ТОП-5 ИБ-событий недели по версии Jet CSIRT

Российские компании атакует ранее неизвестная APT-группировка

Специалисты Positive Technologies сообщили о новой APT-группировке под названием DarkGaboon, которая оставалась незамеченной более полутора лет. Атаки нацелены на финансовые подразделения компаний. Группировка использует инструмент Revenge RAT и шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике. Все образы Revenge RAT подписаны поддельными сертификатами X.509, якобы выпущенными на имя российских компаний. Также DarkGaboon использует омоглифы в названиях, что позволяет оставаться скрытными для киберразведки. Рекомендуется ознакомиться с индикаторами компрометации, представленными в отчете.

Обнаружены множественные уязвимости в межсетевых экранах Palo Alto

Компания Eclypsium провела анализ трех устройств Palo Alto Networks: PA-3260, PA-1410 и PA-415. Анализ показал, что все они подвержены уязвимости BootHole, которая может быть использована для установки скрытого вредоносного ПО. Помимо этого, в список уязвимостей вошли:

· уязвимости System Management Mode (PA-3260) — повышение привилегий и обход безопасной загрузки;

· LogoFAIL (PA-3260) — обход безопасной загрузки и выполнение вредоносного кода во время запуска системы;

· PixieFail (PA-1410 и PA-415) — выполнение кода и раскрытие информации;

· уязвимость небезопасного управления доступом к флеш-памяти (PA-415) — изменение UEFI и обход механизмов безопасности;

· уязвимость TPM (PA-415) — отказ в обслуживании и выполнение кода;

· обход утечки ключей защиты Intel Bootguard (PA-1410).

Для снижения риска эксплуатации рекомендуется обновить устройства до последних версий.

Cisco предупреждает об уязвимости отказа в обслуживании

Компания Cisco выпустила обновления безопасности для исправления уязвимости типа «отказ в обслуживании» (DoS), которая имеет PoC-эксплойт. Она получила идентификатор CVE-2025-20128 (CVSS: 5.3) и была вызвана уязвимостью переполнения буфера кучи в процедуре расшифровки Object Linking and Embedding 2 (OLE2), что позволяло неаутентифицированным удаленным злоумышленникам вызывать DoS. Список уязвимых продуктов включает программное обеспечение Secure Endpoint Connector для платформ Linux, Mac и Windows.

Lumma Stealer: поддельная CAPTCHA и новые методы обхода обнаружения

Специалисты Netskope Threat Labs обнаружили новую вредоносную кампанию, использующую поддельные CAPTCHA для доставки Lumma Stealer. Цепочка атак начинается, когда пользователь посещает взломанный веб-сайт, который перенаправляет его на поддельную страницу CAPTCHA. На странице появляется просьба скопировать и вставить команду в строку «Выполнить» в Windows. Команда запускает встроенный двоичный файл mshta.exe для загрузки и выполнения файла HTA с удаленного сервера. Файл HTA в свою очередь выполняет команду PowerShell для запуска полезной нагрузки следующего этапа — загрузки Lumma.

Уязвимость OpenVPN Easy-rsa позволяет взломать закрытый ключ CA

В OpenVPN Easy-RSA была обнаружена уязвимость, которая позволяет злоумышленникам провести brute-force-атаку на приватный ключ сертификационного центра (CA). Уязвимость с идентификатором CVE-2024-13454 (CVSS: 3.1) затрагивает версии Easy-RSA от 3.0.5 до 3.2.0, использующие OpenSSL 3. Проблема заключается в шифровании защищенных паролем ключей CA с помощью команды easyrsa build-ca. Вместо безопасного алгоритма aes-256-cbc используется устаревший и менее защищенный des-ede3-cbc. Рекомендуется перешифровать приватный ключ CA с помощью команды easyrsa set-pass ca и обновиться до версии Easy-RSA 3.2.0 или новее.