Сегодня в ТОП-3 — патчи от корпорации Microsoft, новая группировка YoroTrooper, ботнет GoBruteforcer. Новости собрала аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алла Крджоян.
Подробнее читайте под катом.
Компания Microsoft исправила критические уязвимости в своих продуктах
В рамках ежемесячного цикла Patch Tuesday корпорация Microsoft выпустила патчи
безопасности, закрывающие ряд уязвимостей, девять из которых являются
критическими. Обновления устраняют две активно эксплуатируемые уязвимости
нулевого дня, получившие идентификаторы CVE-2023-23397 и CVE-2023-24880. Первая уязвимость в Microsoft Outlook позволяет злоумышленнику с помощью специально подготовленных электронных писем получить хэш Net-NTLMv2 пользователя. Вторая уязвимость в Windows SmartScreen позволяет обойти механизм защиты Mark-of-the-Web (MOTW). Также исправлена критическая уязвимость CVE-2023-23415, которая затрагивает протокол ICMP и может привести к удаленному выполнению кода. Рекомендуется как можно быстрее установить выпущенные обновления.
Обнаружена новая кибергруппировка YoroTrooper
Специалисты Cisco Talos выявили новую группировку YoroTrooper, которая проводит шпионские кампании как минимум с июня 2022 года и нацелена в основном на правительственные и энергетические компании стран СНГ. Злоумышленникам удавалось получить учетные данные жертв, историю браузеров, cookie-файлы, системную информацию и снимки экрана. В своих атаках хакеры использовали такие инструменты, как стилер Stink, трояны удаленного доступа Warzone RAT, Loda RAT и другие. Первоначальным вектором заражения являлось фишинговое письмо, содержащее вредоносный архив c LNK-файлами. В опубликованном отчете описаны применяемые YoroTrooper тактики, техники и процедуры (TTP), а также предоставлены индикаторы компрометации.
Обнаружен новый ботнет GoBruteforcer
Эксперты ИБ-подразделения Unit 42 компании Palo Alto Networks рассказали о ботнете GoBruteforcer, написанном на языке программирования Golang.
Вредонос заражает веб-серверы, на которых запущены службы phpMyAdmin, MySQL,
FTP и Postgres. Для получения первоначального доступа ВПО использует метод подбора слабых учетных данных. После входа GoBruteforcer разворачивает IRC-бот и связывается с C&C-сервером для получения дальнейших инструкций. Специалисты отмечают, что ботнет находится на стадии активной разработки, поэтому исходный вектор заражения может меняться.
