Cyber Threat Pulse
#4, January 2024
Актуальная угроза: RemcosRAT и QuasarRAT продолжают распространяться через электронные письма
Правительственная команда реагирования на чрезвычайные события Украины (CERT-UA) сообщает об обнаружении новой фишинговой атаки, направленной на заражение компьютеров вредоносным программным обеспечением.
Атака осуществляется путем рассылки электронных писем с тематикой «Запросов» (например, «Запрос судебных документов»). В теле письма содержится вложение в виде RAR- или ZIP-архива, который может содержать один из двух типов вредоносного ПО: ● RemcosRAT – программа для удаленного управления компьютером, позволяющая злоумышленникам получать полный доступ к системе. ● QuasarRAT – еще одна программа для удаленного управления компьютером, которая также позволяет злоумышленникам выполнять любые действия на зараженном компьютере.
Следует отметить, что атаки с использованием Remcos и Quasar продолжают возникать с определенной периодичностью, так что сейчас нужно быть особенно внимательными и осторожными!
Ссылки на исследование от CERT-UA: https://cert.gov.ua/article/6277063
9 новых уязвимостей в прошивках UEFI угрожают миллионам компьютеров и серверов
Обнаружена серия из девяти уязвимостей под названием PixieFail в сетевом программном обеспечении, которое используется для удаленного запуска большинства современных компьютеров.
Кто находится под угрозой?
Эти уязвимости влияют на устройства, использующие сетевой (PXE) запуск с IPv6, включая BIOS от основных производителей, таких как American Megatrends Incorporated (AMI), Insyde Software Corporation, Intel, Phoenix Technologies и Microsoft.
Наиболее часто PXE-запуск используется в серверах и облачных средах, хотя это также возможно в специализированных домашних или офисных сетях со специальным аппаратным обеспечением и сетевыми конфигурациями. Независимо от среды, любое устройство, которое запускается через сеть, требует мер безопасности для уменьшения потенциальных рисков.
Каковы потенциальные последствия атаки?
Злоумышленники, которые видят трафик в сети, могут использовать эти уязвимости для заражения компьютеров вредоносным программным обеспечением, запускаемым еще до любого средства безопасности. Благодаря этому: ● Злоумышленники могут получить контроль над вашим компьютером или сервером (выполнение удаленного кода). ● Хакеры могут украсть вашу информацию (утечка данных). ● Ваш компьютер или сервер может быть поврежден (отказ в обслуживании). ● Злоумышленники могут манипулировать вашим интернет-трафиком (отравление кэша DNS и захват сетевой сессии).
Что следует сделать?
● Обновить прошивку UEFI: установите последнюю стабильную версию прошивки UEFI, которая содержит исправления для этих уязвимостей. Следуйте инструкциям производителя вашего устройства. ● Отключить загрузку по сети (PXE), если она не используется в вашей среде. ● Использовать сетевую изоляцию для доступа к preboot-среде UEFI только с надежных и защищенных сетей. ● Защитить среду от несанкционированных DHCP-серверов с помощью технологий Dynamic ARP Inspection и DHCP Snooping.
Ссылка на исследование: https://www.kb.cert.org/vuls/id/132380
Новая техника фишинга использует недостатки кэширования средствами безопасности
Фишинг – самый распространенный способ передачи вредоносного ПО. С развитием технологий защиты электронной почты хакеры изобретают самые разные способы обойти меры безопасности, например:
● Вредоносное ПО с геоограничением: демонстрирует фишинговый контент целевым странам и остается безвредным для других. ● Маскировка капчи: скрывает вредоносный код от автоматического анализа с помощью капчи. ● Черные списки IP-адресов: избегает обнаружения продуктами безопасности, блокируя им доступ к фишинговым сайтам по IP-адресу. ● Маскировка в QR-коде: скрывает фишинговые угрозы с помощью обычных по внешнему виду QR-кодов. ● Trellix нашел новый способ обмана средств безопасности, заключающийся в манипулировании кэшем средств безопасности.
Новое исследование покажет: ● Как OneDrive стал «троянским конем» ● Почему вроде бы безвредные ссылки не так уж безопасны ● Критическое окно возможностей, которое эксплуатируют злоумышленники ● Конкретные шаги, позволяющие усилить защиту и перехитрить обходные угрозы
Ссылка на исследование: https://www.trellix.com/about/newsroom/stories/research/saints-turned-evil/
Рубрика «Время обновиться»
Microsoft ● Январское обновление безопасности от Microsoft устраняет 49 уязвимостей, 12 из которых позволяют удаленно выполнять код. ● Две уязвимости классифицированы как критические: обход функции безопасности Kerberos в Windows и RCE в Hyper-V.
Chrome ● Обновление Chrome от 16 января 2024 г. включает 4 исправления безопасности.
Oracle ● 16 января Oracle выпустили первый квартальный пакет обновлений безопасности за 2024 год. Он содержит исправления для 191 уязвимости (CVE) в 389 обновлениях безопасности для 26 семейств продуктов Oracle. ● 9,5% исправлений отнесено к категории «критические», 49,4% – к «высокой», а 36,2% – к «средней» степени серьезности.
Adobe ● В январе Adobe выпустили пакет исправлений, устраняющий шесть уязвимостей (CVE) в Substance 3D Stager. ● Все шесть уязвимостей оценены как «важные». Наиболее серьезная из них позволяет выполнить произвольный код.