ТОП-5 ИБ-событий недели по версии Jet CSIRT

Уязвимости в Git создают риск утечки учетных данных пользователей

Обнаружены критические уязвимости в Git, позволяющие злоумышленникам похищать учетные данные разработчиков. Уязвимости затрагивают как пользовательские рабочие станции, так и серверные окружения и различные Git-клиенты. Злоумышленники эксплуатируют ошибки в Git при обработке URL, внедряя вредоносные ссылки при клонировании и работе с субмодулями. Это приводит к утечке учетных данных, компрометации репозиториев и конфиденциальной информации. Для защиты рекомендуется незамедлительно обновить Git до актуальной версии и проявлять бдительность при работе с репозиториями из непроверенных источников.


Январь начался с масштабной волны атак на российские компании

В январе 2025 года российские компании столкнулись с массовой волной атак новым стилером NOVA. Стилер является видоизмененной версией популярного SnakeLogger. Атаки распространялись через фишинговые письма, замаскированные под новогодние поздравления и сообщения от различных ведомств. Стилер крадет данные из браузеров (пароли, куки, истории), а также данные из криптовалютных кошельков и других приложений. Особенностью атак стало использование социальной инженерии и поддельных документов для обмана сотрудников. Атака оказалась весьма успешной, нанеся значительный ущерб ряду организаций. В рамках противодействия атакам, использующим стилер NOVA, рекомендуется повысить осведомленность пользователей о фишинговых угрозах, ограничив взаимодействие с подозрительными письмами и вложениями, а также обеспечить своевременное обновление программного обеспечения, включая ОС и браузеры


Новая кибергруппировка отключает защиту при атаках на российские компании

Эксперты Solar 4RAYS выявили новую кибергруппировку, специализирующуюся на атаках против российских организаций. Отличительной чертой злоумышленников является целенаправленное отключение защитных решений на скомпрометированных системах. Используя уязвимость в ПО DameWare Mini Remote Control для проникновения, они внедряют вредоносное ПО в директории антивирусных продуктов и решений EDR, деактивируя их. Кроме того, для блокировки мониторинга со стороны средств защиты применяется MiniFilter, что позволяет загружать и запускать вредоносное ПО, оставаясь незамеченными. Получив контроль над системой, атакующие устанавливают бэкдоры и приступают к краже конфиденциальных данных. Для минимизации рисков рекомендуется усилить защиту конечных точек и периметра.


Обнаружен инновационный метод сокрытия вредоносного кода ScatterBrain

Исследователи Google Threat Intelligence Group (GTIG) зафиксировали инновационную технику сокрытия вредоносного кода под названием ScatterBrain. Этот метод представляет собой продвинутый обфускатор, который, подобно головоломке, разбивает вредоносный код на множество мелких частей и хаотично перемешивает их, делая его крайне трудным для обнаружения антивирусными программами и средствами анализа. ScatterBrain используется в кампании под кодовым названием PoisonPlug, где вредоносные компоненты искусно маскируются под легитимные файлы, что позволяет им незаметно проникать в целевые системы. GTIG отмечает, что кибератаки становятся все более изощренными, ориентируясь преимущественно на корпоративные сети. Рекомендуется усилить защиту от фишинга, мониторинг сети и регулярно обновлять ПО.

Кибергруппировка Rezet снова атакует промышленные предприятия России

В январе 2025 года аналитики F.A.C.C.T. зафиксировали всплеск атак кибергруппировки Rezet (она же Rare Wolf) на российские промышленные предприятия. Атаки осуществлялись посредством массовых фишинговых рассылок, замаскированных под приглашения на семинары по стандартизации оборонной продукции. Вредоносные архивы, приложенные к письмам, содержали PDF-документы для отвлечения внимания и вредоносные файлы, запускающие заражение рабочих станций для обхода стандартных средств защиты. Группа, активная с 2018 года, известна своими кибератаками, нацеленными преимущественно на промышленные предприятия СНГ, и ранее также использовала аналогичные методы. В рассылках использовались архивы с одним или двумя вредоносными файлами, при открытии которых происходило заражение системы.