Дайджест Jet CSIRT [07.02.2023]

Выпущен технический анализ ВПО Cl0p

Эксперты из SentinelLabs обнаружили новый вариант программы-вымогателя Cl0p, нацеленный на серверы под управлением ОС Linux. При запуске Cl0p создается новый процесс, который пытается повысить разрешения до уровня, позволяющего шифровать файлы в системе. Согласно исследованию, данное ВПО шифрует содержимое следующих директорий: /opt, /home, /root, а также каталоги Oracle (/u01 — /u04). Отмечается, что в механизме шифрования присутствует недостаток, благодаря которому расшифровка файлов возможна, но занимает продолжительное время.

Раскрыты детали атак с использованием уязвимостей в ПО Sunlogin

Специалисты из центра экстренного реагирования AhnLab Security (ASEC) предоставили отчет о деталях хакерской кампании, направленной на устройства под управлением ОС Windows. Атака начинается с эксплуатации RCE-уязвимостей CNVD-2022-10270 / CNVD-2022-03672 в ПО для удаленного управления Sunlogin с последующим выполнением вредоносного сценария PowerShell. Также в ходе атаки злоумышленники используют ВПО Mhyprot2DrvControl для отключения функций безопасности и инструмент для тестирования Sliver. В результате эксплуатации уязвимостей злоумышленники получают возможность выполнять нелегитимные действия с привилегиями уровня ядра. Для предотвращения подобных атак рекомендуется установить последнюю версию ПО Sunlogin, уязвимость в которой уже исправлена.

Представлен детальный анализ ВПО-вымогателя EXSiArgs

Ранее BleepingComputer уже сообщали об атаках с использованием ESXiArgs на серверы VMware ESXi. Теперь специалисты из Cyble Research and Intelligence Labs (CRIL) опубликовали подробный анализ ESXiArgs. Согласно отчету, механизм работы ВПО включает в себя различные операции, такие как: изменение файлов конфигурации, шифрование файлов, подмена файлов в каталоге /etc. Сообщается, что около 1000 серверов ESXi по всему миру пострадали от программы-вымогателя ESXiArgs. Специалисты рекомендуют обновить VMware ESXi до актуальной версии, а также удалить файл /store/packages/vmtools.py, если он присутствует в системе.

Дайджест Jet CSIRT

Другие дайджесты

Дайджест Jet CSIRT 08.07-15.07.2024

Дайджест Jet CSIRT 01.07-08.07.2024

Дайджест Jet CSIRT 24.06-01.07.2024