Группировка APT42 следит за пользователями Android

Хакерская группировка APT42 использует специализированное ранее неизвестное вредоносное ПО для устройств под управлением ОС Android. В своем исследовании Mandiant отмечает, что деятельность APT42 соответствует группировке ITG18 (также известна как TA453, Phosphorus, Charming Kitten). С 2015 года группа провела более 30 целевых кампаний. APT42 использовала фишинг для сбора учетных данных и установки шпионских программ на Android-смартфоны, которые они затем используют для отслеживания местонахождения и мониторинга связи.

Shikitega использует многоступенчатую цепочку заражения для максимальной скрытности

Специалисты AT&T обнаружили очень скрытное ВПО, заражающее устройства на Linux. Shikitega использует многоступенчатую схему заражения, доставляя нагрузку по несколько сотен байт за шаг. Для еще большего снижения шанса обнаружения, зловред использует криптор Shikata Ga Nai. Он обеспечивает полиморфизм, позволяя защитить код от статического анализа на основе сигнатур. В качестве бэкдора используется Mettle, облегченный вариант Meterpreter, с дальнейшей эксплуатацией CVE-2021-4034 и CVE-2021-3493. Shikitega нацелен на установку криптомайнера, однако может использоваться и для доставки более опасной нагрузки.

В плагине для WordPress исправили активно эксплуатирующуюся 0-day уязвимость

Уязвимость CVE-2022-31474 в плагине BackupBuddy активно эксплуатировалась с 27 августа 2022 года. За это время команда Wordfence зафиксировали почти 5 млн. попыток эксплуатации, основная масса атак велась с IP-адреса 195.178.120[.]89. Уязвимость позволяет без аутентификации загружать с сайта произвольные файлы, поскольку для локальной резервной копии не проверялись права доступа.