Houzez 2.7.2 или выше.
Вторая уязвимость — CVE-2023-26009 (CVSS: 9.8) — позволяет злоумышленнику, не прошедшему проверку подлинности, повысить привилегии. Она затрагивает плагин Houzes Login Register версии 2.6.3 и выше. Исправление доступно в версии Houzez Login Register 2.6.4 или выше.
Ошибки были обнаружены исследователем угроз Patchstack Дейвом Джонгом. По данным отчета Patchstack, некоторые веб-сайты не применили обновление безопасности, и злоумышленники активно используют эти недостатки в атаках.
