Cyber Threat Pulse
#11, September 2024
Хакеры из Северной Кореи распространяют вредоносное ПО через пакеты Python
Исследователи Palo Alto Networks Unit 42 обнаружили новую вредоносную кампанию с использованием зараженных Python-пакетов, которая направлена на разработчиков ПО. В рамках этой кампании злоумышленники, связанные с северокорейской группировкой Gleaming Pisces (она же Citrine Sleet), распространяли вредоносные пакеты через популярный репозиторий PyPI. Как результат, операционные системы Linux и macOS стали уязвимыми для таких троянских программ как PondRAT и POOLRAT.
Основной целью атаки являлась компрометация цепочек поставок через заражение рабочих устройств разработчиков, что позволяло получить доступ к системам их клиентов. Злоумышленники загрузили несколько зараженных пакетов на PyPI, таких как real-ids и beautifultext, которые после установки загружали и выполняли вредоносное ПО на целевых системах.
Эта кампания представляет значительную угрозу для организаций, так как использование легитимных на вид Python-пакетов затрудняет обнаружение атак и может привести к компрометации всей сети.
Полное исследование Unit42: https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat
Предварительная версия обновлений Windows вызывает проблемы с загрузкой ОС
Предварительный релиз обновления KB5043145 для Windows 11, выпущенный Microsoft в сентябре 2024 года, вызывает серьезные проблемы, включая циклы перезагрузки и синие экраны. Затронутые системы могут входить в циклы автоматического перезапуска или переставать реагировать на запросы, а некоторые пользователи также сталкиваются с запросами на восстановление BitLocker. В ответ на эти проблемы может активироваться инструмент автоматического восстановления.
В настоящее время Microsoft проводит расследование проблемы и рекомендует пострадавшим пользователям отправлять сообщения через центр обратной связи. Подобные проблемы с загрузкой и зависанием Windows были решены в прошлых обновлениях, также были исправлены ошибки в работе систем с двойной загрузкой и ошибки в предыдущих обновлениях безопасности.
Подробнее: https://support.microsoft.com/en-us/topic/september-26-2024-kb5043145-os-builds-22621-4249-and-22631-4249-preview-71ee16f6-9a39-4569-937c-fe0fd8577285
Эволюция Ransomware Kryptina и Mallox
Исследователи SentinelLabs обнаружили, что группировка Mallox (также известная как TargetCompany) использует измененную версию ransomware Kryptina для атак на Linux-системы. Kryptina, изначально предложенная как недорогая платформа класса «ransomware как услуга» (RaaS) в конце 2023 года, не могла не привлечь внимание киберпреступников. В феврале 2024 года её исходный код был бесплатно выложен на хакерских форумах.
В мае 2024 года утечка данных на сервере одного из аффилиатов Mallox показала, что Kryptina была интегрирована в их инструменты, а новая версия, переименованная в "Mallox Linux 1.0", использует тот же механизм шифрования и базовый функционал Kryptina. SentinelLabs подчеркнули, что Mallox активно атакует уязвимые сервера Linux и VMWare ESXi, что ставит под угрозу предприятия с крупными IT-инфраструктурами.
Полное исследование SentinelLabs: https://www.sentinelone.com/labs/kryptina-raas-from-unsellable-cast-off-to-enterprise-ransomware/
Рубрика «Пора обновиться»
Microsoft
Microsoft устранила 79 уязвимостей в этом обновлении Patch Tuesday, включая семь критических и четыре уязвимости нулевого дня. Самые важные обновления включают:
● CVE-2024-43491 – Критическая уязвимость удаленного выполнения кода (RCE) в сервисной системе Windows 10. Обнаружена эксплуатация из-за отката исправлений в обновлениях. Атакующие могут использовать эту уязвимость через сеть без взаимодействия с пользователем. ● CVE-2024-38014 – Уязвимость Windows Installer с повышением привилегий до уровня SYSTEM. Представляет значительные риски для корпоративных систем. ● Уязвимости SharePoint (CVE-2024-38018 и CVE-2024-43464) – Обе позволяют выполнение удаленного кода из-за небезопасной десериализации данных с различными требованиями по привилегиям, что может привести к компрометации системы и утечке данных. ● Уязвимости SQL Server – Несколько проблем, приводящих к выполнению произвольного кода с использованием методов повреждения памяти, таких как переполнение буфера на основе кучи и чтение за пределами массива.
Google Chrome
В новой версии Chrome (128) была исправлена уязвимость CVE-2024-7965 (CVSS 8.8), связанная с движком JavaScript V8. Она позволяет злоумышленникам удаленно вызвать повреждение кучи памяти, используя специально созданные HTML-страницы, что может привести к выполнению кода или доступу к конфиденциальным данным. Уязвимость затрагивает также браузеры на базе Chromium, такие как Edge и Opera. Были зафиксированы атаки с использованием данной уязвимости.
Mozilla Firefox
В Firefox версии 130 устранено 13 уязвимостей, 7 из которых имеют высокую степень риска. Основные проблемы связаны с повреждением памяти браузера, что может привести к выполнению произвольного кода.
Adobe
Adobe выпустила обновление, исправляющее 72 уязвимости, в том числе критические RCE в Acrobat Reader и Adobe Commerce. Наиболее серьёзная уязвимость CVE-2024-39397 имеет оценку CVSS 9.0.
Fortra FileCatalyst
Обнаружена критическая уязвимость CVE-2024-6633 (CVSS 9.8) в FileCatalyst Workflow, связанная с наличием пароля в коде приложения, что дает возможность злоумышленникам получить доступ к базе данных и полные права администратора. Рекомендуется немедленное обновление до версии 5.1.7.