Cisco предупреждает о критических уязвимостях RCE
Компания Cisco сообщила о четырех новых уязвимостях CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 и CVE-2023-20189 с общедоступным кодом эксплойта. Эти уязвимости затрагивают коммутаторы Cisco Small Business различных версий и вызваны неправильной проверкой запросов, отправляемых на веб-интерфейсы устройств. Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, выполнить произвольный код с привилегиями root на скомпрометированных коммутаторах или вызвать отказ в обслуживании. Рекомендуется применить обновления, закрывающие уязвимости.
Новая программа-вымогатель CryptNet
Исследователи Zscaler ThreatLabz выпустили технический анализ нового вымогателя CryptNet. ВПО использует ту же кодовую базу, что и семейства программ-вымогателей Chaos и Yashma, однако у него увеличена производительность шифрования. Операторы CryptNet извлекают данные перед шифрованием и выкладывают их на сайте, размещенном в сети Tor. В отчете представлены подробности обфускации кода и индикаторы компрометации.
Расширения VSCode крадут данные и заражают компьютеры
Специалисты CheckPoint обнаружили вредоносные расширения на площадке Visual Studio Code с общим количеством установок 45 000. Расширения Prettiest Java и Theme Darcula dark предназначены для кражи учетных данных, а расширение Python-vscode — для загрузки на машину удаленной оболочки. Также было обнаружено несколько подозрительных шаблонов кода, которые потенциально могут использоваться для заражения, однако подтверждений эксплуатации пока нет. На данный момент вредоносные расширения удалены командой VSCode.
Группировка Lemon Group продает зараженные устройства
Исследователи Trend Micro раскрыли вредоносную кампанию Lemon Group с использованием ВПО Guerilla, благодаря которому злоумышленникам удалось заразить почти 9 миллионов девайсов по всему миру. Зараженные устройства превращаются в мобильные прокси, инструменты для кражи и продажи SMS-сообщений, аккаунтов в социальных сетях и мессенджерах, а также для монетизации с помощью рекламы и мошенничества. Среди возможных вариантов компрометации исследователи выделяют: атаки на цепочку поставок, скомпрометированное стороннее ПО, скомпрометированный процесс обновления прошивки или привлечение инсайдеров к производству продукта.
Выпущен анализ вредоноса, заражающего роутеры TP-Link
В ходе расследования кампании Camaro Dragon исследователи обнаружили новую вредоносную прошивку, предназначенную для роутеров TP-Link. Имплантат содержит несколько вредоносных компонентов, в том числе специальный бэкдор Horse Shell, который позволяет злоумышленникам поддерживать постоянный доступ, создавать анонимную инфраструктуру и обеспечивать возможность бокового перемещения в скомпрометированных сетях. Компоненты имплантата могут быть интегрированы в прошивки различных поставщиков. Бэкдор нацелен на произвольные устройства в домашних сетях, предполагая, что скомпрометированные маршрутизаторы будут объединяться в ячеистую сеть с целью создания цепочки узлов.