Сегодня в ТОП-5 — продвинутый Linux-шифровальщик APT Qilin, уязвимости в экосистеме модулей Go, патчи безопасности для устранения четырех критических уязвимостей Remote Code Execution (RCE), новая версия вымогателя DjVu и новая версия вредоносной программы HeadCrab. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Даниил Кирьяков.
Продвинутый Linux-шифровальщик APT Qilin нацелен на VMware ESXi
Qilin Ransomware, один из самых продвинутых и настраиваемых шифровальщиков Linux на сегодняшний день, нацелен именно на Linux-серверы, включая VMware ESXi. Qilin имеет встроенную конфигурацию, позволяющую гибко настраивать различные параметры шифрования.
В результате работы вредоноса все целевые файлы будут зашифрованы, а к имени файла будет добавлено настроенное расширение. В каждой папке будет создана записка с требованием выкупа с именем [extension]_RECOVER.txt, которая содержит ссылки на сайт Tor группы вымогателей и учетные данные, необходимые для доступа к странице чата жертвы. При обнаружении VMware ESXi программа-вымогатель запускает уникальные команды esxcli и esxcfg-advcfg, предположительно скопированные из бюллетеней технической поддержки VMware, для повышения производительности сервера. Qilin использует тактику двойного вымогательства, похищая данные перед шифрованием систем. Сообщалось, что суммы выкупа варьируются от 25 000 до нескольких миллионов долларов. В конце 2023 года наблюдается повышенная активность вымогательского ПО Qilin, поражающего различные организации.
Более 9000 репозиториев модулей Go уязвимы для атаки repojacking
Анализ, проведенный компанией VulnCheck, выявил значительные уязвимости в экосистеме модулей Go, подвергающие тысячи репозиториев опасности перехвата. Более 9000 репозиториев уязвимы для реподжекинга из-за изменения имени пользователя GitHub, что затрагивает более 500 000 версий модулей Go. Кроме того, более 6000 репозиториев подвержены реподжекингу из-за удаления учетных записей, что в общей сложности составляет 15 000 уязвимых репозиториев, поддерживающих 800 000 версий модулей Go. Функция удаления пространства имен репозитория GitHub, предназначенная для предотвращения реподжекинга, может быть менее эффективной для модулей Go, поскольку они часто кэшируются зеркалом модуля, что сводит к минимуму необходимость прямого взаимодействия с исходным репозиторием.
Atlassian устранила четыре критических RCE-уязвимости
Компания Atlassian выпустила патчи безопасности для устранения четырех критических уязвимостей Remote Code Execution (RCE) во всех своих продуктах. Закрыты уязвимости:
1) CVE-2022-1471 (CVSS 9,1). Уязвимость RCE в библиотеке SnakeYAML, затрагивающая различные продукты Atlassian Data Center и Server Products из-за проблемы десериализации в Java.
2) CVE-2023-22522 (CVSS 9). RCE-уязвимость в Confluence Data Center и Confluence Server.
3) CVE-2023-22523 (CVSS 9,8). Позволяет осуществить привилегированный RCE на машинах с агентом Assets Discovery, что влияет на работу приложения Assets Discovery.
4) CVE-2023-22524 (CVSS 9,6). Затрагивает приложение Atlassian Companion App для MacOS, позволяя осуществлять RCE через манипуляции с WebSocket.
Организациям, использующим продукты Atlassian, рекомендуется незамедлительно установить последние обновления безопасности, чтобы снизить потенциальные риски.
Новая версия вымогателя DjVu под названием Xaro использует для своего распространения загрузчик вредоносных программ, поставляемый с помощью взломанного программного обеспечения. Заражение начинается с того, что пользователь скачивает архив install.7z из ненадежного источника, маскирующегося под сайт, распространяющий легальное бесплатное программное обеспечение. Как только архив открывается с помощью WinRaR, запускается файл install.exe, который и доставляет вредоносное ПО. При запуске программа-вымогатель Xaro добавляет расширение .xaro к зашифрованным файлам, а затем отправляет уведомление о выкупе как file_readme.txt. Целью атаки является сбор и эксфильтрация конфиденциальной информации для двойного вымогательства. В дополнение к вымогателю Xaro загружается и запускается множество вредоносных программ, таких как RedLine Stealer, Vidar, Amadey, Nymaim, XMRig и LummaStealer.
ВПО HeadCrab захватывает тысячи серверов
Исследователи Aqua Security обнаружили новую версию вредоносной программы HeadCrab, нацеленную на серверы Redis. Новая версия повышает скрытность, демонстрируя руткитоподобное поведение без традиционного root-доступа. Вредоносная программа имеет уникальный «мини-блог», в котором Ice9 раскрывает технические подробности. Ice9 утверждает, что вредоносная программа не снижает производительность сервера и может устранить заражения другими ВПО. HeadCrab проникает на серверы Redis через команду SLAVEOF, загружая вредоносные модули и запуская криптомайнер вместе со специальным конфигурационным файлом. Redis советует организациям следовать их рекомендациям по безопасности, опубликованным в их документации, для снижения риска заражения данным ВПО.
