Cyber Threat Pulse
#3, December 2023
Пророссийские хакеры эксплуатируют Outlook для взлома почтовых учетных записей
Polish Cyber Command (DKWOC) сообщает, что пророссийские Forest Blizzard* активно эксплуатируют уязвимость в Microsoft Outlook (CVE-2023-23397) для получения несанкционированного доступа к учетным записям электронной почты на серверах Exchange.
В последние месяцы группировка была связана с атаками на различные организации в Украине и Франции, а также с использованием уязвимости WinRAR (CVE-2023-38831) для кражи учетных данных браузера. *Forest Blizzard — это спонсируемый российским государством субъект угроз, который в первую очередь нацелен на правительства, энергетические, транспортные и неправительственные организации в Европе, США и на Ближнем Востоке.
DKWOC предоставляет подробные рекомендации по обнаружению и устранению уязвимости:
https://www.wojsko-polskie.pl/woc/articles/aktualnosci-w/detecting-malicious-activity-against-microsoft-exchange-servers/
Фишинговые письма от имени СБУ Украины: исследование CERT-UA
За последний месяц СERT-UA обнаружил многочисленные факты рассылки фишинговых писем с вложенным архивом RAR, содержащим программу для удаленного управления RemcosRAT*.
Злоумышленники (UAC-0050) используют разные методы для введения своих жертв в заблуждение. Например, они отправляют письма от имени СБУ Украины и используют темы «Повестка в суд», «Судебные претензии» и тому подобные. Также было отмечено, что для рассылки фишинговых писем были использованы скомпрометированные почтовые аккаунты, в том числе в домене gov.ua. Следует с осторожностью относиться к любым письмам, особенно к содержащим вложения!
*RemcosRAT – это коммерческий инструмент удаленного доступа (RAT). Хотя Remcos и позиционируется как правомерное решение для удаленного управления, наблюдения и даже тестирования на проникновение, оно снискало славу из-за своей причастности к многочисленным хакерским кампаниям. Исследования CERT-UA:
https://cert.gov.ua/article/6276652, https://cert.gov.ua/article/6276567, https://cert.gov.ua/article/6276351
Рубрика «Пора обновиться»
Безопасность программного обеспечения (ПО) является краеугольным камнем информационной безопасности в целом. Отсутствие своевременных обновлений ПО может использоваться злоумышленниками для кражи конфиденциальной информации, нарушения работы систем, нанесения материального и репутационного ущерба.
Мы подготовили список программного обеспечения, получившего обновления для устранения критических уязвимостей.
Обновления Patch Tuesday:
Apple. Выпущены обновления для iOS и iPadOS, исправляющие 8 CVE. Две из этих CVE в Webkit активно эксплуатируются на iOS 16.7.1 и более ранних версиях.
Adobe. Выпущено 9 патчей, исправляющих 212 CVE в различных продуктах. 186 из этих CVE в Experience Manager являются уязвимостями XSS с уровнем серьезности "Important". Уязвимости в After Effects имеют уровень серьезности "Critical" и могут позволять выполнять произвольный код. Уязвимости в Illustrator и Substance 3D Sampler также имеют уровень серьезности "Critical" и могут приводить к выполнению произвольного кода.
Microsoft. Выпущено 33 новых патча, исправляющих 33 CVE. Эти CVE затрагивают следующие продукты: Windows, MS Office, Azure, MS Edge (Chromium-based), Windows Defender, Windows DNS и DHCP-сервер, MS Dynamic. В дополнение к этим CVE в выпуск также включены исправления для нескольких уязвимостей Chromium, так что общее количество исправлений CVE — 42.
https://www.zerodayinitiative.com/blog/2023/12/12/the-december-2023-security-update-review
Критическая уязвимость RCE в Struts 2
В открытой платформе веб-приложений Struts 2 обнаружена критическая уязвимость CVE-2023-50164, которая может привести к выполнению произвольного кода.
Атакующий может воспользоваться уязвимостью, чтобы загрузить на сервер вредоносный файл, который затем будет выполнен в контексте веб-приложения. Это может позволить атакующему получить полный контроль над сервером. Уязвимость исправлена в Struts версии 2.5.33 и 6.3.0.2 или выше.
https://cwiki.apache.org/confluence/display/WW/S2-066
Обновление WordPress исправляет критическую уязвимость
WordPress выпустил обновление 6.4.2, устраняющее критическую уязвимость, которая позволяет злоумышленникам захватить контроль над уязвимым сайтом. Для этого злоумышленники должны объединить данную уязвимость с другой ошибкой (уязвимостью внедрения объекта PHP), присутствующей в любом другом плагине или теме.
https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/