Сегодня в ТОП-5 — критическая уязвимость FortiOS, инфостилер в Excel-документах, анализ шифровальщика Black Hunt, нестандартный троян Coyote и новый бэкдор Zardoor. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Тимофей Викулин.
Критическая уязвимость FortiOS привела к атакам на VPN Fortinet предупреждает о высокой вероятности использования в атаках критической RCE-уязвимости FortiOS SSL VPN. Уязвимость CVE-2024-21762 получила 9,6 балла по шкале CVSS. Ошибка связана с out-of-bounds записью и позволяет неавторизованным злоумышленникам удаленно выполнить произвольный код. Мы рекомендуем обновиться до последней версии или временно отключить SSL VPN на устройствах FortiOS.
Инфостилер, распространяемый через зараженные Excel-документы
Исследователи FortiGuard Labs проанализировали инфостилер, крадущий файлы cookie и регистрационные данные из браузеров. Компрометация происходит в несколько этапов — от заражения и закрепления до кражи данных. В атаке используется разнообразное ВПО: VBA-макрос в файле Excel, bat-скрипт с командами powershell и bypass.vbs, помещенный в автозагрузку через ветвь реестра, и, наконец, script.py, отправляющий telegram-боту zip-файл с крадеными данными. Рекомендуем не открывать документы с макросами от неизвестных источников и отслеживать возникновение индикаторов компрометации, указанных в исследовании. Rapid7 Labs провела анализ шифровальщика Black Hunt
Rapid7 Labs исследовала образец Black Hunt, который использует утекшие в сеть наработки LockBit и имеет сходство с другими семействами программ-вымогателей. ВПО может обрабатывать аргументы, меняющие его поведение, такие как отключение возможностей распространения, настройка скорости шифрования, количество потоков для шифрования и прочие. Black Hunt исключает срабатывание в определенных странах, а также удаляет резервные данные и выполняет другие действия, затрудняющие его обнаружение и восстановление данных. К зашифрованным файлам добавляется расширение .Hunt2. Следует ознакомиться с поведением зловреда и напомнить пользователям о необходимости быть осторожными при открытии файлов из ненадежных источников, обращать внимание на соответствующее поведение при заражении.
Coyote: нестандартный троян, использующий Squirrel
Специалисты компании Kaspersky разобрали поведение нового трояна Coyote. Для своей работы и распространения ВПО он использует программу установки Squirrel, платформу NodeJS и относительно новый язык программирования Nim. Используя Squirrel, Coyote скрывает свой загрузчик, представляя его как файл Update. В отличие от разработчиков аналогов данного ВПО, которые часто используют старые языки программирования, например, Delphi, разработчики Coyote владеют современными технологиями, такими как Node.js, .NET, и передовыми методами упаковки. Все продукты Касперского обнаруживают угрозу как HEUR — Trojan-Banker.MSIL.Coyote.gen. Для защиты от подобного класса ВПО рекомендуется поддерживать базы АВЗ в актуальном состоянии.
Разбор Zardoor: новый бэкдор Zardoor, используемый в кибершпионаже
Эксперты Cisco Talos обнаружили новую шпионскую кампанию, которая, вероятно, продолжается как минимум с марта 2021 года. Для скрытого управления злоумышленники внедрили неизвестное семейство бэкдоров Zardoor, названное по именам файлов zar32.dll и zor32.dll. Файл zar32.dll организует взаимодействие с C2 злоумышленников. Файл zor32.dll гарантирует, что zar32.dll был развернут с правами администратора. Zar32.dll представляет собой утилиту удаленного доступа HTTP / SSL (RAT), которая способна отправлять зашифрованные данные на C2-сервер злоумышленников, выполнять полезную нагрузку в бесфайловом режиме и поиск идентификаторов сеанса авторизованных пользователей, удаленно выполнять шеллкод, а также обновлять адреса сервера C2. Для закрепления в инфраструктуре злоумышленники регистрируют свои обратные прокси-серверы в качестве запланированных задач. Рекомендуем отслеживать возникновение индикаторов компрометации, указанных в исследовании, и контролировать удаленные соединения для выявления вредоносной активности.
Источник: habr.com