ТОП-3 ИБ-событий недели по версии Jet CSIRT

t3uruqk-lzi-ybdpvzw9covd3ju.png

Сегодня пятница, а значит, специалисты Jet CSIRT снова собрали для вас ключевые новости в области ИБ. В этот раз в ТОП-3 — новые атаки шифровальщика Babuk Locker, уязвимость в диспетчере очереди печати Windows и киберкампания, направленная на госструктуры Азиатских стран. Новости выбирал Игорь Фиц, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.

Конструктор вымогателя Babuk Locker используется в новых атаках


На прошлой неделе исследователь безопасности Кевин Бомонт обнаружил, что кто-то загрузил программу-вымогатель Babuk Locker на VirusTotal. После того, как конструктор просочился в сеть, некий злоумышленник начал применять его в атаках на обычных пользователей. Хакер использует адрес электронной почты Tutanota и требует выкуп в размере 210 долларов. Хотим отметить, что создатели Babuk Locker объявили о прекращении операций с вымогателем после громкой атаки на полицейское управление Вашингтона.

Китайская APT-группировка атаковала государственные структуры Азиатских стран


Команда исследователей Check Point обнаружила продолжительную фишинг-кампанию, направленную на правительство Афганистана. В ходе дальнейшего расследования удалось установить, что целью атакующих также были Кыргызстан и Узбекистан. Подозреваемым в операции кибершпионажа является APT IndigoZebra, которую исследователи связывают с Китаем. Заражение осуществлялось с помощью фишинговых писем, во вложении которых находился дроппер, устанавливающий бэкдор BoxCaon. Кроме того, известно, что в атаке на правительство Афганистана в качестве управляющего сервера использовался Dropbox, что усложняло обнаружение злоумышленников.

Обнаружена 0-day уязвимость в диспетчере очереди печати Windows


Исследователи по кибербезопасности китайской компании Sangfor опубликовали PоС-эксплойт, реализующий уязвимость PrintNightmare в диспетчере очереди печати Windows. Изначально предполагалось, что PoC реализует уязвимость (CVE-2021–1675), закрытую Microsoft в июне. Но оказалось, что это совершенно новая брешь (CVE-2021–34527), позволяющая злоумышленнику получить полный контроль над атакованной системой. Чтобы не подвергнуться атаке, рекомендуем отключить службу диспетчера очереди печати Windows (spoolsv.exe) на контроллерах домена и хостах, не связанных с печатью.

© Habrahabr.ru