Microsoft подтверждает наличие уязвимостей 0-Day в Exchange

Компания Microsoft обнародовала два сообщения об уязвимостях нулевого дня, затрагивающих Microsoft Exchange Server 2013, 2016 и 2019. Первая уязвимость, идентифицированная как CVE-2022-41040, заключается в подделке запросов со стороны сервера (SSRF), а вторая уязвимость (CVE-2022-41082) позволяет удаленное выполнение кода (RCE) при доступе к PowerShell. Для успешной эксплуатации любой из двух уязвимостей необходим успешный доступ к уязвимому серверу Exchange Server.


Хакерская группировка Witchetty использует новый бэкдор на основе стеганографии

Группировка Witchetty (LookingFrog) известна работой с ВПО LookBack, однако теперь в её арсенале появился троянский бэкдор Backdoor.Stegmap, использующий стеганографию. Dll-загрузчик подгружает растровое изображение со старым логотипом Microsoft Windows из репозитория Gitlab. Полезная нагрузка скрыта в файле и представляет собой полноценный бэкдор с широким набором команд. Также злоумышленники использовали уязвимости ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и ProxyLogon (CVE-2021-26855 и CVE-2021-27065) для установки веб-шеллов на общедоступные серверы для горизонтального перемещения.


Северокорейские хакеры используют ПО с открытым исходным кодом в своих кибератаках

С июня 2022 года группировка из Северной Кореи Zinc (Labyrinth Chollima) в своих атаках внедряет вредоносное ПО ZetaNile в программы с открытым исходным кодом. Исследователи из компании Microsoft в своей статье также заявили, что нашли факт использования злоумышленниками PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и muPDF/Subliminal Recording software installer для организации своих атак. Основными направлениями ZINC является традиционный кибершпионаж, кража личных и корпоративных данных, для извлечения финансовой выгоды и разрушения корпоративных сетей.