Cyber Threat Pulse
#3, December 2023
Проросійські хакери експлуатують Outlook для злому поштових облікових записів
Polish Cyber Command (DKWOC) повідомляє, що проросійські Forest Blizzard* активно експлуатують уразливість у Microsoft Outlook (CVE-2023-23397) для отримання несанкціонованого доступу до облікових записів електронної пошти на серверах Exchange.
Останніми місяцями угруповання було пов'язане з атаками на різні організації в Україні та Франції, а також з використанням уразливості WinRAR (CVE-2023-38831) для крадіжки облікових даних браузера. *Forest Blizzard — це спонсорований російською державою суб'єкт загроз, який насамперед націлений на уряди, енергетичні, транспортні та неурядові організації в Європі, США та на Близькому Сході.
DKWOC надає докладні рекомендації щодо виявлення та усунення вразливості:
https://www.wojsko-polskie.pl/woc/articles/aktualnosci-w/detecting-malicious-activity-against-microsoft-exchange-servers/
Фішингові листи від імені СБУ: дослідження CERT-UA
За останній місяць СERT-UA виявив численні факти розсилки фішингових листів із вкладеним архівом RAR, що містить у собі програму для віддаленого управління RemcosRAT*.
Зловмисники (UAC-0050) використовують різні методи для введення своїх жертв в оману. Наприклад вони відправляють листи від імені СБУ України та використовують теми «Повістка до суду», «Судові претензії» тощо. Також було помічено, що для розсилки фішингових листів були використані скомпрометовані поштові акаунти, зокрема у домені gov.ua. Варто з обережністю поводитись із будь-якими листами, особливо тими, що містять вкладення!
*RemcosRAT — це комерційний інструмент віддаленого доступу (RAT). Хоч Remcos і позиціонується як правомірне рішення для віддаленого керування, спостереження і навіть тестування на проникнення, воно здобуло лиху славу через свою причетність до численних хакерських кампаній. Дослідження CERT-UA:
https://cert.gov.ua/article/6276652, https://cert.gov.ua/article/6276567, https://cert.gov.ua/article/6276351
Рубрика «Час оновитися»
Безпека програмного забезпечення є наріжним каменем інформаційної безпеки в цілому. Відсутність своєчасних оновлень ПЗ може використовуватися зловмисниками для крадіжки конфіденційної інформації, порушення роботи систем, заподіяння матеріальних та репутаційних збитків.
Ми підготували список програмного забезпечення, яке отримало оновлення для усунення критичних уразливостей.
Оновлення Patch Tuesday:
Apple. Випущено оновлення для iOS та iPadOS, що виправляють 8 CVE. Дві з цих CVE в Webkit активно експлуатуються на iOS 16.7.1 та ранніх версіях.
Adobe. Випущено 9 патчів, що виправляють 212 CVE у різних продуктах. 186 із цих CVE в Experience Manager є вразливими XSS з рівнем серйозності "Important". Уразливості в After Effects мають рівень серйозності "Critical" і можуть дозволяти виконувати довільний код. Уразливості в Illustrator та Substance 3D Sampler також мають рівень серйозності "Critical" і можуть призводити до виконання довільного коду.
Microsoft. Випущено 33 нових патчі, що виправляють 33 CVE. Ці CVE стосуються таких продуктів: Windows, MS Office, Azure, MS Edge (Chromium-based), Windows Defender, Windows DNS і DHCP-сервер, MS Dynamic. На додаток до цих CVE випуск також містить виправлення для декількох вразливостей Chromium, тож загальна кількість виправлень CVE — 42.
https://www.zerodayinitiative.com/blog/2023/12/12/the-december-2023-security-update-review
Критична вразливість RCE у Struts 2
У відкритій платформі вебдодатків Struts 2 виявлено критичну вразливість CVE-2023-50164, яка може призвести до виконання довільного коду.
Хакер може скористатися вразливістю, щоб завантажити на сервер шкідливий файл, який потім буде виконано в контексті вебпрограми. Це може дозволити нападнику отримати повний контроль над сервером. Вразливість виправлена у Struts версії 2.5.33 та 6.3.0.2 або вище.
https://cwiki.apache.org/confluence/display/WW/S2-066
Оновлення WordPress виправляє критичну вразливість
WordPress випустив оновлення 6.4.2 для усунення критичної вразливості, яка дозволяє зловмисникам захопити контроль над вразливим сайтом. Для цього зловмисники повинні об'єднати цю вразливість з іншою помилкою (вразливістю впровадження об'єкта PHP), яка є в будь-якому іншому плагіні або темі.
https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/