Zero Day Initiative опубликовала исследование уязвимостей Apache Batik
Специалисты Zero Day Initiative обнаружили уязвимости в элементах управления безопасностью Apache Batik. Исследователи сообщили, что одной из главных проблем данной библиотеки является подверженность подделке запросов на стороне сервера (SSRF). Злоумышленник может обойти проверку безопасности с помощью извлечения и подмены JAR-файла из URL-адреса. Далее вредоносный файл .svg обходит проверку на безопасность и отравляет HTTP GET-запрос на сервер злоумышленника. После получения ответа от сервера в виде NTLMv2 у злоумышленника появляется возможность реализовать ретрансляционную NTLM-атаку.
SecureList опубликовала исследование ВПО LODEINFO
Исследователи SecureList опубликовали отчёт о деятельности группировки Cicada. Специалисты сообщили, что злоумышленники используют антивирусное ПО для установки новой версии LODEINFO. Вредоносное ПО доставляется на устройство жертвы в виде RAR-архива, содержащего исполняемый файл антивирусной программы K7Security Suite и вредоносную DLL-библиотеку. При запуске исполняемого файла осуществляется загрузка библиотеки, в которой содержится LODEINFO. Поскольку вредоносные файлы загружаются с использованием легитимного антивирусного ПО, система защиты устройства не может выявить данную угрозу.
Специалисты DFIR Report в своём отчёте описали цепочку компрометации, используемую группировкой Qbot, от эксплуатации Follina (CVE-2022-30190) до компрометации домена. Исследователи сообщили, что злоумышленник получал начальный доступ к устройству жертвы с помощью заражённого Word-документа. После запуска вредоносного файла с удалённого сервера загружался HTML-файл c полезной нагрузкой PowerShell. Полезная нагрузка использовалась для скачивания DLL-библиотек группировки Qbot, которые затем запускались с помощью regsvr32.exe и внедрялись в легитимные процессы на устройстве жертвы. В качестве механизма закрепления группировка Qbot использовала создание запланированных задач, включающих PowerShell-команды для подключения к C2-серверам.