Cyber Threat Pulse
#4, January 2024
Актуальна загроза: RemcosRAT та QuasarRAT продовжують поширюватися через електронні листи
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) повідомляє про виявлення нової фішингової атаки, спрямованої на зараження комп'ютерів шкідливим програмним забезпеченням.
Атака здійснюється шляхом розсилки електронних листів з тематикою «Запитів» (наприклад, «Запит судових документів»). У тілі листа міститься вкладення у вигляді RAR- або ZIP-архіву, який може містити один із двох типів шкідливого програмного забезпечення: ● RemcosRAT — програма для віддаленого управління комп'ютером, яка дозволяє зловмисникам отримувати повний доступ до системи. ● QuasarRAT — інша програма для віддаленого управління комп'ютером, яка також дозволяє зловмисникам виконувати будь-які дії на зараженому комп'ютері.
Варто зауважити, що атаки з використанням Remcos та Quasar продовжують виникати з певною періодичністю, тому зараз треба бути особливо уважними та обережними!
Посилання на дослідження від CERT-UA: https://cert.gov.ua/article/6277063
9 нових вразливостей у прошивках UEFI загрожують мільйонам комп'ютерів та серверів
Виявлено серію із дев'яти вразливостей під назвою "PixieFail" у мережевому програмному забезпеченні, яке використовується для віддаленого запуску більшості сучасних комп'ютерів.
Хто під загрозою?
Ці вразливості впливають на пристрої, які використовують мережевий (PXE) запуск з IPv6, включно з тими, що мають BIOS від основних виробників, таких як American Megatrends Incorporated (AMI), Insyde Software Corporation, Intel, Phoenix Technologies та Microsoft.
Найчастіше PXE-запуск використовується у серверах та в хмарних середовищах, хоча це також можливо у спеціалізованих домашніх або офісних мережах зі спеціальним апаратним забезпеченням та мережевими конфігураціями. Незалежно від середовища, будь-який пристрій, що покладається на запуск через мережу, потребує заходів безпеки для зменшення потенційних ризиків.
Які потенційні наслідки атаки?
Зловмисники, які бачать трафік у мережі, можуть використовувати ці вразливості для зараження комп'ютерів шкідливим програмним забезпеченням, що запускається ще до будь-якого засобу безпеки. Завдяки цьому: ● Зловмисники можуть отримати контроль над вашим комп'ютером або сервером (виконання віддаленого коду). ● Хакери можуть вкрасти вашу інформацію (витік даних). ● Ваш комп'ютер або сервер може бути пошкоджений (відмова в обслуговуванні). ● Зловмисники можуть маніпулювати вашим інтернет-трафіком (отруєння кешу DNS та захоплення мережевої сесії).
Що слід зробити?
● Оновити прошивку UEFI: встановіть останню стабільну версію прошивки UEFI, яка містить виправлення для цих вразливостей. Дотримуйтесь інструкцій виробника вашого пристрою. ● Вимкнути запуск через мережу (PXE), якщо він не використовується у вашому середовищі. ● Використовувати мережеву ізоляцію для доступу до preboot-середовища UEFI тільки з надійних та захищених мереж. ● Захистити середовище від несанкціонованих DHCP-серверів за допомогою технологій Dynamic ARP Inspection та DHCP Snooping.
Посилання на дослідження: https://www.kb.cert.org/vuls/id/132380
Нова техніка фішингу використовує недоліки кешування засобами безпеки
Фішинг — найпоширеніший спосіб передавання шкідливого ПЗ. З розвитком технологій захисту електронної пошти хакери винаходять найрізноманітніші способи обійти безпекові заходи, наприклад:
● Шкідливе програмне забезпечення з геообмеженням: демонструє фішинговий контент цільовим країнам та залишається нешкідливим для інших. ● Маскування капчі: ховає шкідливий код від автоматичного аналізу за допомогою капчі. ● Чорні списки IP-адрес: уникає виявлення продуктами безпеки, блокуючи їм доступ до фішингових сайтів за IP-адресою. ● Маскування в QR-коді: приховує фішингові загрози за допомогою звичайних на вигляд QR-кодів. ● Trellix виявив новий спосіб обману засобів безпеки, який полягає у маніпулюванні кешем засобів безпеки.
Нове дослідження покаже: ● Як OneDrive перетворився на «троянського коня» ● Чому начебто нешкідливі посилання не такі вже й безпечні ● Критичне вікно можливостей, яке експлуатують зловмисники ● Конкретні кроки, що дозволяють посилити захист та перехитрити обхідні загрози
Посилання на дослідження: https://www.trellix.com/about/newsroom/stories/research/saints-turned-evil/
Рубрика «Час оновитися»
Microsoft ● Січневе оновлення безпеки від Microsoft усуває 49 вразливостей, з яких 12 дозволяють віддалено виконувати код. ● Дві вразливості класифіковані як критичні: обхід функції безпеки Kerberos у Windows та RCE у Hyper-V.
Chrome ● Оновлення Chrome від 16 січня 2024 р. містить 4 виправлення безпеки.
Oracle ● 16 січня Oracle випустили перший квартальний пакет оновлень безпеки за 2024 рік. Він містить виправлення для 191 вразливості (CVE) у 389 оновленнях безпеки для 26 сімейств продуктів Oracle. ● 9,5% виправлень віднесено до категорії «критичні», 49,4% — до «високого», а 36,2% — до «середнього» ступеня серйозності.
Adobe ● У січні Adobe випустили пакет виправлень, що усуває шість вразливостей (CVE) у Substance 3D Stager. ● Усі шість вразливостей оцінені як «Важливі». Найбільш серйозна з них дозволяє виконати довільний код.