Критические уязвимости в Citrix NetScaler

Citrix предупреждает пользователей об уязвимостях в NetScaler ADC и NetScaler Gateway, а также о существовании и распространении эксплойтов. Самая серьезная из них получила оценку 9,8 CVSS и отслеживается под идентификатором CVE-2023-3519. Для воспроизведения необходимо, чтобы уязвимое устройство было настроено как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, RDP-прокси) или как виртуальный сервер аутентификации (AAA). CISA оповестило о выявлении реальных атак с использованием данной уязвимости. Злоумышленники использовали ее для удаленного выполнения кода без аутентификации, сбора информации о конфигурации NetScaler, а также кражи данных из Active Directory. Клиентам NetScaler ADC и NetScaler Gateway с версиями до 12.1 рекомендуется установить обновления с исправлениями.

Фишинговые кампании с использованием домена zip

Компания Fortinet провела исследования нового способа обмана интернет-пользователей с использованием домена «.zip», который обычно ассоциируется с расширением сжатых файлов. В марте этого года компания Google добавила 8 новых TLD, в том числе и «.zip». Нововведение открыло злоумышленникам новые возможности для проведения фишинговых атак, что привело к множеству реальных жертв. Чтобы защититься, эксперты FortiGuard Labs советуют пользователям блокировать домены «.zip» на своих брандмауэрах, использовать веб-фильтры и браузерные расширения для проверки сайтов, а также всегда проверять URL-адреса перед тем, как на них переходить, особенно если их отправил посторонний пользователь.

Разбор техник APT Space Pirates

Специалисты Positive Technologies Expert Security Center выявили ранее неизвестную APT-группировку, которой удавалось оставаться незамеченной с 2017 года. В компании ей дали имя Space Pirates в честь первой выявленной атаки на авиационно-космический сектор и строки P1Rat, которую хакеры использовали в PDB-путях. Основными целями злоумышленников являются шпионаж и кража конфиденциальной информации. Они продолжают наращивать активность в отношении российских компаний. Группировка обладает внушительным арсеналом вредоносного ПО, что и позволяло ей оставаться незамеченной. Positive Technologies поделилась подробным анализом техник, используемых группировкой, а также списком YARA-правил и различными индикаторами компрометации.

Утечка данных VirusTotal

Инцидент, который включает в себя утечку базы данных из 5600 Premium-аккаунтов, был впервые раскрыт немецкими изданиями Der Spiegel и Der Standard. Компания Google, которой принадлежит сервис, подтвердила утечку и предприняла немедленные шаги для удаления данных. В утечке были замечены учетные записи, связанные с официальными органами США, такими как Министерство юстиции, Федеральное бюро расследований (FBI) и Агентство национальной безопасности (NSA). В пятницу VirusTotal сообщила, что утечка произошла по вине сотрудника, который 29 июня 2023 года случайно загрузил на платформу CSV-файл. Сам файл был доступен только ее партнерам и корпоративным клиентам.

WyrmSpy и DragonEgg: новые инструменты слежки и шпионажа

В отчете Lookout проанализирована новая угроза для пользователей Android. Wyrmspy и Dragonegg — это шпионские вредоносные программы, которые в результате расследования вывели к группировке APT41. Связь ВПО с известной группировкой подтверждается использованием одного и того же C2-сервера. Закрепившись в системе, ВПО запрашивают необходимые разрешения и крадут фото, геоданные, SMS и записи телефонных звонков пользователей. WyrmSpy в основном маскируется под системные приложения, в то время как DragonEgg притворяется сторонней клавиатурой или мессенджерами. По словам исследователей, Wyrmspy и Dragonegg были обнаружены на устройствах в разных странах, что свидетельствует о глобальном масштабе деятельности APT41 и их интересах к различным секторам.