Серверы Microsoft SQL были взломаны с использованием ВПО FARGO

Аналитиками ASEC была замечена новая волна атак, в ходе которых на уязвимые сервера Microsoft SQL было установлено вредоносное ПО FARGO. Заражение начиналось с загрузки исполняемого .NET-файла на скомпрометированную машину. После запуска программа загружала дополнительные компоненты, генерировала и запускала BAT-файл, который завершал определенные процессы и службы. Интересно, что FARGO также противодействовало «анти-шифровальщику» Raccine, удаляя его ключи из реестра вместе с ключами другого ПО, в том числе служб резевного копирования. После этого вредонос шифровал файлы с определенными расширениями.


Вредоносное ПО Exmatter может испольоваться для уничтожения, а не шифрования данных

Новый способ атаки был замечен аналитиками исследовательских команд Cyderes Special Operations и Stairwell Threat Research. Образец ВПО был обнаружен во время исследования шифровальщика BlackCat (ALPHV), и его поведение полностью соответствует предыдущим отчетам о Exmatter, .NET-инструменте для эксфильтрации . Exmatter предназначен для загрузки определенных типов файлов на серверы злоумышленников до того, как сама программа-вымогатель будет запущена на скомпрометированных системах. После очередной успешной загрузки файла жертвы на удаленный сервер, он ставится в очередь обработки класса Eraser. Сегмент случайного размера из одного файла считывается в буфер, а затем записывается в начало другого файла, повреждая его.


Хакеры воспользовались 0-Day уязвимостью в брандмауэре Sophos

Уязвимость CVE-2022-3236 (CVSS score: 9.8) затрагивает Sophos Firewall v19.0 MR1 (19.0.1) и более старые версии. Инъекция кода происходит в компоненты User Portal и Webadmin и может привести к удаленному выполнению программного кода. Компания Sophos выпустила обновление для своего брандмауэра сразу после обнаружения использования злоумышленниками новой критической уязвимости нулевого дня для атак на сети клиентов Sophos.