Команда Iron Tiger распространяют Linux-версию своей вредоносной программы SysUpdate

Согласно новому отчету Trend Micro, хакерская группировка APT27, также известная как «Iron Tiger», подготовила новую версию своей вредоносной программы SysUpdate для Linux. ВПО представляет собой исполняемый файл ELF и использует общие ключи сетевого шифрования и функции обработки файлов со своим аналогом для Windows. Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: закрепление в системе, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т.д. Одной из новых функций варианта SysUpdate для Linux является туннелирование DNS. ВПО получает информацию о DNS из файла «/etc/resolv.conf», чтобы извлечь IP-адрес системного DNS по умолчанию, который может использоваться для отправки и получения DNS-запросов. Если это не удается, вредонос использует DNS-сервер Google по адресу 8.8.8.8. Такая система может помочь вредоносу обойти брандмауэры или инструменты сетевой безопасности, которые могут быть настроены на блокировку всего трафика за пределами определенного списка разрешенных IP-адресов.


Cisco исправила критические уязвимость в ряде своих IP-телефонов

Cisco выпустила обновления безопасности для устранения критической уязвимости, влияющей на её IP-телефоны серий 6800, 7800, 7900 и 8800. Уязвимость, отслеживаемая под идентификатором CVE-2023-20078, имеет рейтинг 9,8 из 10 в системе оценки CVSS и описывается как «ошибка внедрения команды в веб-интерфейсе управления, возникающая из-за недостаточной проверки введенных пользователем данных». Успешное использование данной уязвимости может позволить удаленному неавторизованному злоумышленнику выполнять произвольные команды с наивысшими привилегиями в операционной системе. Cisco также исправила DoS-уязвимость высокой критичности, затрагивающую тот же набор устройств, а также унифицированный IP-телефон для конференц-связи Cisco 8831 и 7900.


Новый бэкдор MQsTTang от Mustang Panda

Исследователи ESET проанализировали MQsTTang, новый специальный бэкдор, который приписывается APT-группе Mustang Panda. MQsTTang позволяет злоумышленнику выполнять произвольные команды на машине жертвы. Одной из его характеристик является использование протокола MQTT для связи с C&C. MQTT обычно используется для связи между IoT-устройствами и контроллерами, и этот протокол не использовался во многих общедоступных семействах вредоносных программ. MQsTTang распространяется в архивах RAR, которые содержат только один исполняемый файл. Эти исполняемые файлы обычно имеют имена, связанные с дипломатией и паспортами, что позволяет предположить, что вредоносное ПО распространяется с помощью целевого фишинга. В отчете представлен технический разбор ВПО на стадиях взаимодействия с C&C(Command and Control Server), копирования и записи своих фрагментов на жестком диске и закрепления в системе.