КОНСУЛЬТАЦІЯ

UA

КОНСУЛЬТАЦІЯ

UA

Cyber Threat Pulse

#9, July 2024

Кіберзлочинці використовують паніку: атаки після збою CrowdStrike

19 липня компанія CrowdStrike випустила оновлення для Falcon Sensor, яке спричинило масштабний збій систем з ОС Windows. Помилка оновлення викликала появу «синього екрана смерті» (BSOD) на мільйонах комп'ютерів, включно з тими, що використовуються в критично важливих сферах, таких як охорона здоров'я та фінанси.  
Кіберзлочинці швидко скористалися хаосом, спричиненим невдалим оновленням CrowdStrike. Серед шкідливої активності можна виокремити фішингові кампанії та поширення шкідливого програмного забезпечення під виглядом легітимних інструментів відновлення.  
1. Remcos RAT під виглядом хотфіксу: Зловмисники розповсюджують ZIP-архів під назвою "crowdstrike-hotfix.zip", який містить завантажувач шкідливого програмного забезпечення під назвою HijackLoader. Цей завантажувач, своєю чергою, встановлює на заражені пристрої інструмент віддаленого управління Remcos RAT. Цілями цієї кампанії були переважно клієнти CrowdStrike з Латинської Америки, про що свідчили інструкції іспанською мовою, які також були в архіві. 
https://x.com/g0njxa/status/1814564408846147830 
2. Шпигунське програмне забезпечення Daolpu: Інша хакерська кампанія будувалась на відправці фішингових листів із вкладеним шкідливим документом, замаскованим під посібник з відновлення від Microsoft. Цей документ містить макроси, які під час активації завантажують інфостілер Daolpu. Він краде облікові дані, історію та файли автентифікації з популярних браузерів, включно з Chrome, Edge та Firefox.  
https://www.crowdstrike.com/blog/fake-recovery-manual-used-to-deliver-unidentified-stealer/ 
3. Знищувач даних від Handala: Проіранська хакерська група Handala під виглядом офіційних оновлень CrowdStrike поширювала шкідливе програмне забезпечення, призначене для знищення даних на заражених системах. Хакери маскувались під представників CrowdStrike, розсилаючи фішингові листи з підробленого домену "crowdstrike[.]com[.]vc". У цих листах містяться PDF-документи з інструкціями із запуску помилкового оновлення та посиланнями на шкідливі ZIP-архіви. Під час запуску виконуваного файлу "Crowdstrike.exe", що зберігається всередині архіву, починалося знищення даних на пристрої.  
https://x.com/anyrun_app/status/1814658084460957890 

Нові вразливості в OpenSSH дозволяють виконувати команди від імені root

1 липня 2024 року була розкрита вразливість в OpenSSH з високим рівнем серйозності (CVSS 8.1), яка отримала назву "regreSSHion" (CVE-2024-6387). Вона стосується Linux-системи на основі glibc і може призвести до виконання віддаленого коду (RCE) з привілеями root. Станом на 2 липня 2024 року Palo Alto Networks повідомляє про більш ніж 7 мільйонів вразливих екземплярів OpenSSH по всьому світу. 
Вразливість стосується:  
● Версій OpenSSH від 8.5p1 до 9.8p1  ● Версій, старших 4.4p1, якщо вони не були виправлені для CVE-2006-5051 або CVE-2008-4109  
Також було виявлено іншу вразливість в OpenSSH, що відстежується як CVE-2024-6409 (CVSS 7.0). Вона стосується лише версій 8.7p1 і 8.8p1, що поставляються з Red Hat Enterprise Linux 9.  
Для усунення цих вразливостей необхідно оновити OpenSSH до версії 9.8p1 або вище. Також рекомендується контролювати з'єднання за протоколом SSH за допомогою брандмауерів та сегментувати мережу, щоб запобігти несанкціонованому доступу та переміщенню периметром організації.  
https://unit42.paloaltonetworks.com/threat-brief-cve-2024-6387-openssh/  

Рубрика «Час оновитися»

Microsoft
У липневому Patch Tuesday Microsoft виправила 142 вразливості, з яких 5 є критичними.  
● Hyper-V: Виявлено вразливість нульового дня (CVE-2024-38080), що дозволяє зловмиснику з локальним доступом підвищити привілеї до рівня системи.  ● MSHTML: Виявлено вразливість нульового дня (CVE-2024-38112), що дозволяє зловмисникам підробляти вебконтент.  ● .NET та Visual Studio: Виявлено вразливість віддаленого виконання коду (CVE-2024-35264) через помилку використання звільненої пам'яті.  ●  Windows Remote Desktop Licensing Service: Виявлено дві критичні вразливості віддаленого виконання коду (CVE-2024-38076 та CVE-2024-38077) через переповнення буфера.  
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul  
 Google Chrome
У нещодавньому оновленні для Chrome, Google закрила безліч вразливостей, серед яких можна виокремити:  
● CVE-2024-6100: Вразливість типу Confusion у JavaScript-рушії V8, що може призвести до збоїв та віддаленого виконання коду.  ● CVE-2024-6101: Помилка реалізації WebAssembly, що дозволяє запуск неавторизованого коду.  ● CVE-2024-6102 & CVE-2024-6103: Проблеми з доступом за межі допустимого діапазону та помилка Use After Free у Dawn API.  ● Нова вразливість нульового дня: Sandbox Escape RCE, яка може призвести до віддаленого виконання коду. Вразливість продається в даркнеті за $1 млн у криптовалюті. Наразі немає доступного виправлення.  
Рекомендується оновити Chrome до версій 126.0.6478.114/115 для Windows та Mac, а також 126.0.6478.114 для Linux  
https://chromereleases.googleblog.com/2024/07/stable-channel-update-for-desktop_23.html  
 Mozilla Firefox
У Firefox-версії 128 було виправлено 20 проблем із безпекою браузера. Серед них можна виокремити:  
● CVE-2024-6605: Помилка затримки активації у Firefox для Android, що дозволяє здійснювати атаки tapjacking.  ● CVE-2024-6606: Читання буфера обміну за межами пам'яті, що відкриває доступ до конфіденційних даних.  ● CVE-2024-6609: Пошкодження пам'яті в бібліотеці NSS, що призводить до потенційного виконання коду.  ● CVE-2024-6600: Пошкодження пам'яті в WebGL API, що призводить до збоїв та можливого RCE.  
https://www.mozilla.org/en-US/security/advisories/  
 Android
В останньому оновленні безпеки було виправлено 25 вразливостей, серед яких найбільш значущою є CVE-2024-31320, що призводить до підвищення привілеїв Android 12/12L.  
https://source.android.com/docs/security/bulletin/2024-07-01  

Є питання до наших експертів? 

Заповніть форму, і наші фахівці зв'яжуться з вами протягом 2-х робочих днів. 

Заповнити форму