Сегодня в ТОП-5 — DripDropper распространяется через уязвимость Apache ActiveMQ, бэкдор Android шпионит за сотрудниками российских предприятий, Apple устранила критическую zero-day уязвимость в ImageIO, GodRAT — новый RAT, нацеленный на финансовые учреждения, QuirkyLoader распространяет Agent Tesla, AsyncRAT и кейлоггер Snake.
DripDropper распространяется через уязвимость Apache ActiveMQ
Исследователи Red Canary сообщили об активной эксплуатации уязвимости CVE-2023-46604 (CVSS: 10.0) в Apache ActiveMQ для распространения вредоносного ПО DripDropper в Linux-средах. Данный баг представляет собой удалённое выполнение кода (RCE), позволяющее злоумышленнику получить полный контроль над системой. После установки DripDropper атакующие загружают и внедряют вредонос в систему, а затем накатывают официальный патч, чтобы «закрыть» уязвимость и скрыть факт компрометации, одновременно блокируя других злоумышленников. Для запуска вредоносного модуля требуется специальный пароль активации, что осложняет его исследование. В качестве скрытого C2-сервера используется Dropbox, а для закрепления в системе DripDropper изменяет SSH- и cron-конфигурации. Рекомендуется обновить Apache ActiveMQ до актуальных версий и отслеживать изменения в системных настройках SSH и cron.
Бэкдор Android шпионит за сотрудниками российских предприятий Компания Doctor Web сообщила о выявлении мобильного бэкдора Android.Backdoor.916.origin, распространяемого под видом приложений «ФСБ» или «антивирусных решений». Программа запрашивает широкий спектр разрешений, включая доступ к камере, микрофону, SMS, звонкам, контактам и геолокации. Бэкдор активно применяется для шпионажа за сотрудниками российских предприятий, скрываясь под правдоподобными предлогами. Интерфейс приложения выполнен исключительно на русском языке, что указывает на таргетинг российских пользователей. Рекомендуется блокировать установку приложений из сторонних источников и использовать MDM/EDR-системы для анализа аномальных разрешений.
Apple устранила критическую zero-day уязвимость в ImageIO Apple выпустила экстренные обновления iOS 18.6.2, iPadOS 18.6.2, а также macOS Sonoma 14.7.8, Ventura 13.7.8 и Sequoia 15.6.1 для устранения уязвимости CVE-2025-43300 (CVSS: 8.8). Проблема связана с ошибкой «out-of-bounds write» в компоненте ImageIO, которая позволяет злоумышленнику при открытии специально созданного изображения выполнить произвольный код и вызвать повреждение памяти. Уязвимость уже активно эксплуатируется в атаках и внесена в каталог CISA KEV, с требованием устранения до 11 сентября 2025 года. Затронуты устройства, начиная с iPhone XS и новее, а также соответствующие версии iPad и macOS. Apple закрыла проблему улучшенной проверкой границ при обработке изображений. Рекомендуется как можно скорее установить последние обновления, чтобы снизить риск удалённого выполнения кода и компрометации устройств.
GodRAT — новый RAT, нацеленный на финансовые учреждения
Исследователи Kaspersky впервые зафиксировали новый троян удалённого администрирования GodRAT в сентябре 2024 года, и атака остаётся активной до сих пор. Вредонос основан на Gh0st RAT и распространяется через заражённые файлы с расширениями .scr и .pif, замаскированные под финансовые документы. GodRAT использует стеганографию для внедрения shellcode в изображения и способен устанавливать дополнительные плагины, включая FileManager для кражи файлов и AsyncRAT для удалённого управления системой. Основными жертвами стали финансовые учреждения в странах Ближнего Востока и Азии. Рекомендуется блокировать распространение исполняемых файлов через мессенджеры и усиливать мониторинг подозрительной активности, связанной с загрузкой изображений.
QuirkyLoader распространяет Agent Tesla, AsyncRAT и кейлоггер Snake
Исследователи IBM X-Force зафиксировали кампанию, где злоумышленники используют загрузчик QuirkyLoader для доставки нескольких семейств вредоносного ПО. Среди них — Agent Tesla, который специализируется на краже учётных данных и информации из браузеров, AsyncRAT, предоставляющий полный удалённый доступ к заражённой системе, и Snake, кейлоггер для перехвата нажатий клавиш. Доставка осуществляется через ZIP-вложения в электронных письмах: внутри архива скрыт LNK-файл, запускающий PowerShell-скрипт, который скачивает основную полезную нагрузку. Для маскировки активности применяются методы обфускации и «living off the land». Основными жертвами атак становятся организации из финансового сектора, промышленности и IT. Эксперты рекомендуют блокировать LNK/ZIP-вложения в корпоративной почте, использовать sandbox-анализ файлов и усиливать контроль активности PowerShell.
Источник: habr.com