Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 20 декабря 2024.
Связанная с Россией группировка Sandworm атакует украинских военных с помощью поддельных сайтов
Украинские военные подвергаются атакам связанной с Россией группировкой злоумышленников Sandworm (также известного как APT44, BE2 APT) в ходе новых атак, направленных на сбор разведданных о военнослужащих.
По данным украинского CERT, группа создавала поддельные сайты, похожие на официальное приложение Army+, используемое украинским правительством. Как и многие другие субъекты угроз, Sandworm использует бесплатные сервисы Cloudflare для создания части своей инфраструктуры атак.
В этом случае злоумышленники использовали Workers от Cloudflare, сервис бессерверных вычислений, для размещения своих поддельных веб-сайтов на таких доменах, как:
- desktopapluscom.workers[.]dev
- desktopaplus.workers[.]dev
- armyplus-desktop.workers[.]dev
- aplusdesktop.workers[.]dev
- armylpus.workers[.]dev
- aplusmodgovua.workers[.]dev
При посещении сайта пользователям выдается ошибка и предлагается загрузить исполняемый файл, якобы являющийся установщиком приложения Army+. После запуска поддельное приложение извлекает множество файлов, включающих Tor для скрытых коммуникаций, сценарий PowerShell, который устанавливает скрытые коммуникации и настраивает их сохранение, а также файл-приманку.
Fortinet исправляет критическую уязвимость FortiWLM
В среду (18 декабря) компания Fortinet выпустила обновления для устранения критической уязвимости в диспетчере беспроводных локальных сетей (FortiWLM), которая может позволить удаленным злоумышленникам захватить устройства, выполнив несанкционированный код или команды через специально созданные веб-запросы.
FortiWLM – это инструмент централизованного управления для мониторинга, управления и оптимизации беспроводных сетей. Инструмент используется государственными учреждениями, организациями здравоохранения, образовательными учреждениями и крупными предприятиями.
Уязвимость relative path traversal (CVE-2023-34990 – CVSS score: 9.6) была обнаружена и сообщена компании Fortinet в мае 2023 года. Однако спустя десять месяцев она так и осталась неисправленной, в результате чего обнаруживший его исследователь 14 марта 2024 года обнародовал информацию и код эксплойта для доказательства концепции.
Уязвимость затрагивает FortiWLM версий 8.6.0–8.6.5 и версий 8.5.0–8.5.4. В FortiWLM версий 8.6.6 и 8.5.5 проблема устранена.
Согласно бюллетеню безопасности, опубликованному Fortinet 18 декабря, CVE-2023-34990 была исправлена в конце сентября 2023 года. Неясно, почему Fortinet задержала выпуск публичного бюллетеня безопасности.
Организации предупреждены о вредоносном ПО, потенциально нацеленном на рабочие станции OT/ICS
Организации, использующие операционные технологии (OT) или промышленные системы управления (ICS), предупреждены о необходимости защиты этих систем от атак. Организации используют эти технологии для управления различными промышленными и производственными процессами, и нарушение работы или саботаж этих систем могут привести к катастрофическим последствиям.
В организациях, использующих системы OT/ICS, часто применяются инженерные рабочие станции, подключенные к Интернету, которые помогают инженерам управлять и контролировать эти системы. Эти рабочие станции становятся главной мишенью для потенциального противника, который может стремиться нанести ущерб или нарушить работу критически важных систем.
Исследователи недавно опубликовали блог, в котором говорится о том, что организации не уделяют достаточного внимания защите этих рабочих станций от атак. В некоторых случаях они обнаружили инженерные рабочие станции, зараженные копиями вредоносного ПО Ramnit. Это старая вредоносная программа, которая может распространяться путем заражения файлов и через съемные диски. Она может обеспечить бэкдор-доступ к зараженному компьютеру, а также украсть информацию и установить другие вредоносные программы. Хотя эта программа не была специально разработана для систем OT/ICS, наличие в них вирусов Ramnit говорит о слабых местах в системе безопасности.
В других случаях исследователи обнаружили вредоносную программу потенциально голландского или бельгийского происхождения под названием Chaya_003, которая способна завершить работу портала Siemens TIA, а также других приложений, запущенных на компьютере. О попытках завершения процесса злоумышленник получает сообщение через веб-хук Discord.
Хотя эти инциденты, возможно, и не нанесли прямого ущерба, они подчеркивают риски, с которыми сталкиваются организации, не сумевшие должным образом защитить рабочие станции инженеров от атак. Заражение этих систем в итоге может быть использовано злоумышленниками для проведения гораздо более разрушительных атак и перехода на другие системы в организации. Исследователи рекомендуют пересмотреть и усилить защиту этих систем, чтобы избежать потенциальных атак.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
