Топ-5 новостей по версии Jet CSIRT
Сегодня в ТОП-5 — три новых уязвимости в API Microsoft Azure, новый вид ВПО ReconShark, новые способы атак от хакерской компании Dragon Breath, новый вид троянов-подписчиков в Google Play, три новые уязвимости в каталоге агентства CISA. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Ильяс Садыков.
В API Microsoft Azure обнаружено три новых уязвимости
Исследователи Ermetic недавно обнаружили три уязвимости в службе управления API Azure. Они затрагивают SSRF (подделка запросов на стороне сервера) и обход путей загрузки файлов во внутренней среде Azure. Уязвимость SSRF позволяет злоумышленникам отправлять запросы от прокси-сервера CORS, который предоставляет доступ к внутренним ресурсам Azure. Обход загрузки файлов позволяет злоумышленникам загружать вредоносные файлы во внутреннюю среду Azure, а также на собственные порталы разработчиков. Microsoft отреагировала на сообщение Ermetic о недостатках и полностью их исправила. От клиентов Azure не требуется никаких дополнительных действий.
Киберпреступники Kimsuky используют новый вид ВПО ReconShark в целях кибершпионажа
Специалисты из SentinelLabs при наблюдении за продолжающимися атаками со стороны Kimsuky обнаружили новый вид ВПО. В последних атаках используется компонент вредоносного ПО ReconShark, который доставляется конкретным лицам с помощью фишинговых электронных писем и ссылок OneDrive. ReconShark функционирует как инструмент разведки с уникальными инструкциями по удаленному выполнению команд и связи с С&C-сервером. Примечательно, что целевые фишинговые электронные письма создаются с высоким уровнем качества и настроены на конкретных людей, что увеличивает вероятность достижения цели. Организациям рекомендуется ознакомиться с TTP и IOC по атакам, описанным в данном анализе, для повышения осведомленности сотрудников и уровня безопасности.
Хакерская компания Dragon Breath активно использует новые способы атак с загрузкой DLL
В недавнем отчете Sophos опубликованы данные о вредоносной деятельности вредоносную деятельность по загрузке DLL, которая основана на классическом сценарии DLL Sideloading. Расследование показало, что злоумышленники неоднократно применяли данный сценарий, меняя местами определенные компоненты в процессе загрузки вредоносного ПО. Этот вариант атаки чаще всего используют через приложения Telegram или WhatsApp для Android, iOS или Windows. Данный тип атак также нацелен на расширение криптокошелька MetaMask для браузера Google Chrome с целью кражи цифровых активов у жертв.
В Google Play обнаружен новый вид троян-подписчиков
В недавнем отчете Securelist было опубликовано 11 вредоносных приложений из официального магазина Google Play, которые маскировались под обычные приложения для редактирования фотографий. Приложение при запуске загружает зашифрованную библиотеку, содержащую вредоносный дроппер, который расшифровывает и запускает полезную нагрузку из активов приложения. Далее полезная нагрузка устанавливает соединение с удаленным сервером, на которое тот отвечал страницей с платной подпиской. Следующим шагом ВПО открывает страницу в невидимом окне веб-браузера и пытается подписаться от имени пользователя, получив доступ к уведомлениям для перехвата кода, необходимого для подтверждения подписки. После выпуска отчета об обнаружении вредоносного ПО все приложения из Google Play были удалены.
Агентство CISA добавило в свой каталог три новые уязвимости
CISA добавило уязвимости CVE-2023–1389, CVE-2021–45046, CVE-2023–21839 в свой каталог известных эксплуатируемых уязвимостей, основываясь на доказательствах активной эксплуатации. CVE-2023–1389, затрагивающая устройства TP-Link Archer AX21, позволяет внедрять команды в формате «stok=/locale» в веб-интерфейсе, что приводит к удаленному выполнению команды от имени администратора. CVE-2021–45046 затрагивает Apache версии 2.15.0 и дает возможность выполнить произвольный код при выводе сообщений об ошибках из лог-файлов в формате »{jndi: URL}». CVE-2023–21839 затрагивает Oracle WebLogic Server, которая позволяет злоумышленнику, не прошедшему проверку подлинности, с доступом к сети через T3, IIOP получить доступ ко всем данным на Oracle WebLogic Server.