Bootkitty — анализ первого загрузчика UEFI для Linux

Исследователи из ESET обнаружили первый bootkit UEFI, предназначенный для Linux, который получил название Bootkitty. Bootkitty нацелен на отключение проверки подписи ядра Linux и загрузку сторонних двоичных файлов, что дает возможность для установки дополнительных вредоносных компонентов. Он способен обходить механизмы UEFI Secure Boot на ряде систем Ubunt и вносить изменения в память для обхода проверки целостности при загрузке GRUB и ядра Linux. Bootkitty подписан самоподписанным сертификатом, что ограничивает его работу только системами с отключенной UEFI Secure Boot. Рекомендуется проверить файлы /proc/1/environ, dmesg, а также состояние ядра (dmesg | grep "BoB13"), при обнаружении Bootkitty необходимо вернуть оригинальный файл GRUB на место. Для этого переместите /EFI/ubuntu/grubx64-real.efi обратно в /EFI/ubuntu/grubx64.efi. Также необходимо обновить UEFI Secure Boot.

Фишинговые атаки Rockstar 2FA PaaS

Специалисты Trustwave SpiderLabs выявили рост фишинговых компаний, связанных с платформой Rockstar 2FA PaaS. Атаки нацелены на кражу учетных данных и сеансов с использованием методов социальной инженерии, обхода MFA, а также обфускации кода. На фишинговые страницы интегрируют сервис Cloudflare Turnstile, чтобы отсеивать ботов. После через сервис пользователь перенаправляется на страницу, имитирующую вход в популярные сервисы, откуда данные учетных записей передаются серверу злоумышленников. Используются шифрование данных AES-CBC и обходные методы обнаружения, включая FUD-ссылки, QR-коды и обфускацию HTML. Особую опасность представляет массовый характер атак, затрагивающий пользователей из разных секторов и регионов. Рекомендуется ознакомиться с IOC, а также не терять бдительности в мессенджерах и социальных сетях.

Zero-day и Zero-click уязвимости в браузерах Firefox и Windows

Исследователи ESET обнаружили ранее неизвестные уязвимости в продуктах Mozilla и Windows, которые использовались группой RomCom. Уязвимость в Firefox CVE-2024-9680 (CVSS: 9.8) позволяет злоумышленникам выполнять произвольный код в контексте браузера, используя ошибку "use-after-free" в анимации. После этого используется вторая уязвимость в Windows CVE-2024-49039 (CVSS: 8.8), которая дает возможность выполнить код, эскалируя привилегии. В результате атаки вредоносный код устанавливает бэкдор RomCom, что может привести к удаленному управлению компьютером жертвы. Mozilla и Microsoft выпустили патчи для исправления этих уязвимостей. Рекомендуется обновить браузеры Firefox, Tor Browser, Thunderbird и системы Windows до последних версий.

Драйвер, который получает полный контроль над системой в Avast

Эксперты Trellix обнаружили вредоносную кампанию, которая использует старый драйвер Avast Anti-Rootkit (aswArPot.sys) для обхода средств защиты. Драйвер предоставляет злоумышленникам доступ к системе на уровне ядра, что позволяет им завершать процессы безопасности и захватывать контроль над системой. Вредоносное ПО удаляет оригинальный драйвер Avast Anti-Rootkit и помещает его в нестандартный каталог. Далее с помощью команды sc.exe вредоносное ПО регистрирует службу, предоставляя себе высокие привилегии в системе. Посредством API DeviceIoControl вредоносное ПО может отправлять команды на завершение процессов, минуя их защиту. Рекомендуется отслеживать вредоносное ПО по индикаторам компрометации, а также устанавливать Avast только с официального сайта вендора.

TaxOff: атаки на государственные структуры России


Специалисты Positive Technologies выявили хакерскую группировку TaxOff, которая специализируется на шпионаже и закреплении в системе для дальнейших атак. В основном группировка пользуется многопоточным бэкдором Trinper, который отличается высокой производительностью и гибкостью. Trinper позволяет запускать команды, переданные с C2-серверов, мониторить файловую систему и похищать документы, использовать кастомную сериализацию данных, а также выполнять роль кейлоггера. Начальный вектор состоит из фишинговых писем со ссылкой на «Яндекс Диск» с файлом «Материалы.img», где содержится DCIM.lnk — активатор бэкдора и drive.google.com — вредоносное ПО Trinper. Для атаки на госорганизации использовали модифицированное ПО «Справки БК», которое содержало легитимный файл bk.exe и внедренный Trinper — DotNet35.exe. Рекомендуется ознакомиться с индикаторами компрометации в статье, а также постоянно повышать осведомленность пользователей о киберугрозах.