Сегодня в ТОП-5 — критическая уязвимость в межсетевых экранах Check Point, новый северокорейский злоумышленник Moonstone Sleet, атаки с подстановкой учетных данных, уязвимость в Foxit PDF Reader, вредоносные шифровальщики на базе NSIS. Новости подготовила старший специалист по информационной безопасности «Инфосистемы Джет» Ольга Полянская.
Обнаружена критичная уязвимость в межсетевых экранах Check Point
Исследователи ИБ-компании Mnemonic заявили, что успешная эксплуатация уязвимости позволяет злоумышленнику перебирать и извлекать хэши паролей для всех локальных учетных записей, включая учетную запись, используемую для подключения к Active Directory. Злоумышленники извлекали ntds.dit в течение 2-3 часов после входа в систему с помощью локального пользователя, а с помощью Visual Studio реализовывали туннелирование вредоносного трафика. Компания Mnemonic опубликовала IOC по данной уязвимости. Для устранения данной уязвимости мы рекомендуем вам выполнить установку патча безопасности.
Идентифицирован новый злоумышленник Moonstone Sleet
Сотрудники Microsoft выявили нового северокорейского злоумышленника Moonstone Sleet (ранее был известен как Storm-1789), который использует как комбинацию многих проверенных методов атак, так и уникальные методологии для нападения на компании. Было замечено, что Moonstone Sleet создает поддельные вакансии для взаимодействия с потенциальными жертвами, использует зараженные троянами версии легитимных инструментов и распространяет среди жертв новые программы-вымогатели.
В качестве защитных мер от атак Moonstone Sleet рекомендуется:
включить контролируемый доступа к папкам,
запустить поиск по обнаружению блокировок,
включить облачную защиту в антивирусной программе.
Представители Okta предупреждают об атаках с подбором учетных данных
Специалисты компании Okta выявили, что аутентификация в Customer Identity Cloud (CIC) может стать целью злоумышленников, организующих атаки с подстановкой учетных данных. При атаках этого типа злоумышленники пытаются войти в онлайн-сервисы, используя списки имен пользователей и паролей, которые могли быть получены в результате предыдущих утечек данных, а также в результате фишинговых кампаний или кампаний по распространению вредоносного ПО.
Рекомендуется просмотреть журналы на наличие непредвиденных событий fcoa, scoa и pwd_leak. Если проверка подлинности не используется, но в журналах событий присутствуют события scoa или fcoa, то, скорее всего, пользователь подвергся атаке с подстановкой учетных данных.
Уязвимость в Foxit PDF Reader повышает привилегии на уровне системы
Исследователи из Cisco Talos обнаружили уязвимость в Foxit PDF Reader, которая приводит к повышению привилегий, и может позволить злоумышленнику выполнять команды с доступом системного уровня. Уязвимость получила идентификатор CVE-2024-29072 (CVSS:8.2) и возникает из-за неправильной сертификации исполняемого файла средства обновления перед его выполнением. Пользователь с низким уровнем доступа может инициировать действие обновления, что может привести к неожиданному повышению до уровня системы. Представители CISA выпустили рекомендации для защиты от данной уязвимости. Они предлагают минимизировать воздействие сети на все устройства и системы управления и также размещать сети систем управления и удаленные устройства за брандмауэрами, изолируя их от бизнес-сетей.
Шифровальщики на основе Nullsoft Scriptable Install System (NSIS) возвращаются
Для защиты вредоносных файлов от обнаружения злоумышленники используют шифровальщики на базе NSIS. Семейство вредоносных шифровальщиков, использующее систему установки Nullsoft Scriptable, набирает популярность. Злоумышленники используют их для упаковки большого количества типов вредоносных данных. Поскольку NSIS выполняет сжатие самостоятельно, разработчикам вредоносных программ не требуется реализовывать алгоритмы сжатия и распаковки. Возможности сценариев позволяют передавать некоторые вредоносные функции внутри сценария, что усложняет анализ.
Упаковщики используются вместе с широким спектром вредоносного программного обеспечения и включают в себя такие семейства, как: AgentTesla, Remcos, 404 Keylogger, Lokibot и др.
Источник: habr.com