ТОП-5 ИБ-событий недели по версии Jet CSIRT

Отчет об использовании техники RLO в атаках на российские компании

Специалисты из «Лаборатории Касперского» опубликовали отчет о вредоносной кампании, использующей технику Right-to-Left Override (RLO). Техника связана со специальным символом Unicode, который инвертирует отображение текста. Злоумышленники используют ее для подмены имен файлов или расширений. Применение техники RLO фиксируется в атаках с использованием троянского ВПО Remcos RAT, загрузчика DarkGate и бэкдора BrockenDoor. Результатом успешной атаки становится получение доступа и компрометация целевой системы. В отчете отмечается, что жертвами стали российские компании, занимающиеся продажей, настройкой, консультацией и сопровождением ПО для автоматизации бизнес-процессов. Для противодействия рекомендуется отслеживать индикаторы компрометации, предоставленные в отчете, а также своевременно обновлять базы антивирусных сигнатур.

Уязвимость в популярном FTP-сервере ProFTP

ProFTP содержит критическую уязвимость, которая может позволить злоумышленникам получить доступ к уязвимым системам. Уязвимость, отслеживаемая как CVE-2024-48651 (CVSS 7.5), существует в компоненте mod_sql ProFTPD версий 1.3.8b и более ранних. Ее успешная эксплуатация предоставляет злоумышленникам возможность получить привилегии уровня root, что приводит к полной компрометации системы. Согласно сканированию Shodan, сервера под управлением ProFTP продолжают активно использоваться во многих регионах, включая Россию. Для устранения уязвимости рекомендуется обновить версию ProFTP, а также отдавать приоритет переходу на более безопасные альтернативы, такие как SFTP или FTPS.

Анализ Android-трояна DroidBot

Команда специалистов из Cleafy обнаружила и проанализировала новый троян для Android — DroidBot. Его функционал включает возможность удаленного доступа и мониторинг действий пользователя в системе. Отличительной особенностью DroidBot является его двухканальный механизм связи: исходящие данные с зараженных устройств передаются с использованием протокола MQTT, в то время как входящие команды принимаются по HTTPS. Подобное разделение снижает вероятность обнаружения. Также отмечается, что DroidBot распространяется по модели Malware-as-a-Service (MaaS). Для защиты от подобного ВПО рекомендуется устанавливать приложения только из официальных источников и использовать мобильные антивирусные средства.

Технический анализ ВПО RevC2 и Venom Loader

Zscaller опубликовали результаты расследования вредоносных кампаний, использующих инструментарий ВПО Venom Spider MaaS. Были выявлены два новых семейства вредоносных программ: RevC2 и Venom Loader. RevC2 использует WebSockets для связи с сервером управления и контроля (C2). Вредоносная программа способна красть куки и пароли, проксировать сетевой трафик и позволяет выполнять удаленный код (RCE). Venom Loader — это новый загрузчик вредоносного ПО, который настраивается под каждую жертву и использует имя атакуемого компьютера для кодирования полезной нагрузки. Для противодействия рекомендуется отслеживать индикаторы компрометации, предоставленные в отчете, а также использовать антивирусное ПО для проверки почтовых вложений.

Устранение критических уязвимостей в Veeam

Компания Veeam выпустила обновления безопасности, устраняющие критические уязвимости в продукте Service Provider Console (VSPC). Уязвимость, отслеживаемая как CVE-2024-42448 (CVSS 9,9), позволяла удаленно выполнять код на сервере VSPC. Вторая уязвимость CVE-2024-42449 (CVSS 7,1) приводила к утечке NTLM-хэша учетной записи службы сервера VSPC и удалению файлов на машине сервера VSPC. Данные недостатки приводят к получению доступа к учетным данным и компрометации среды. Обе выявленные уязвимости затрагивают Veeam Service Provider Console 8.1.0.21377 и все более ранние версии сборок 7 и 8. Они были устранены в версии 8.1.0.21999. Рекомендуется выполнить обновление до последней версии программного обеспечения.