Cyber Threat Pulse
#9, July 2024
Киберпреступники используют панику: атаки после сбоя CrowdStrike
Киберпреступники используют панику: атаки после сбоя CrowdStrike
19 июля компания CrowdStrike выпустила обновление для Falcon Sensor, которое привело к масштабному сбою систем с ОС Windows. Ошибка в обновлении вызвала появление «синего экрана смерти» (BSOD) на миллионах компьютеров, включая те, что используются в критически важных сферах, таких как здравоохранение и финансы.
Киберпреступники быстро воспользовались хаосом, вызванным неудачным обновлением CrowdStrike. Среди зловредной активности можно выделить фишинговые кампании и распространение вредоносного ПО под видом легитимных инструментов восстановления.
1. Remcos RAT под видом хотфикса: Злоумышленники распространяют ZIP-архив под названием "crowdstrike-hotfix.zip", который содержит загрузчик вредоносного ПО под названием HijackLoader. Этот загрузчик, в свою очередь, устанавливает на зараженные устройства инструмент удаленного управления Remcos RAT. Целью этой кампании были преимущественно клиенты CrowdStrike из Латинской Америки, о чем свидетельствовали инструкции на испанском языке, включенные в архив.
https://x.com/g0njxa/status/1814564408846147830
2. Шпионское ПО Daolpu: Другая хакерская кампания включает отправку фишинговых писем с вложенным вредоносным документом, замаскированным под руководство по восстановлению от Microsoft. Этот документ содержит макросы, которые при активации загружают инфостиллер Daolpu. Он ворует учетные данные, историю и файлы аутентификации из популярных браузеров, включая Chrome, Edge и Firefox.
https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/
3.Уничтожитель данных от Handala: Проиранская хакерская группа Handala под видом официальных обновлений CrowdStrike распространяла вредоносное ПО, предназначенное для уничтожения данных на зараженных системах. Хакеры маскировались под представителей CrowdStrike, рассылая фишинговые письма с поддельного домена "crowdstrike[.]com[.]vc". В этих письмах содержались PDF-документы с инструкциями по запуску ложного обновления и ссылками на вредоносные ZIP-архивы. При запуске исполняемого файла "Crowdstrike.exe", находящегося внутри архива, начиналось уничтожение данных на устройстве.
https://x.com/anyrun_app/status/1814658084460957890
Новые уязвимости в OpenSSH позволяют выполнять команды от имени root
1 июля 2024 года была раскрыта уязвимость в OpenSSH с высоким уровнем серьезности (CVSS 8.1), названная "regreSSHion" (CVE-2024-6387). Она затрагивает Linux-системы на основе glibc и может привести к выполнению удалённого кода (RCE) с привилегиями root. По состоянию на 2 июля 2024 года Palo Alto Networks сообщает о более чем 7 миллионах уязвимых экземпляров OpenSSH по всему миру.
Уязвимость затрагивает:
● Версии OpenSSH от 8.5p1 до 9.8p1 ● Версии старше 4.4p1, если они не были исправлены для CVE-2006-5051 или CVE-2008-4109
Также была обнаружена другая уязвимость в OpenSSH, отслеживаемая как CVE-2024-6409 (CVSS 7.0). Она затрагивает только версии 8.7p1 и 8.8p1, поставляемые с Red Hat Enterprise Linux 9.
Для устранения этих уязвимостей необходимо обновить OpenSSH до версии 9.8p1 или выше. Также рекомендуется контролировать соединения по протоколу SSH с помощью брандмауэров и сегментировать сеть, чтобы предотвратить несанкционированный доступ и перемещение по периметру организации.
https://unit42.paloaltonetworks.com/threat-brief-cve-2024-6387-openssh/
Рубрика «Пора обновиться»
Microsoft
В июльском Patch Tuesday Microsoft исправила 142 уязвимости, из которых 5 являются критическими:
● Hyper-V: Обнаружена уязвимость нулевого дня (CVE-2024-38080), позволяющая злоумышленнику с локальным доступом повысить привилегии до уровня системы. ● MSHTML: Обнаружена уязвимость нулевого дня (CVE-2024-38112), позволяющая злоумышленникам подделывать веб-контент. ● .NET и Visual Studio: Обнаружена уязвимость удаленного выполнения кода (CVE-2024-35264) из-за ошибки использования освобожденной памяти. ● Windows Remote Desktop Licensing Service: Обнаружены две критические уязвимости удаленного выполнения кода (CVE-2024-38076 и CVE-2024-38077) из-за переполнения буфера.
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul
Google Chrome
В недавнем обновлении для Chrome, Google закрыла множество уязвимостей, среди которых можно выделить:
● CVE-2024-6100: Уязвимость типа Confusion в JavaScript-движке V8, которая может привести к сбоям и удаленному выполнению кода. ● CVE-2024-6101: Ошибка в реализации WebAssembly, позволяющая запуск неавторизованного кода. ● CVE-2024-6102 & CVE-2024-6103: Проблемы с доступом за пределы допустимого диапазона и ошибка Use After Free в Dawn API. ● Новая уязвимость нулевого дня: Sandbox Escape RCE, которая может привести к удаленному выполнению кода. Уязвимость продается в даркнете за $1 млн в криптовалюте. В данный момент нет доступного исправления.
Рекомендуется обновить Chrome до версий 126.0.6478.114/115 для Windows и Mac, а также 126.0.6478.114 для Linux
https://chromereleases.googleblog.com/2024/07/stable-channel-update-for-desktop_23.html
Mozilla Firefox
В Firefox-версии 128 было исправлено 20 проблем с безопасностью браузера. Среди них можно выделить:
● CVE-2024-6605: Ошибка задержки активации в Firefox для Android, позволяющая осуществлять атаки tapjacking. ● CVE-2024-6606: Чтение буфера обмена за пределами памяти, открывающее доступ к конфиденциальным данным. ● CVE-2024-6609: Повреждение памяти в библиотеке NSS, приводящее к потенциальному выполнению кода. ● CVE-2024-6600: Повреждение памяти в WebGL API, приводящее к сбоям и возможному RCE.
https://www.mozilla.org/en-US/security/advisories/
Android
В последнем обновлении безопасности было исправлено 25 уязвимостей, среди которых самой значимой является CVE-2024-31320, приводящая к повышению привилегий в Android 12/12L.
https://source.android.com/docs/security/bulletin/2024-07-01