ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — стиллер CoinLurker, создающий новое поколение вредоносных обновлений, уязвимость OpenAI Calendar Notification ByPass, атака Link Trap с быстрым внедрением GenAI, атака цепочки поставок на пакеты Rspack npm, а также методы APT Earth Koshchei, использующего инструменты Red Team для комплексных RDP-атак.
Стиллер CoinLurker создает новое поколение вредоносных обновлений
Эксперты Morphisec отмечают, что кампании по распространению поддельных обновлений стали более эффективными с появлением CoinLurker — сложного стиллера, разработанного с целью незаметного сбора информации. Созданный на языке программирования Go, CoinLurker применяет передовые методы обфускации и защиты от анализа, что делает его мощным инструментом для современных кибератак. Теперь злоумышленники используют инструменты, такие как SocGolish, Clear Fake, ClickFix и Fake CAPTCHA, чтобы создавать правдоподобные поддельные запросы на обновление, скрывая в них зловредные приложения, подобные CoinLurker. Тактики задействуют инновационные методы, включая сокрытие в сети и выполнение в оперативной памяти, что позволяет злоумышленникам обходить стандартные меры безопасности и маскировать источник вредоносного ПО.
Google Calendar Notification ByPass
Эксперты компании Check Point обнаружили, что киберпреступники используют уведомления Google Календаря для обхода политик безопасности электронной почты и проведения фишинговых атак. Злоумышленники изменяют заголовки писем, чтобы они выглядели как отправленные через Google Календарь от имени известного и легитимного лица. Сначала атаки включали ссылки на Google Forms, но затем перешли на Google Drawings, чтобы избежать обнаружения. Пользователи перенаправляются на поддельные страницы, которые имитируют сайты поддержки криптовалют или другие доверенные ресурсы, где их просят ввести личные данные.
Link Trap: атака с быстрым внедрением GenAI
Исследователи Trend Micro выявили новую опасность для систем генеративного искусственного интеллекта (GenAI), основанную на внедрении подсказок. Эта атака подразумевает модификацию запросов и создание вредоносной ссылки, по которой пользователь может перейти. После перехода по этой ссылке происходит утечка личных данных. Обычно последствия атак с использованием внедрения подсказок зависят от разрешений, предоставленных искусственному интеллекту. Однако в данном случае даже без расширенных разрешений системы могут быть раскрыты конфиденциальные данные пользователей.
Атака цепочки поставок на пакеты Rspack npm
Специалисты из компании SocketDev обнаружили, что Rspack, популярный сборщик JavaScript, подвергся атаке на цепочку поставок. Два пакета npm, связанные с проектом Rspack, — @rspack/core и @rspack/cli — были скомпрометированы и изменены. В результате злоумышленники опубликовали новые версии этих пакетов 1.1.7 на гитхабе проекта. Измененные версии содержали вредоносный код, предназначенный для майнинга криптовалюты. После обнаружения компрометации вредоносные версии были оперативно удалены из реестра npm. Пользователям рекомендуется обновить версию ПО до версии 1.1.8 или более новой, чтобы обеспечить безопасность их систем.
APT Earth Koshchei использует инструменты Red Team для комплексных RDP-атак
Специалисты Trend Micro провели исследование группы злоумышленников APT Earth Koshchei, которая осуществляет сложные атаки с использованием инструментов для тестирования на проникновение. Эта группа применяет легитимные инструменты Red Team, такие как Cobalt Strike и Metasploit, для проникновения в системы через протокол удаленного рабочего стола (RDP). Атаки Earth Koshchei направлены на организации из различных секторов, включая правительственные учреждения и компании в сфере высоких технологий. Эксперты рекомендуют усилить мониторинг сетевой активности, ограничить использование RDP и применять многофакторную аутентификацию для защиты от подобных атак.
Написать комментарий