Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 20-21, 26 марта 2025.
RansomHub: Злоумышленники используют новый пользовательский бэкдор
По крайней мере один из филиалов сервиса RansomHub, предоставляющего вымогательство как услугу (RaaS), начал использовать в атаках новый пользовательский бэкдор. Согласно новому исследованию Symantec Threat Hunter Team, вредоносная программа (Backdoor.Betruger) представляет собой редкий пример многофункционального бэкдора, разработанного, по-видимому, специально для проведения атак с использованием вымогательского ПО.
Использование пользовательских вредоносных программ, помимо шифрующих полезных нагрузок, является относительно редким явлением в атаках вымогательского ПО. Большинство злоумышленников полагаются на легальные инструменты LoTL (living off the land) и общедоступные вредоносные программы, такие как Mimikatz и Cobalt Strike.
Анализ бэкдора Betruger показал, что он содержит функции, которые обычно встречаются в многочисленных инструментах, предшествующих вымогательству, включая создание скриншотов, кейлоггинг, загрузку файлов на командно-контрольный сервер (C&C), сканирование сети, повышение привилегий и сброс учетных данных.
Функциональность Betruger указывает на то, что он мог быть разработан для того, чтобы минимизировать количество новых инструментов, забрасываемых в целевую сеть во время подготовки атаки вымогателей.
Дополнительная информация
Чтобы узнать больше, читайте наш блог – RansomHub: Злоумышленники используют новый пользовательский бэкдор
Защита
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
IBM выпустила исправления для критических уязвимостей в жизненно важной операционной системе AIX
IBM рекомендует клиентам, использующим операционную систему Advanced Interactive eXecutive (AIX), как можно скорее применить исправления для устранения двух критических уязвимостей, которые могут позволить удаленным злоумышленникам выполнять произвольные команды.
Операционная система AIX обычно используется в критически важных приложениях, обслуживающих ключевые отрасли. Это программное обеспечение широко применяется в финансовом, банковском, медицинском и телекоммуникационном секторах для выполнения задач, критически важных для бизнеса.
Уязвимости, CVE-2024-56346 (оценка CVSS: 10.0) и CVE-2024-56347 (оценка CVSS: 9.6), вызваны неправильным контролем процессов.
CVE-2024-56346 затрагивает службу nimesis Network Installation Management (NIM) master в AIX, а CVE-2024-56347 относится к механизмам безопасности SSL/TLS в службе nimsh в AIX, – говорится в бюллетене безопасности IBM. Обе уязвимости могут быть использованы удаленно в атаках низкой сложности, не требующих привилегий. Однако CVE-2024-56347 требует определенного уровня взаимодействия с пользователем, а CVE-2024-56346 – нет.
IBM не предоставила подробностей об уязвимостях, заявив лишь, что AIX версий 7.2 и 7.3 уязвимы и должны быть немедленно обновлены.
Исследователь угроз заставляет инструменты ИИ создавать похитителей информации для Chrome
Исследователь угроз из компании Cato Networks, не имевший опыта создания вредоносных программ, успешно обманул несколько популярных инструментов генеративного ИИ (GenAI), включая DeepSeek, Microsoft Copilot и ChatGPT от OpenAI, и заставил их разработать вредоносное ПО, способное похищать учетные данные для входа в систему Google Chrome.
Исследователь создал детальный вымышленный мир, в котором у каждого инструмента GenAI была своя роль с определенными задачами и проблемами. Такой подход позволил исследователю обойти средства контроля безопасности и эффективно нормализовать ограниченные операции. Это позволило им успешно убедить инструменты GenAI написать программы для кражи информации Chrome, а исследователи окрестили эту технику джейлбрейка «Иммерсивным миром».
«Мы считаем, что рост числа угроз, связанных с нулевыми знаниями, представляет высокий риск для организаций, поскольку барьер для создания вредоносного ПО теперь существенно снижен благодаря инструментам GenAI», – говорит Виталий Симонович, исследователь угроз из Cato Networks.
Более подробную информацию о том, как исследователи осуществили этот взлом, можно найти в отчете об угрозах Cato CTRL™ за 2025 год (требуется регистрация).
Veeam исправляет критическую ошибку RCE в Backup & Replication
Компания Veeam в среду (19 марта) выпустила исправления для критической уязвимости в своем продукте Backup & Replication, которая может позволить злоумышленникам удаленно выполнить произвольный код.
Компания Veeam заявила, что уязвимость, отслеживаемая как CVE-2025-23120 (CVSS score of 9.9), может позволить «удаленное выполнение кода (RCE) аутентифицированными пользователями домена», и что затронута версия Backup & Replication 12.3.0.310 и предыдущие сборки версии 12.
По данным watchTowr Labs, обнаружившей ошибку, CVE-2025-23120 представляет собой уязвимость десериализации в классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary .NET. При устранении предыдущей ошибки десериализации RCE компания Veeam создала черный список известных классов или объектов, которые могут быть использованы. Однако watchTowr, чтобы получить RCE, смог найти другую последовательность объектов, которая не была внесена в черный список.
«В общем, вы, наверное, догадались, к чему все идет – похоже, Veeam, несмотря на то, что является любимой игрушкой банд вымогателей, не усвоила урок, преподанный […] предыдущим опубликованным исследованием», – написал watchTowr. «Вы угадали – они исправили проблемы с десериализацией, добавив записи в свой черный список десериализации».
Пользователям настоятельно рекомендуется обновить Backup & Replication до версии 12.3.1 (сборка 12.3.1.1139), которая содержит исправления этой уязвимости.
Критические ошибки Cisco Smart Licensing Utility используются в атаках
Злоумышленники нацелены на экземпляры Cisco Smart Licensing Utility (CSLU), в которых не исправлены две критические уязвимости, устраненные компанией Cisco в сентябре 2024 года.
Приложение CSLU Windows позволяет администраторам управлять лицензиями и связанными продуктами в локальной сети без подключения к облачному решению Cisco Smart Software Manager.
Уязвимости, о которых идет речь, включают:
- CVE-2024-20439 (CVSS score: 9.8) – наличие недокументированных статических учетных данных пользователя для административной учетной записи, которые злоумышленник может использовать для входа в пораженную систему
- CVE-2024-20440 (CVSS score: 9.8) – уязвимость, возникающая из-за слишком подробного файла журнала отладки, которую злоумышленник может использовать для доступа к таким файлам с помощью поддельного HTTP-запроса и получения учетных данных, которые могут быть использованы для доступа к API
По данным Технологического института SANS, в настоящее время злоумышленники используют эти две уязвимости в попытках эксплуатации экземпляров CSLU, выложенных в Интернете. До сих пор неизвестно, какова конечная цель кампании и кто за ней стоит.
Уязвимости затрагивают CSLU версий 2.0.0, 2.1.0 и 2.2.0. Версия 2.3.0 CSLU не подвержена этим двум ошибкам.
Плагин безопасности WordPress WP Ghost подвержен критической уязвимости RCE
Популярный плагин безопасности WP Ghost, предлагающий широкий спектр функций защиты от эксплойтов и взломов для установок WordPress, выпустил обновление для устранения критической уязвимости удаленного выполнения кода (RCE), которая может позволить неавторизованному удаленному злоумышленнику взять под контроль сервер, на котором установлен уязвимый плагин.
Уязвимость, отслеживаемая как CVE-2025-26909 (CVSS score: 9.6), была впервые обнаружена в конце февраля 2025 года. Она затрагивает все версии плагина до версии 5.4.02 и вызвана недостаточной санацией входных данных URL. Неавторизованный злоумышленник, отправляющий специально созданные URL-адреса, может запустить уязвимость включения локальных файлов, что при определенных обстоятельствах может привести к различным последствиям – от утечки информации до отказа в обслуживании (DoS) и RCE.
Пользователям плагина WP Ghost, которых, по некоторым данным, насчитывается более 200 000, рекомендуется в ближайшее время обновить свои установки до версии 5.4.02 или выше (текущая версия – 5.4.03), чтобы устранить эту уязвимость.
Google исправляет уязвимость нулевого дня в Chrome, используемую в шпионских атаках
Компания Google выпустила внеплановые исправления для устранения серьезной уязвимости нулевого дня в Chrome, которая использовалась в ходе атак, направленных на организации в России.
Уязвимость выхода из песочницы, отслеживаемая как CVE-2025-2783, описывается как «некорректная обработка, предоставляемая в неопределенных обстоятельствах в Mojo на Windows». Mojo – это набор библиотек времени выполнения, которые обеспечивают платформо-агностический механизм межпроцессного взаимодействия (IPC).
«Google известно о том, что существует эксплойт для CVE-2025-2783», – говорится в коротком сообщении поискового гиганта.
Google не раскрыл дополнительных подробностей о характере атак, о том, кто за ними стоит, или о том, на кого они были направлены.
Исследователи «Касперского» Борис Ларин и Игорь Кузнецов обнаружили и сообщили об уязвимости 20 марта 2025 года. Исследователи охарактеризовали эксплуатацию уязвимости нулевого дня CVE-2025-2783 как технически сложную целевую атаку, свидетельствующую о продвинутой постоянной угрозе (APT). Касперский отслеживает активность под названием Operation ForumTroll.
«Во всех случаях заражение происходило сразу после того, как жертва нажимала на ссылку в фишинговом письме, а веб-сайт злоумышленников открывался с помощью браузера Google Chrome», – заявили исследователи. «Для заражения не требовалось никаких дополнительных действий».
Исследователи сообщили, что CVE-2025-2783 рассчитана на использование дополнительного эксплойта, позволяющего удаленно выполнить код; однако получить второй эксплойт им не удалось.
Уязвимость была исправлена в Chrome версии 134.0.6998.177/.178 для Windows.
Злоумышленники использовали недавно исправленную уязвимость нулевого дня в MMC для атак на пользователей Windows
Сообщается, что группа злоумышленников под названием EncryptHub (также известная как Water Gamayun или Larva-208) использует недавно исправленную уязвимость в консоли управления Microsoft Management Console (MMC) под кодовым названием CVE-2025-26633 (CVSS score: 7.0), которая может позволить злоумышленнику обойти функции безопасности и запустить вредоносный код. Группа была замечена в использовании эксплойта в специально созданных .msc-файлах, нацеленных на эту уязвимость, до того, как она была исправлена в выпуске Patch Tuesday от марта 2025 года.
Дополнительная уязвимость use-after-free в подсистеме ядра Windows Win32, отслеживаемая как CVE-2025-24983 (CVSS score: 7.0), также была использована EncryptHub в недавних атаках. Эта уязвимость, как утверждается, использовалась в атаках еще в марте 2023 года и была исправлена только в недавнем выпуске Patch Tuesday в марте 2025 года.
Атаки этой группы связаны с распространением множества вредоносных программ, включая троянские программы для кражи информации, такие как EncryptHub stealer, Stealc и Rhadamanthys stealer. Также используются многочисленные троян-бэкдоры, в том числе DarkWisp и SilentPrism, обеспечивающие злоумышленникам надежный удаленный доступ и контроль. Троянский загрузчик MSC EvilTwin использовался для загрузки недоверенных MSC-файлов и уклонения от обнаружения. Другие программы-вымогатели, такие как RansomHub и BlackSuit, также использовались для получения прибыли от взломанных компьютеров.
Защита
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin.
