Shikitega использует многоступенчатую цепочку заражения для максимальной скрытности
Специалисты AT&T обнаружили новое скрытное вредоносное ПО, заражающее устройства на Linux, под названием Shikitega. Вредоносное ПО использует многоступенчатую схему заражения, доставляя нагрузку по несколько сотен байтов за шаг. Для еще большего снижения шанса обнаружения зловред использует криптор Shikata Ga Nai. Он обеспечивает полиморфизм, позволяя защитить код от статического анализа на основе сигнатур. В качестве бэкдора используется Mettle — облегченный вариант Meterpreter, с дальнейшей эксплуатацией CVE-2021-4034 и CVE-2021-3493. Shikitega нацелен на установку криптомайнера, но может использоваться и для доставки более опасной нагрузки.
В плагине для WordPress исправили активно эксплуатирующуюся 0-day уязвимость
Уязвимость CVE-2022-31474 в плагине BackupBuddy активно эксплуатировалась с 27 августа 2022 г. За это время команда Wordfence зафиксировала почти 5 млн попыток эксплуатации. Основная масса атак велась с IP-адреса 195.178.120[.]89. Уязвимость позволяла загружать с сайта произвольные файлы без аутентификации, поскольку для локальной резервной копии не проверялись права доступа.
Хакерская группа Worok нацелилась на азиатские правительства и компании
Недавно обнаруженная хакерская группа Worok атакует правительства и крупные компании стран Азии, используя комбинацию кастомных и существующих вредоносных инструментов. Злоумышленники активно пользуются загрузчиками CLRLoad и PNGLoad, последний помогает скрывать полезную нагрузку в файлах изображений PNG с помощью стеганографии. С февраля 2022 г. группа использует новый PS-бэкдор под названием PowHeartBeat. На сегодняшний день Worok была связана с атаками на телекоммуникационные, банковские, морские и энергетические компании, а также на военные, правительственные и государственные организации.