Uncategorized

ТОП-3 ИБ-событий недели по версии Jet CSIRT

Обнаружены новые варианты распространения ВПО DarkTortilla

Эксперты Cyble Research and Intelligence Labs (CRIL) выявили новую кампанию с использованием вредоносного ПО DarkTortilla. Данный вредонос сбрасывает в систему жертвы несколько программ-стилеров и троянов для удаленного доступа (RAT), таких как AgentTesla, AsyncRAT и NanoCore. Согласно анализу, DarkTortilla распространяется через спам-письма, а также через фишинговые сайты, замаскированные под легитимные сайты Grammarly и Cisco. Для закрепления в системе ВПО выполняет проверку контролируемой среды на устройстве жертвы, создает записи в автозапуске и реестре, после чего подключается к C&C-серверу для установки дополнительной вредоносной нагрузки.

Раскрыты подробности нового эксплойта в Microsoft Exchange

Эксперты CrowdStrike обнаружили эксплойт OWASSRF, затрагивающий серверы Microsoft Exchange. Данный эксплойт дает злоумышленникам возможность удаленного выполнения кода (RCE) на уязвимых серверах через Outlook Web Access (OWA). Исследователи связывают эксплойт с уязвимостью CVE-2022-41080, которая позволяет удаленно повышать привилегии на серверах Exchange. Для защиты от OWASSRF требуется отключать OWA до тех пор, пока не будет применено исправление для CVE-2022-41080.

Выпущен отчет о вредоносном ПО Raspberry Robin

Специалисты Trend Micro провели технический анализ вредоносного ПО Raspberry Robin, распространяющегося в телекоммуникационных сетях и системах государственных учреждений. Raspberry Robin используется злоумышленниками для связи системы жертвы с фиксированными адресами сети Tor и последующими нелегитимными действиями, варьирующимися от кражи до кибершпионажа. Отмечается, что в данном вредоносном ПО применяются методы обфускации исходного кода, многоуровневая упаковка загружаемой вредоносной нагрузки, а также дополнительные второстепенные нагрузки для обхода обнаружения и усложнения анализа ВПО.