Опубликовано экстренное обновление для исправления 0-day в Chrome
Google выпустила обновление безопасности для своего веб-браузера Chrome, чтобы устранить высокоуровневую zero-day уязвимость, которая активно эксплуатируется в реальных условиях. Уязвимость CVE-2023-7024 (CVSS: 8.8) описана как ошибка переполнения буфера кучи в рамках фреймворка WebRTC. Этот недостаток безопасности может привести к сбоям программы или выполнению произвольного кода. Другие детали пока не раскрываются, чтобы предотвратить дальнейшее злоупотребление. В Google подтверждают, что эксплойт для CVE-2023-7024 уже существует и активно используется в реальных атаках. Всем пользователям Chrome на любых платформах рекомендуется проверить версию браузера и обновиться в случае наличия доступного обновления. Безопасными на данный момент считаются версии 120.0.6099.129 и свежее. Пользователям браузеров на базе Chromium, таких как Яндекс.Браузер, Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Шпионы из Cloud Atlas атакуют российские компании под видом благотворительной акции
Компания F.A.C.C.T. выявила очередные кибератаки на российские организации, проводимые хакерской группировкой Cloud Atlas. Она известна как государственная APT-группа, которая занимается кибершпионажем и кражей конфиденциальных данных. По данным исследователей, она ведет активную деятельность как минимум с 2014 года. Основной метод атак — целевые электронные письма с вредоносными вложениями. Чаще всего объектами атак Cloud Atlas становились промышленные и государственные компании в России, Беларуси, Азербайджане, Турции и Словении. Например, в одном из писем от имени представителя Московской городской организации Общероссийского профессионального союза работников государственных учреждений хакеры предлагали собрать открытки и поздравления для военнослужащих и членов их семей. При этом контактные данные в письмах оказались подлинными, и их можно найти в свободном доступе. Индикаторы компрометации, технический анализ новых атак Cloud Atlas и TTPs описаны в блоге компании.
Core Werewolf атакует объекты отечественной критической инфраструктуры
Исследователи из BI.ZONE Threat Intelligence сообщают о новых атаках группировки Core Werewolf, нацеленной на объекты отечественной критической инфраструктуры. Целью группы является кибершпионаж. На этот раз злоумышленники отправили письмо с прикрепленным архивом UKAZ.PDF.ZIP, который содержал исполняемый файл «О предоставлении информации по согласованию и наградам.exe». Этот исполняемый файл представляет собой самораспаковывающийся архив, который при выполнении создает на устройстве жертвы документ в формате PDF или Microsoft Word. В предпоследней обнаруженной кампании это был документ, содержащий текст приказа заместителя генерального директора известной промышленной компании. Параллельно в фоновом режиме устанавливался легитимный инструмент UltraVNC, предоставляя злоумышленнику полный контроль над скомпрометированным устройством. Core Werewolf активен как минимум с декабря 2021 года, а его полная история и TTPs описаны в статье.
Microsoft сообщает о критической RCE-уязвимости в Perforce Helix Core Server
Эксперты Microsoft обнаружили четыре уязвимости в Perforce Helix Core, популярной системе контроля версий, широко используемой в правительстве, армии, технологиях и пр.. В основном обнаруженные проблемы связаны с провоцированием отказа в обслуживании (DoS):
-
CVE-2023-5759 (CVSS: 7,5) — неаутентифицированный DoS через злоупотребление заголовками RPC;
-
CVE-2023-45849 (CVSS: 9,8) — удаленное выполнение кода без аутентификации от имени LocalSystem;
-
CVE-2023-35767 (CVSS: 7,5) — неаутентифицированный DoS через удаленную команду;
-
CVE-2023-45319 (CVSS: 7,5) — неаутентифицированный DoS через удаленную команду.
Наиболее опасная уязвимость — CVE-2023-45849 — позволяет удаленно выполнять код от лица LocalSystem, высокопривилегированной учетной записи Windows, зарезервированной для системных функций. Эксплуатируя данную уязвимость, атакующий сможет устанавливать бэкдоры, получать доступ к конфиденциальной информации, создавать или изменять системные настройки и полностью контролировать систему с уязвимой версией Perforce Helix Core. По данным Microsoft, попыток использования обнаруженной уязвимости не выявлено, однако пользователям рекомендуется как можно скорее обновиться до исправленной версии 2023.1/2513900, выпущенной 7 ноября 2023 года.
Хакеры используют ботнет из маршрутизаторов и брандмауэров Cisco, DrayTek, Fortinet и NETGEAR для скрытой передачи данных
С таким заявлением выступили специалисты Lumen Technologies, которые обнаружили так называемый KV-botnet. Специалисты считают, что активным пользователем вредоносной инфраструктуры является китайская хакерская группа Volt Typhoon, о чем свидетельствуют также данные телеметрии, указывающие на управление ботнета с IP-адресов из Китая. KV-botnet активен как минимум с февраля 2022 года и представляет собой скрытую сеть передачи данных, предназначенную для продвинутых участников угроз. Он работает через два отдельных логических кластера и отличается сложным процессом заражения в сочетании с хорошо скрытой инфраструктурой C2, а также нацеленностью на устройства на границе сети. Точный механизм первоначального заражения устройств пока неизвестен. Специалисты сообщают, что хакеры пытаются вмешаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование SOHO — маршрутизаторы, брандмауэры и оборудование VPN. Lumen Technologies отмечает, что в декабре инфраструктура ботнета обновилась, нацелившись также на IP-камеры Axis, что указывает на подготовку к новой волне атак.