Сегодня в ТОП-5 — RMPocalypse AMD, взлом F5: кража исходного кода BIG-IP, руткит LinkPro, MotorBeacon, вредоносное ПО MonsterV2 от TA585.
RMPocalypse AMD: уязвимость в управлении памятью процессоров
Уязвимость RMPocalypse в процессорах AMD SEV-SNP (CVE-2025-0033; CVSS: 3.1) возникает из-за ошибок в Reverse Map Paging (RMP), где хранятся метаданные о защите всех страниц памяти DRAM в системе. RMPocalypse позволяет вредоносным ядрам перезаписывать данные, нарушать целостность конфиденциальных вычислений в облачных средах вроде AWS, Azure и Google Cloud. Это приводит к атакам, таким как подделка отчетов аттестации, воспроизведение состояний регистров VMSA и инъекция кода в память. Уязвимость затрагивает целый ряд серверных чипов AMD: EPYC 7003, 8004, 9004 и 9005 Series EPYC Embedded 7003, 8004, 9004 и 9005 Series. Рекомендуется применять обновления firmware и microcode от AMD для усиления барьеров и мониторинга, а пользователям — избегать ненадежных гипервизоров до полной фиксации, чтобы минимизировать риски компрометации конфиденциальных VM.
Взлом F5: кража исходного кода BIG-IP, данных об уязвимостях и багах, а также некоторые детали конфигурации и реализации для ограниченного числа клиентов
F5 Networks подтвердила взлом со стороны хакеров, которые с 2023 года имели долгосрочный доступ к системам. Предполагается, что был скомпрометирован исходный код BIG-IP, а также информация о нераскрытых уязвимостях, что создает угрозу для предприятий и критической инфраструктуры. Инцидент включал скачивание файлов с проприетарным кодом и деталями доработок, которые компания приоритетно исправляла. В качестве реагирования F5 Networks уже провела меры усиления касаемо доступов и ротации учетных записей, усовершенствовали автоматизацию управления инвентаризации и исправлений, а также архитектуру и среду разработки. Клиентам рекомендуется срочно обновить ПО BIG-IP, уже доступны новые версии продуктов BIG-IP, F5OS, BIG-IP Next для Kubernetes, BIG-IQ и APM, кроме того, следует проводить мониторинг подозрительной активности и внедрить многофакторную аутентификацию для предотвращения эксплуатации украденных уязвимостей.
Руткит LinkPro: сокрытие на основе eBPF в системах Linux
Руткит LinkPro, написанный на Golang, использует eBPF (extended Berkeley Packet Filter — технология ядра Linux для безопасного выполнения программ в режиме ядра без его модификации) для сокрытия процессов, файлов и артефактов через модули Hide и Knock, где последний активируется TCP SYN-пакетами с размером окна 54321, перенаправляя трафик на внутренний порт для C2-связи. Заражение начинается с эксплуатации уязвимого Jenkins-сервера (CVE-2024-23897; CVSS: 3.1), ведущей к развертыванию вредоносного Docker-образа, выходу за пределы контейнера и установке постоянного присутствия путем маскировки под systemd-resolved. Это обеспечивает скрытное сохранение в системе, кражу данных и перемещение по сети. Рекомендуется проводить мониторинг eBPF-карты с помощью bpftool, устанавливать актуальные обновления для закрытия уязвимости вроде CVE-2024-23897, отключать ненужные eBPF-функции в ядре и сканировать IOC для предотвращения атак на производственные серверы.
MotorBeacon: .NET бэкдор, целящийся в российский автомобильный сектор
Операция MotorBeacon включает фишинговые письма с ZIP-архивами, содержащими приманку в виде русского документа о перерасчете зарплаты и LNK-файл, который запускает .NET-имплант CAPI Backdoor через rundll32.exe для кражи данных из браузеров, скриншотов и системной информации с подключением к C2-серверу. Вредоносное ПО обеспечивает постоянное присутствие через запланированные задачи и запуск LNK в Startup-папке, проверяет наличие AV и VM, фокусируясь на российском автосекторе и e-commerce, используя домен, имитирующий легитимный ресурс. Рекомендуется фильтровать email-вложения, настроить мониторинг исполнения LNK через rundll32, удалять несанкционированные задачи в планировщике и использовать EDR-инструменты для обнаружения .NET-имплантов и аномального трафика.
Вредоносное ПО MonsterV2 от TA585: возможности и цепочки атак
Исследователи из Proofpoint раскрыли вредоносное ПО TA585 MonsterV2 как троян удаленного доступа, средство для кражи данных и загрузчик. MonsterV2 имеет возможность забирать данные из браузеров, криптокошельков, входа в систему и токены Steam и Telegram, а также может получить доступ к рабочему столу и камере. Цепочка атак включает фишинговые письма с мимикрией под правительственные органы, ведущие к PDF-файлам с техникой ClickFix. С помощью ClickFix пользователь запускает вредоносный PowerShell-код для установки вредоносного ПО или переходит на скомпрометированные сайты с JavaScript-инъекциями для фильтрации и доставки через полезную нагрузку. Рекомендуется обучать пользователей распознаванию техники ClickFix, ограничить права для запуска PowerShell и проводить мониторинг сети для предотвращения мошенничества.
Источник: habr.com