Сегодня в ТОП-5 — хакеры используют устаревшие драйверы для взлома, новый троян поражает сферы энергетики, здравоохранения и логистики, уязвимости Cisco, атаки на бизнес и новое вредоносное ПО для Linux.
Silent Killer: хакеры используют устаревшие драйверы для взлома
Исследователи Check Point Research выявили масштабную кампанию, использующую образцы для развертывания модуля-убийцы EDR/AV. Исследование показало, что злоумышленники эксплуатировали уязвимую версию драйвера Truesight.sys (2.0.2), который входит в продукты Adlice (RogueKiller Antirootkit). Впервые этот вредоносный модуль был зафиксирован в июне 2024 года. Сама атака строилась в несколько этапов. Сначала злоумышленники загружали устаревший драйвер Truesight 2.0.2, используя его уязвимость для завершения защищенных процессов Windows. Манипуляция PE-структурой позволяла обходить механизмы обнаружения. Затем происходило развертывание модуля-убийцы EDR/AV, который использовался для отключения антивирусных решений. Рекомендуется запретить загрузку драйверов Truesight с версией ниже 3.4.0.
FatalRAT: новый троян поражает сферы энергетики, здравоохранения и логистики
Специалисты Kaspersky ICS CERT выявили киберугрозу, нацеленную на различные промышленные организации. Злоумышленники использовали известные облачные сервисы, такие как myqcloud и Youdao Cloud Notes, для организации сложной многоступенчатой атаки с помощью бэкдора класса FatalRAT. Атака начинается с фишинга, где злоумышленники рассылают ZIP-архивы, замаскированные под легитимные документы. Эти архивы содержат загрузчики, которые после выполнения делают запросы к Youdao Cloud Notes для получения дальнейших инструкций и конфигураций. Загруженные модули (Before.dll и Fangao.dll) используют динамически обновляемые ссылки для получения вредоносных полезных нагрузок и отправляют информацию о зараженных системах на сервер злоумышленников. Рекомендуется ознакомиться с IOC. А также устанавливать актуальные версии централизованно управляемых защитных решений на все системы, иметь двухфакторную аутентификацию.
Poco RAT: атаки на бизнес
Специалисты Positive Technologies обнаружили вредоносное ПО под названием Poco RAT в ходе анализа киберугроз, нацеленных на корпоративные сети. Poco RAT представляет собой бэкдор, который позволяет злоумышленникам удаленно управлять устройствами жертв. Он может выполнять команды ОС, загружать и удалять файлы, делать скриншоты и собирать информацию о системе. Poco RAT загружается через дропперы в .rev-архивах, которые создаются с помощью WinRAR. Дроппер запускает вредоносный компонент, внедряясь в легитимные процессы, такие как iexplore.exe. После того как дроппер удостоверился, что запуск выполнен не на виртуальной машине, он собирает данные о системе и отправляет их на командный сервер. Все сборки упакованы с помощью UPX, что уменьшает их размер и затрудняет обнаружение.
PolarEdge использует уязвимости Cisco и другие устройства для кибератак
Команда Sekoia по обнаружению и исследованию угроз обнаружила попытки эксплуатации уязвимости CVE-2023-20118 через свои ханипоты. Уязвимость затрагивает маршрутизаторы Cisco для малого бизнеса и позволяет злоумышленникам выполнять удаленные команды (RCE) на уязвимых устройствах. Злоумышленники используют специально созданные HTTP-запросы для эксплуатации уязвимости, что позволяет им внедрять и выполнять произвольные команды на целевом устройстве. В результате были развернуты веб-шеллы и бэкдоры, такие как PolarEdge, которые используют библиотеку Mbed TLS для создания устойчивой инфраструктуры, включая ботнет из более чем 2000 зараженных устройств. Рекомендуется ознакомиться с IOС, а также использовать актуальные версии ПО на маршрутизаторах и других устройствах.
Auto-color: новое вредоносное ПО для Linux
Исследователи Palo Alto Networks сообщили об обнаружении нового вредоносного ПО для Linux под названием Auto-color. Auto-color предоставляет злоумышленникам полный удаленный доступ к скомпрометированным машинам. После запуска Auto-color проверяет имя исполняемого файла. Если оно отличается от "Auto-color", то происходит установка вредоносной библиотеки, которая маскируется под легитимную. Вредоносное ПО перехватывает функции, такие как open(), для скрытия сетевой активности, модифицируя содержимое /proc/net/tcp. Оно также использует уникальный протокол для связи с командным сервером (C2), который включает динамически генерируемые ключи шифрования и структурированные сообщения. Рекомендуется ознакомиться с IOC, а также следить за актуальными версиями ПО.
Источник новости: habr.com
