Сегодня в ТОП-5 — новая 0-day уязвимость в операционной системе IOS XE, новая кампания трояна XorDDoS, поддельные обновления браузеров, обновленная версия бэкдора MATA и ненадежные пароли IT-администраторов. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Евгений Тюрин.
Специалисты Cisco предупредили о новой 0-day уязвимости
Компания Cisco предупредила администраторов о новой 0-day уязвимости в операционной системе IOS XE. Уязвимость позволяет неаутентифицированным злоумышленникам получить полные привилегии администратора и удаленный контроль над целевыми маршрутизаторами и коммутаторами. Специалисты заявили, что критическая уязвимость CVE-2023-20198(CVSS 10) затрагивает только устройства с включенной функцией веб-интерфейса и функцией HTTP или HTTPS-сервера. Cisco порекомендовала отключить функцию HTTP-сервера в системах с выходом в Интернет, что позволит заблокировать входящие атаки, а также настоятельно посоветовала искать необъяснимые или недавно созданные учетные записи пользователей как потенциальные индикаторы вредоносной активности, связанной с этой угрозой.
Углубленный анализ кампании Linux XorDDoS
Исследователи из Unit 42 выявили новую кампанию трояна XorDDoS. ВПО предназначено для заражения Linux-устройств и проведения распределенных атак типа «отказ в обслуживании». Специалисты провели углубленное расследование, в ходе которого была обнаружена скрытая сетевая инфраструктура, передающая большой объем трафика к C2-серверам. В исследовании представлен комплексный анализ атакующего поведения трояна XorDDoS и раскрыта сложная сетевая инфраструктура, управляющая кампанией. Также исследователи опубликовали расширенный список индикаторов компрометации, полученных из ключевых точек атаки, включая имена хостов, URL-адреса и IP-адреса.
Поддельные обновления браузеров
Специалисты Proofpoint выделили четыре отдельных кластера угроз, которые используют поддельные обновления браузеров для распространения ВПО. Зачастую подобная активность относится к скомпрометированным веб-сайтам, на которых отображается поддельное уведомление о необходимости обновления от разработчика браузера. При нажатии на ссылку вместо обновления загружается вредоносное ПО. Злоумышленники используют внедренный код javascript или HTML, который направляет трафик в контролируемый ими домен. Исследователи отметили рост активности угроз, использующих поддельные обновления браузера для доставки различных вредоносных программ, включая полезные нагрузки. Proofpoint предоставила список индикаторов компрометации, отметив при этом, что данный список может быстро меняться.
Исследование вредоносной кампании, направленной на B2B-сектор
Исследователи из Kaspersky обнаружили обновленную версию бэкдора MATA, обладающего обширными возможностями удаленного управления зараженной системой. Новая платформа MATA сочетает в себе загрузчик, основной троян и стилер. Исследование показало, что злоумышленники последовательно расширяли зону своего влияния с одного скомпрометированного контроллера домена до всей корпоративной сети. В результате атаки злоумышленники получили доступ к двум панелям администратора решений безопасности. Впоследствии они наблюдали за инфраструктурой организации и распространяли вредоносное ПО среди ее дочерних компаний. Более подробные технические особенности кампании и рекомендации были представлены в отчете.
Более 40 000 IT-администраторов всё еще используют ненадежные пароли
Исследование Outpost24 показало, что ИТ-администраторы могут быть так же предсказуемы, как и конечные пользователи, когда дело касается паролей. Анализ чуть более 1,8 млн паролей показал, что «admin» является самым популярным паролем более чем у 40 000 записей, а дополнительные результаты указывают на продолжающееся принятие паролей по умолчанию. На основе собранных статистических данных специалисты составили рейтинг 20 самых популярных паролей администраторов. Как рекомендации по защите, исследователи посоветовали не использовать пароли по умолчанию и всегда создавать надежные для каждой учетной записи. Для обеспечения большей защищенности рекомендуется вести парольную политику безопасности, а для пользователей использовать парольные менеджеры для хранения и генерации более сложных паролей. Как дополнительную меру можно использовать решения, позволяющие сканировать инфраструктуру на наличие слабых паролей администраторов.
Источник новости: habr.com
