ВПО CloudSorcerer угрожает российским государственным структурам
Специалисты из Лаборатории Касперского опубликовали технический анализ ВПО CloudSorcerer, которое нацелено на российские государственные структуры. ВПО CloudSorcerer обладает мощным инструментарием для скрытого мониторинга, сбора данных и эксфильтрации через облачную инфраструктуру Microsoft Graph, Yandex Cloud и Dropbox. В качестве серверов управления и контроля (C2) используются облачные ресурсы, а исходным сервером C2 является GitHub. Отмечается, что CloudSorcerer может динамически адаптировать свое поведение в зависимости от процесса, в котором он запущен, что значительно расширяет функционал. В отчете также приводятся индикаторы компрометации, которые характерны для активности CloudSorcerer. Для защиты от атак подобного класса рекомендуется поддерживать базы АВПО в актуальном состоянии и своевременно блокировать нелегитимные сетевые взаимодействия.
Уязвимость в Windows MSHTML
Специалисты из Check Point Research обнаружили, что уязвимость CVE-2024-38112 (CVSS: 7.5) активно используется злоумышленниками. Уязвимость связана с MHTML-файлами и возможностью использования устаревшего браузера Internet Explorer (IE). MHTML — это формат веб-страниц IE, который инкапсулирует всю страницу, включая ее изображения, в один архив. При открытии URL-адреса с помощью конструкции mhtml:URI Windows автоматически откроет его в Internet Explorer вместо браузера по умолчанию. И при наличии файла, указанного в URL, предложит загрузить содержимое. Это позволяет злоумышленникам создавать подменные URL для доставки вредоносного файла на компьютер пользователя. Для исправления проблемы рекомендуется установить последние обновления безопасности для Windows.
Уязвимость в протоколе RADIUS
Команда исследователей из Microsoft, BastionZero, Centrum Wiskunde & Informatica, Калифорнийского и Бостонского университетов сообщила о недостатке в протоколе RADIUS. Уязвимость, которая получила идентификатор CVE-2024-3596 (CVSS: 8.1), позволяет злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети. Эта техника атаки получила название Blast-RADIUS и позволяет использовать метод man-in-the-middle между клиентом и сервером RADIUS, при этом подделывая ответное сообщение на неуспешный запрос аутентификации. Такая подмена предоставляет доступ к сетевым устройствам и службам пользователя. Для исправления проблемы рекомендуется установить последние патчи безопасности, а также обязать клиенты и серверы всегда отправлять и требовать Message-Authenticator-атрибуты для всех запросов и ответов.
Обновления безопасности для Citrix NetScaler
Специалисты Citrix выпустили обновления безопасности для устранения критических уязвимостей в продукте NetScaler. Наиболее серьезной исправленной проблемой является ошибка авторизации, отслеживаемая как CVE-2024-6235 (оценка CVSS 9.4). Злоумышленник, который имел доступ к IP-адресу консоли NetScaler, мог воспользоваться уязвимостью для доступа к конфиденциальной информации. Еще одна устраненная уязвимость — CVE-2024-6236 (оценка CVSS 7.1) — приводила к отказу в обслуживании. Две другие исправленные уязвимости — CVE-2024-6151 (оценка CVSS 8.5) и CVE-2024-6286 (оценка CVSS 8.5) — связаны с возможностью локального повышения привилегий до уровня системы. Рекомендуется установить последние обновления для продукта Citrix NetScaler для применения исправлений.
Обновленная версия ВПО ViperSoftX
Исследователи из Trellix рассказали об обновленном варианте ВПО ViperSoftX. Отличительным аспектом текущего варианта ViperSoftX является использование фреймворка Common Language Runtime (.NET CLR) для динамической загрузки и запуска команд PowerShell. Фреймворк .NET CLR используется совместно со средой AutoIt, благодаря чему злоумышленник получает возможность использовать расширенный функционал PowerShell. Это позволяет выполнять вредоносные функции в целевой среде, избегая механизмов обнаружения. Также отмечается, что ВПО ViperSoftX продолжает активно развиваться и с каждым обновлением получает новые способы распространения. Для противодействия аналогичным ВПО рекомендуется использовать средства АВПО с актуальным состоянием антивирусных баз и модулем эвристического анализа.