Выпущен технический анализ ботнета Medusa

Эксперты из Cyble Research and Intelligence Labs (CRIL) обнаружили новую вредоносную активность ботнета Mirai. Согласно исследованию, один из вариантов Mirai способен загружать на целевое устройство под управлением ОС Linux вредоносный файл medusa_stealer.sh. Данный файл содержит команды для подключения к C&C-серверу, дальнейшей загрузки и запуска другого ботнета — Medusa. Отмечается, что Medusa может запускать DDoS-атаки, а также выполнять другие нелегитимные действия, включая кражу информации с машины жертвы.


Раскрыты детали атак с использованием программы-вымогателя ESXiArgs

Специалисты из BleepingComputer опубликовали анализ ВПО ESXiArgs, нацеленного на уязвимые сервера VMware ESXi. Программа-вымогатель шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd, .nvram на скомпрометированных серверах и создает файл .args для каждого документа. По текущим данным, для проведения атак используется уязвимость CVE-2021-21974, бюллетень по которой был выпущен CERT-FR. Для предотвращения атак рекомендуется либо отключить уязвимую службу определения местоположения (SLP) на гипервизорах ESXi, или установить последние обновления, закрывающие уязвимость CVE-2021-21974.


Уязвимость нулевого дня в ПО GoAnywhere MFT

Исследователи из Rapid7 рассказали об уязвимости в ПО для передачи файлов GoAnywhere MFT (Fortra), которая позволяет злоумышленнику удаленно внедрить код. Для успешного использования уязвимости требуется доступ к административной консоли из Интернета. В результате атаки злоумышленники получают возможность создавать новые учетные записи с правами администратора, похищать конфиденциальную информацию и использовать её с целью получения выкупа. Специалисты из Rapid7 привели способы для определения потенциально уязвимых экземпляров GoAnywhere MFT, а также предоставили рекомендации для смягчения последствий эксплуатации уязвимости.