Cyber Threat Pulse
#11, September 2024
Хакери з Північної Кореї розповсюджують шкідливе програмне забезпечення через пакети Python
Дослідники Palo Alto Networks Unit 42 виявили нову шкідливу кампанію з використанням заражених Python-пакетів, яка спрямована на розробників програмного забезпечення. У рамках цієї кампанії зловмисники, пов'язані з північнокорейським угрупуванням Gleaming Pisces (вона ж Citrine Sleet), розповсюджували шкідливі пакети через популярний репозиторій PyPI. Як результат, операційні системи Linux і macOS стали вразливими до таких троянських програм, як PondRAT і POOLRAT.
Основною метою атаки була компрометація ланцюжків постачань через зараження робочих пристроїв розробників, що дозволяє отримати доступ до систем клієнтів. Зловмисники завантажили кілька заражених пакетів на PyPI, таких як real-ids та beautifultext, що після встановлення завантажували та виконували шкідливе ПЗ на цільових системах.
Ця кампанія становить значну загрозу для організацій, оскільки використання легітимних на вигляд Python-пакетів ускладнює виявлення атак і може призвести до компрометації всієї мережі.
Повне дослідження Unit42: https://unit42.paloaltonetworks.com/gleaming-pisces-applejeus-poolrat-and-pondrat/
Попередня версія оновлень Windows викликає проблеми із завантаженням ОС
Попередній реліз оновлення KB5043145 для Windows 11, випущений Microsoft у вересні 2024 року, викликає серйозні проблеми, включно з циклами перезавантаження та синіми екранами. Ці системи можуть входити в цикли автоматичного перезапуску або припиняти реагувати на запити, а деякі користувачі також стикаються з запитами на відновлення BitLocker. У відповідь на ці проблеми може активуватися інструмент автоматичного відновлення.
Наразі Microsoft проводить розслідування проблеми та рекомендує постраждалим користувачам надсилати повідомлення через центр зворотного зв'язку. Подібні проблеми із завантаженням та зависанням Windows були закриті в попередніх оновленнях, також були виправлені помилки у роботі систем із подвійним завантаженням та помилки у попередніх оновленнях безпеки.
Докладніше: https://support.microsoft.com/en-us/topic/september-26-2024-kb5043145-os-builds-22621-4249-and-22631-4249-preview-71ee16f6-9a39-4569-937c-fe0fd8577285
Еволюція Ransomware Kryptina та Mallox
Дослідники SentinelLabs виявили, що угруповання Mallox (також відоме як TargetCompany) використовує змінену версію ransomware Kryptina для атак на Linux-системи. Kryptina, спочатку запропонована як недорога платформа класу «ransomware як послуга» (RaaS) наприкінці 2023 року, не могла не привернути увагу кіберзлочинців. У лютому 2024 року її вихідний код було безплатно викладено на форумах хакерів.
У травні 2024 року витік даних на сервері одного з афіліатів Mallox показав, що Kryptina була інтегрована в їхні інструменти, а нова версія, перейменована в "Mallox Linux 1.0", використовує той самий механізм шифрування та базовий функціонал Kryptina. SentinelLabs підкреслили, що Mallox активно атакує вразливі сервери Linux та VMWare ESXi, що ставить під загрозу підприємства з великими IT-інфраструктурами.
Повне дослідження SentinelLabs: https://www.sentinelone.com/labs/kryptina-raas-from-unsellable-cast-off-to-enterprise-ransomware/
Рубрика «Час оновитися»
Microsoft
Microsoft усунула 79 вразливостей у цьому оновленні Patch Tuesday, включно з сімома критичними та чотирма вразливостями нульового дня. Найважливіші оновлення:
● CVE-2024-43491 – Критична вразливість віддаленого виконання коду (RCE) у сервісній системі Windows 10. Виявлено експлуатацію через відкат виправлень в оновленнях. Нападники можуть використовувати цю вразливість через мережу без взаємодії з користувачем. ● CVE-2024-38014 – Вразливість Windows Installer з підвищенням привілеїв рівня SYSTEM. Має значні ризики для корпоративних систем. ● Вразливості SharePoint (CVE-2024-38018 та CVE-2024-43464) – Обидві дозволяють виконання віддаленого коду через небезпечну десеріалізацію даних з різними вимогами щодо привілеїв, що може призвести до компрометації системи та витоку даних. ● Вразливості SQL Server – Декілька проблем, що призводять до виконання довільного коду з використанням методів пошкодження пам'яті, таких як переповнення буфера на основі купи та читання за межами масиву.
Google Chrome
У новій версії Chrome (128) була виправлена вразливість CVE-2024-7965 (CVSS 8.8), пов'язана з двигуном JavaScript V8. Вона дозволяє зловмисникам віддалено провокувати пошкодження купи пам'яті, використовуючи спеціально створені HTML-сторінки, що може призвести до виконання коду або доступу до конфіденційних даних. Вразливість стосується також браузерів на базі Chromium, таких як Edge та Opera. Були зафіксовані атаки з використанням цієї вразливості.
Mozilla Firefox
У Firefox версії 130 усунуто 13 вразливостей, 7 з яких мають високий рівень ризику. Основні проблеми пов'язані з пошкодженням браузера, що може призвести до виконання довільного коду.
Adobe
Adobe випустила оновлення, що виправляє 72 вразливості, зокрема критичні RCE в Acrobat Reader та Adobe Commerce. Найбільш серйозна вразливість CVE-2024-39397 має оцінку CVSS 9.0.
Fortra FileCatalyst
Виявлено критичну вразливість CVE-2024-6633 (CVSS 9.8) у FileCatalyst Workflow, пов'язану з наявністю пароля в коді програми, що дає можливість зловмисникам отримати доступ до бази даних та повні права адміністратора. Рекомендовано негайне оновлення до версії 5.1.7.