Сегодня в ТОП-5 — обнаружение критической ошибки в маршрутизаторах Zyxel, заражение сотен тысяч пользователей методом Revival Hijack, DarkCracks: новая угроза кибербезопасности через взломанные веб-сайты, использование фреймворка MacroPack для Red Team в атаках хакеров, новый мультиплатформенный бэкдор KTLVdoor.
Обнаружена критическая ошибка в маршрутизаторах Zyxel
Специалисты Zyxe сообщили об уязвимости CVE-2024-7261 (CVSS: 9.8), которая позволяет злоумышленникам, не прошедшим аутентификацию, выполнять команды ОС на точках доступа (АР) и на маршрутизаторах Zyxel, отправляя специально созданный файл cookie на уязвимые устройства. Zyxel сообщает, что маршрутизатор USG LITE 60AX под управлением V2.00 (ACIP.2) также подвержен уязвимости, но эта модель автоматически обновилась через облако до V2.00 (ACIP.3). Используя уязвимости, злоумышленники могли получить удаленный доступ к NAS без необходимости проходить процесс аутентификации и выполнять произвольные команды на сетевых устройствах хранения данных, включая изменение настроек резервного копирования, управление потоковой передачей медиа и параметров обмена данными. Рекомендуется обновить версию маршрутизатора.
Revival Hijack заразил сотни тысяч пользователей
Исследователи JFrog сообщили о новом методе атак на цепочку поставок ПО, направленном на пакеты PyPI. Данный метод получил название Revival Hijack, он дает возможность злоумышленникам захватывать популярные пакеты и использовать их для распространения вредоносного ПО. Одной из основных уязвимостей платформы PyPI является ее политика удаления пакетов. Когда пакет удаляется, его название немедленно становится доступным для повторной регистрации, и пользователи не получают никаких предупреждений о том, что пакет был удален. Одним из примеров атаки стал пакет «pingdomv3». Злоумышленники использовали название удаленного пакета и внедрили вредоносный код, который активировался при установке или обновлении пакета, но он был оперативно обнаружен и удален. Команда JFrog советует пользователям быть внимательными и избегать установки удаленных пакетов, чтобы снизить риск.
DarkCracks: новая угроза кибербезопасности через взломанные веб-сайты
Специалисты QiAnXin выявили новую сложную кампанию под названием DarkCracks, которая использует взломанные веб-сайты GLPI и WordPress для распространения вредоносных загрузчиков и управления зараженными устройствами. Злоумышленники нацелены на долгосрочное управление зараженными устройствами, включая серверы, которые служат для распространения и управления вредоносными ПО. DarkCracks отличаются особой степенью маскировки и стойкостью к обнаружению, а артефакты остаются скрытыми даже после анализа.
MacroPack: как фреймворк для Red Team используется в атаках хакеров
Специалисты Cisco Talos обнаружили, что фреймворк MacroPack, разработанный для симуляций Red Team, активно используется злоумышленниками для распространения вредоносного ПО, такого как Havoc, Brute Ratel и RAT-троян PhantomCore. MacroPack позволяет создавать обфусцированные документы, которые обходят антивирусы и статический анализ. Исследование выявило случаи использования MacroPack, когда вредоносные документы маскировались под различные типы файлов, включая официальные письма и формы для обновлений.
Новый мультиплатформенный бэкдор KTLVdoor
Эксперты из Trend Micro выявили новый мультиплатформенный бэкдор KTLVdoor, разработанный китайской группировкой Earth Lusca. Написанный на Golang, он имеет версии для Windows и Linux и обладает высокой степенью обфускации. KTLVdoor маскируется под системные утилиты и предназначен для полного контроля над зараженной системой, включая выполнение команд, манипуляцию файлами, сбор информации и сканирование портов. Исследователи обнаружили более 50 C2-серверов на платформе Alibaba, с которыми взаимодействует KTLVdoor. Несмотря на связь с Earth Lusca, инфраструктура может использоваться и другими киберпреступниками. Образцы вируса имеют обфусцированные строки и символы, а конфигурация хранится в формате TLV, поддерживающем зашифрованную коммуникацию как в режиме simplex, так и duplex. KTLVdoor позволяет управлять зараженными устройствами и выполнять различные команды.
Источник новости: habr.com
