Как RansomHub использует EDRKillShifter для обхода EDR и антивирусной защиты
Исследователи Trend Micro отследили группировку Water Bakunawa, которая стоит за RansomHub и использует различные методы борьбы с EDR. RansomHub примечателен своей партнерской моделью и использованием методов отключения или прекращения обнаружения и реагирования на конечные точки для уклонения от обнаружения и продления своего присутствия в скомпрометированных системах или сетях. Одним из методов RansomHub является интеграция EDRKillShifter в цепочку атак. Данный инструмент предназначен для эксплуатации уязвимых драйверов и подрыва эффективности решений EDR. Кроме того, такой способ усиливает механизмы закрепления в системе, используя методы, которые обеспечивают его постоянное присутствие в системе, даже после обнаружения и его первоначального устранения. Такие улучшения делают его опасным инструментом против традиционных решений безопасности конечных точек. Специалисты порекомендовали реализовать защиту на уровне драйвера и ядра, обеспечить безопасность учетных данных, включить поведенческий мониторинг и обнаружение аномалий и предоставили список индикаторов компрометации.
Linux-вымогатель Mallox использует код Kryptina
Специалисты SentinelLabs обнаружили, что группа, связанная с кампанией Mallox, использует новую модифицированную версию шифровальщика Kryptina для атак на Linux-системы. Ранее Mallox был нацелен только на Windows-системы. С недавних пор стало известно об атаках и на Linux, что указывает на значительное развитие вымогателя. Использование Kryptina стало новым шагом в эволюции угрозы. При анализе недавних атак исследователи обнаружили, что исходный код Kryptina был использован для создания новой версии шифровальщика Mallox Linux 1.0. Несмотря на ребрендинг и изменение внешнего вида, функциональность осталась прежней. Было выявлено, что в ВПО использовался тот же алгоритм шифрования AES-256-CBC и аналогичные процедуры дешифрования. Специалисты предсказали рост подобных «поглощений» и предоставили список индикаторов компрометации.
Критическая уязвимость в Ivanti Virtual Traffic Manager
Специалисты CISA добавили критическую уязвимость безопасности, влияющую на Ivanti Virtual Traffic Manager (vTM), в свой каталог известных эксплуатируемых уязвимостей. Рассматриваемая уязвимость получила идентификатор CVE-2024-7593 (CVSS: 9.8). Злоумышленники могут использовать ее для удаленного обхода аутентификации в панели администратора и создания поддельных административных пользователей. Агентство не раскрыло никаких подробностей о том, как этот недостаток используется в реальных атаках и кто может за ними стоять. Проблема была исправлена Ivanti в обновлениях в версиях vTM 22.2R1, 22.3R3, 22.5R2, 22.6R2 и 22.7R2.
Исправление 11 уязвимостей Cisco
Исследователи Cisco исправили 11 уязвимостей, в том числе семь высокой степени критичности, в своих продуктах под управлением IOS и IOS XE. Наиболее серьезными из ошибок являются шесть проблем с DoS, влияющих на компонент UTD, а также функции RSVP, PIM, DHCP Snooping, HTTP-сервера и код повторной сборки фрагментации IPv4 в IOS и IOS XE. Злоумышленник может использовать их удаленно без аутентификации путем отправки специально созданного трафика или пакетов на целевое уязвимое устройство. Седьмая критичная уязвимость CVE-2024-20437 (CVSS: 8.1) влияет на веб-интерфейс управления IOS XE и может привести к CSRF-атакам. Злоумышленник может воспользоваться этой уязвимостью, убедив уже аутентифицированного пользователя перейти по созданной ссылке. Успешная эксплуатация может позволить выполнять произвольные действия на уязвимом устройстве с привилегиями целевого пользователя. Cisco выпустила обновления программного обеспечения, устраняющие эти уязвимости.
Эволюция группировки Sticky Werewolf
Исследователи F.A.C.C.T. обнаружили новые активности злоумышленников, которые схожи с действиями Sticky Werewolf. При подробном анализе был выявлен новый кластер угроз, отлеживаемый как MimiStick. Специалистами был обнаружен вредоносный файл, в процессе выполнения которого жертве демонстрировался фишинговый документ. После открытия вредоносного файла полезная нагрузка запускала содержащийся в ней зашифрованный shell-код. В качестве второй стадии использовался Sliver implant c С2 с вредоносным доменом. Также было выявлено, что с ним связаны несколько дополнительных доменов, которые были зарегистрированы одним злоумышленником. Исследователи отметили, что есть высокая вероятность подобных атак, и предоставили выявленные в процессе анализа индикаторы компрометации.