ТОП-5 ИБ-событий по версии Jet CSIRT
Сегодня в ТОП-5 — Шифровальщик Trigona, вредоносная программа AuKill EDR, новая уязвимость очистки исключения и новая классификация киберпреступников от Microsoft. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Александр Перевалов.
Шифровальщик Trigona атакует серверы MS-SQL
Злоумышленники взламывают доступные из интернета серверы Microsoft SQL (MS-SQL) и разворачивают на них полезную нагрузку вымогателя Trigona, чтобы зашифровать все файлы. Взлом серверов осуществляется с помощью брутфорса. По данным компании AhnLab, после подключения злоумышленники используют вредоносное ПО CLR Shell. Эта программа предназначена для сбора системных данных, изменения конфигурации учетных записей и повышения привилегий. Согласно данным ID Ransomware, Trigona генерирует постоянный поток атак — с начала года сообщалось о 190 атаках этого шифровальщика.
Вредоносная программа AuKill EDR злоупотребляет драйвером Process Explorer
Согласно отчету компании Sophos, злоумышленники в последнее время всё чаще используют новый инструмент AuKill. Вредоносное ПО помещает уязвимый драйвер «procexp.sys» рядом с тем, который используется легитимной утилитой Process Explorer, после чего «прикидывается» службой TrustedInstaller. Это позволяет злоумышленникам повысить привилегии до уровня SYSTEM. Кроме того, AuKill запускает сразу несколько потоков, чтобы постоянно проверять и завершать процессы программного обеспечения безопасности, предотвращая их перезапуск.
Новая уязвимость грозит миллионам приложений на Java
В песочнице VM2 обнаружена критическая уязвимостей типа Sandbox Escape, которая позволяет злоумышленникам запускать вредоносный код вне ограничений изолированной среды. CVE-2023–30547 (оценка по шкале CVSS — 9,8) представляет собой уязвимость очистки исключения, которая позволяет вызвать непроверенное исключение хоста внутри функции «handleException ()». Исследователи информационной безопасности уже выложили PoC-эксплойт в открытый доступ. Всем разработчикам, чьи проекты включают библиотеку VM2, рекомендуется как можно скорее обновиться до версии 3.9.17.
VMware исправила критические уязвимости в Aria Operations for Logs
Компания VMware устранила критическую уязвимость системы безопасности vRealize Log Insight (CVE-2023–20864, оценка по шкале CVSS — 9,8), которая позволяет злоумышленникам получить удаленное выполнение кода на уязвимых устройствах. Также была исправлена еще одна уязвимость (CVE-2023–20865, оценка по шкале CVSS — 6,9), которая позволяет злоумышленникам с правами администратора выполнять произвольные команды от имени пользователя root. Обе уязвимости были устранены в выпуске VMware Aria Operations for Logs 8.12.
Новая классификация киберпреступников от Microsoft
Подразделение Microsoft Threat Intelligence объявило, что переходит к новому принципу именования группировок киберпреступников, используя классификацию, привязанную к погодным явлениям. Новая система должна упростить работу специалистов по кибербезопасности, а также устранить путаницу в сотнях различных хакерских объединений. Благодаря новой классификации, лишь взглянув на название новой группировки, можно будет понять, из какой она страны и какой тип вредоносной деятельности осуществляет. Специалисты Microsoft создали отдельную таблицу, где указаны как старые, так и новые названия известных группировок.
