Сегодня в ТОП-5 — модификация бэкдора Android.Pandora, исправление критичных уязвимостей в новом обновлении Android, новые уязвимости Apache Superset, фишинговая кампания с вирусом Agent Tesla, распространение вредоносного ПО RedEyes в формате LNK. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Роман Драньков.
Компания «Доктор Веб» обнаружила модификацию бэкдора Android.Pandora
Выявленное специалистами «Доктор Веб» ПО Android.Pandora2 является модификацией бэкдора Adnroid.Pandora10, которое распространяется под видом прошивки или приложения для просмотра пиратских фильмов и телепередач. После закрепления и установки в системе бэкдор получает адрес управляющего сервера, подменяет файл hosts и запускает процесс самообновления, после чего устройство используется в различных сетевых атаках. Компания «Доктор Веб» рекомендует обновлять ОС до последних доступных версий и скачивать ПО только из проверенных источников.
Google выпустила обновление для Android с исправлением критичных уязвимостей
В рамках ежемесячного бюллетеня по безопасности Google рассказала об исправлении активно эксплуатируемой уязвимости нулевого дня CVE-2023-35674 в Android Framework. Также обновление безопасности устраняет три критические ошибки в Android System и одну в компоненте от Qualcomm, которые могли привести к удаленному выполнению кода без дополнительных привилегий и взаимодействия с пользователем.
В Apache Superset обнаружены две новые RCE-уязвимости
Исследователи Horizon3 выпустили подробный отчет о найденных уязвимостях в популярном инструменте для исследования и визуализации данных Apache Superset. Superset позволяет привилегированным пользователям подключаться к базе данных и отправлять произвольные SQL-запросы. Пользуясь этим, злоумышленники заставляют подключиться к собственной базе метаданных, что позволяет удаленно выполнять произвольный код, собирать учетные данные и проникать в систему. Специалисты рекомендуют проверить все настройки по умолчанию и обновить ПО до последней версии.
Выявлена фишинговая кампания с распространением нового агента Теслы
Лаборатория FortiGuard зафиксировала фишинговую кампанию, направленную на распространение нового варианта агента Теслы. В статье представлен углубленный анализ от первоначального фишингового письма с зараженным документом Excel до сбора конфиденциальной информации с зараженного устройства. При открытии прикрепленного документа выполняется код, который приводит к повреждению памяти процесса EQNEDT32.EXE, что вызывает уязвимость CVE-2017-11882/CVE-2018-0802. После этого загружается файл с модулями агента Тесла. Кража конфиденциальных данных происходит путем отправки электронного письма на почту злоумышленника. Для защиты от данного типа угроз специалисты рекомендуют своевременно производить обновления, а также регулярно проводить мероприятия по повышению осведомленности сотрудников в части противодействия фишингу.
RedEyes (ScarCruft) теперь распространяется в формате LNK
Центр реагирования на чрезвычайные ситуации ASEC подтвердил, что ранее известное ВПО, которое распространялось в формате CHM, теперь распространяется в формате LNK. Злоумышленник распространяет файл на различных ресурсах, загружая его вместе с вредоносным ПО в сжатом виде. При запуске lnk-файла он создает и выполняет документ «Status Survey Table.xlsx» и вредоносный скрипт «PMmVvG56FLC9y.bat» в папке Temp. После запуска bat-файла он копируется в appdataMicrosoftProtect как UserProfileSafeBackup.bat и закрепляется в реестре RunOnce, и уже после устанавливается соединение с C2-сервером.
Источник новости: habr.com
