ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — инструкция по удалению устаревшего плагина от VMware, дешифратор для шифровальщика LockBit, уязвимости на Joomla, анализ вредоносного ПО DOPLUGS и анализ Nood RAT, используемого в атаках на Linux. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Роман Драньков.

VMware предупреждает о необходимости удаления уязвимого плагина

VMware выпустила подробную инструкцию по удалению устаревшего плагина, подверженного двум критическим уязвимостям: CVE-2024-22245(CVSS: 9,6) и CVE-2024-22250(CVSSS: 7,8). Эксплуатируя эти баги, злоумышленник может ретранслировать билеты службы Kerberos и захватить привилегированные сеансы EAP (Enhanced Authentication Plug-in). VMware утверждает, что хотя в настоящее время нет доказательств использования данных уязвимостей, важно как можно быстрее удалить уязвимый плагин. Для исправления необходимо удалить плагин/клиент VMware Enhanced Authentication Plug-in 6.7.0 и Windows-сервис VMware Plug-in Service.

Выпущен дешифратор для шифровальщика LockBit

В глобальной операции Cronos NCA (Национальное агентство по борьбе с преступностью) захватило серверы и арестовало членов группировки, ответственных за распространение RaaS (Ransomware as a Service) LockBit. Эта группировка была замечена в атаках на многие известные организации по всему миру. В рамках операции было получено более тысячи ключей дешифрования, с помощью которых был создан инструмент расшифровки, доступный на портале No More Ransom.

Найденные уязвимости на Joomla грозят миллионам веб-сайтам

В бесплатной системе управления контентом с открытым исходным кодом Joomla версий 5.0.2/4.4.2 и ниже выявлены уязвимости, связанные с функциями управления многофакторной аутентификацией, неправильным анализом URL-адресов и ошибками в работе функции mbstring PHP. Одна из уязвимостей (CVE-2024-21726), связанная с неадекватной фильтрацией контента в коде фильтра, по мнению исследователей, может быть использована для удаленного выполнения кода, однако для эксплуатации этой проблемы злоумышленник должен заставить пользователя с правами администратора щелкнуть на вредоносную ссылку. Разработчики уже выпустили обновления, и версии 5.0.3/4.4.3 устраняют выявленные проблемы.

Специалисты Trend Micro выпустили анализ вредоносного ПО DOPLUGS

Группа исследователей Trend Micro представила технический анализ ВПО DOPLUGS. Вредоносное ПО доставляется посредством фишинговых писем, и после открытия замаскированных под документы ярлыков на устройство жертвы загружается MSI-файл с дальнейшей установкой зараженных исполняемых файлов и DLL-библиотек, с помощью которых злоумышленники получают доступ до целевого узла. При этом в одном из образцов ПО Trend Micro обнаружила интегрированный модуль KillSomeOne, который отвечает за распространение вредоносного ПО, сбор данных и кражу документов через USB-накопители. Различные версии ПО и другие доработки свидетельствуют, что Earth Preta активно дорабатывает свой инструментарий. Trend Micro предоставила список индикаторов компрометации и рекомендует ознакомиться с тем, как работает Earth Preta в связи с возросшей активностью группировки.

ASEC выпустила анализ Nood RAT, используемого в атаках на Linux

Nood RAT — это версия вредоносного ПО Gh0st RAT для Linux, которая является бэкдором и может получать команды от C2-сервера для загрузки файлов и кражи данных. Nood RAT изменяет свое имя для маскировки под легитимную программу и при первом запуске производит расшифровку строки с именем процесса, которую необходимо изменить. После изменения имени процесса ВПО копирует и вставляет себя в путь /tmp/CCCCCCCC, запускает и удаляет скопированный файл /tmp/CCCCCCCC, в результате чего программа отображается как легитимный процесс. Центр безопасности ASEC предоставил индикаторы компрометации за последние несколько лет и рекомендует регулярно проверять конфигурации и производить обновления систем.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии