Сегодня в ТОП-5 — 0-day уязвимость в Microsoft Windows, троян удаленного доступа StilachiRAT, критические уязвимости в системе mySCADA, стилер Arcane и анализ Backdoor Betruger.
Активно эксплуатируемая 0-day уязвимость в Microsoft Windows
Специалисты Trend Micro сообщили об активной эксплуатации 0-day уязвимости Microsoft Windows. Уязвимость позволяет злоумышленникам добавлять аргументы командной строки в файлы ярлыков LNK, делая их невидимыми для пользователя. Уязвимость воспроизводится при манипуляции с отображением поля Target в свойствах файла с помощью заполнения их неотображаемыми спецсимволами (пробел, табуляция, перевод строки и т.д.). При проверке такого LNK файла, Windows не сможет отобразить вредоносные аргументы в выделенном пространстве пользовательского интерфейса. Всего удалось обнаружить более 1000 различных экземпляров вредоносных фалов, злоупотребляющих данной техникой. Уязвимость была выявлена в сентябре 2024 года, однако на момент публикации статьи решение проблемы всё ещё не было предложено. Исследователи установили факт использования данной уязвимости различными APT-группами начиная с 2017 года в кампаниях, направленных в первую очередь на кибершпионаж и кражу данных.
Анализ нового трояна удаленного доступа StilachiRAT
Компания Microsoft провела анализ StilachiRAT, нового трояна удалённого доступа (RAT), который впервые был обнаружен в ноябре 2024 года. Исследователи обнаружили, что ВПО использует продвинутые методы, чтобы избегать обнаружения, сохранять присутствие в заражённых системах и красть конфиденциальные данные. Анализ модуля WWStartupCtrl64.dll выявил широкие возможности по краже различных данных с зараженной системы, включая учетные данные в браузере, буфер обмена, популярные криптокошельки и прочие данные на целевом устройстве. В статье также подробно рассматриваются все ключевые возможности ВПО, представлены примеры поисков для проверки на компрометацию, основные IOCs, а также меры по предотвращению заражения и реагированию при его выявлении.
Критические уязвимости в системе mySCADA
Исследователи PRODAFT сообщают о двух критических уязвимостях в mySCADA, которые могут позволить злоумышленникам получить полный контроль над промышленными системами управления. Они связаны с недостаточной обработкой пользовательского ввода и позволяют выполнить произвольные команды на уязвимых системах через специально подготовленные POST запросы. Уязвимости отслеживаются как CVE-2025-20014 и CVE-2025-20061 и оцениваются как критичные (CVSS: 9.3). Успешная эксплуатация может привести к серьёзным операционным сбоям и финансовым потерям. Пользователям рекомендуется обновить системы до последних версий, устранены в mySCADA PRO Manager 1.3 и mySCADA PRO Runtime 9.2.1.
Стилер Arcane нацелен на русскоязычную аудиторию
С конца 2024 года зафиксирована активная кампания по распространению стилера Arcane. Специалисты «Лаборатории Касперского» сообщают, что большинство заражений зафиксировано в России, Беларуси и Казахстане. Изначально ссылки на архив с вредоносным содержимым размещались под ролики на YouTube. После чего для распространения стилера стали размещать ссылку для скачивания ArcanaLoader, в Discord его рекламировали как удобный загрузчик различных читов и кряков. Функционал ВПО включает кражу учетных данных, паролей, данных кредитных карт и файлов cookie из различных браузеров на базе Chromium. Также возможен комплексный сбор системных данных, файлов конфигурации, настроек и информации об учетных записях из различных VPN-сервисов, сетевых утилит, мессенджеров, почтовых клиентов, криптокошельков. Для защиты необходимо с подозрением относится к любым утилитам, распространяемым через YouTube или Discord и скачиваемым не из доверенных источников, а также не пренебрегать средствами АВЗ.
Группировка RansomHub, предоставляющая услуги RaaS, начала использовать новый бэкдор под названием Betruger. Он имеет в своем арсенале модули для сбора информации с зараженной системы, передачи данных на C&C, сканирования сети и повышения привилегий. Betruger помогает минимизировать количество вредоносных инструментов, необходимых для подготовки атаки с использованием программ-вымогателей. В статье также рассматриваются другие инструменты, используемые в атаках, и эксплуатации уязвимостей в Windows и Veeam. RansomHub активно развивает сеть партнёров, предлагая более выгодные условия, и является одной из самых продуктивных групп по числу атак. Для выявления данного ВПО можно использовать индикаторы компрометации, представленные командой Symantec.
