ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — вредоносные пакеты в Python Package Index, фишинговые письма от Минцифры России, новый вариант программ-вымогателей Phobos семейства FAUST, важные уязвимости в syslog() библиотеки GNU C и детали атаки на системы Cloudflare. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Данил Глазырин.

PyPI: Вредоносные пакеты «WS» атакуют пользователей. Анализ методов атаки

Исследователи FortiGuard Labs выявили автора вредоносных пакетов в Python Package Index (PyPI), известного под псевдонимом «WS».  Авторы в статье анализируют новые варианты вредоносных пакетов, модифицированных так, чтобы работать с несколькими адресами C&C. Новые вредоносные пакеты, такие как nigpal и figflix, крадут данные при установке на устройства Windows, используя Python-скрипты в кодировке base64. Атаки включают самокопирование в автозапуск, скрытое копирование в диски и перехват данных из буфера обмена. Рекомендуется внимательно проверять пакеты с открытым исходным кодом, чтобы избежать возможных угроз, и ужесточить меры безопасности для защиты от подобных атак на устройства.

F.A.C.C.T предупреждает о фишинговых письмах от Минцифры России с требованием установки поддельных сертификатов безопасности

Фишинговые письма маскируются под оповещение от Минцифры России, в которых сообщается о проблемах с доступом к Госуслугам. Атака использовала кнопку «Скачать», приводившую к загрузке MetaStealer, скрывшегося под поддельным сертификатом безопасности. Шпионский софт, известный кражами данных, был успешно перехвачен и заблокирован. Чтобы снизить риски, связанные с этой попыткой фишинга, рекомендуется проводить регулярные ознакомительные занятия и комплексные обучающие программы для обучения пользователей, а также внедрить многофакторную аутентификацию.

Обнаружен новый вымогатель FAUST семейства Phobos

Специалисты FortiGuard Labs выявили новый вариант программ-вымогателей Phobos семейства FAUST. Для заражения и компрометации злоумышленники используют модифицированные документы MS Office, использующие VBA и сервис Gitea. Зашифрованные файлы получают расширение .faust. Программа-вымогатель Phobos FAUST отличается тем, что способна сохранять свою активность и присутствие в зараженной системе длительное время после первого вторжения, создавать множество потоков для эффективной работы и даже предоставлять возможность связи через TOX. Пользователям рекомендуется быть осторожными при открытии файлов из ненадежных источников для предотвращения угроз вредоносного ПО.

Qualys TRU предупреждает о важных уязвимостях в syslog() библиотеки GNU C

Эксперты Qualys TRU раскрыли критические уязвимости, требующие обновления GNU C(glibc). Среди них CVE-2023-6246 (CVSS: 8.4) — уязвимость, связанная с переполнением буфера кучи в __vsyslog_internal(). Данная критическая уязвимость обнаружена в glibc, затрагивает syslog() и vsyslog(), введена в версии 2.37 и позволяет локальным пользователям получить полный root-доступ. Уязвимости CVE-2023-6779 и CVE-2023-6780 (CVSS: 7.3) создают новые риски безопасности в функции __vsyslog_internal(). CVE-2023-6779 связана с переполнением буфера кучи, что может использоваться злоумышленниками для выполнения вредоносного кода, в то время как CVE-2023-6780 представляет проблему целочисленного переполнения, открывая путь для атак на систему.

Рекомендуется обновить библиотеки GNU C(glibc) до последней версии, а также следить за выходом обновлений QID, связанных с уязвимостями.

Эксперты Cloudflare раскрыли детали атаки на свои системы и утечки исходного кода

В инциденте безопасности Cloudflare 23 ноября 2023 года злоумышленники, используя украденные учетные данные, успешно проникли в серверы Atlassian. В статье поднимается вопрос о возможных утечках данных и потенциальной угрозе безопасности и подробно рассматриваются методы атаки, включая даты и этапы вторжения, а также обсуждаются меры, предпринятые Cloudflare в ответ на инцидент, в том числе развертывание проекта «Code Red» — комплексной инициативы, запущенной Cloudflare в ответ на кибератаку. Рекомендации включают обновление протоколов безопасности, ротацию учетных данных и улучшение систем мониторинга для предотвращения будущих атак.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии