Дайджест Jet CSIRT [02.12.2020]

02.12.2020

Бэкдор Crutch использовался кибергруппировкой Turla на протяжении 5 лет

Специалисты компании ESET сообщают о ранее неизвестном бэкдоре Crutch. Вредоносное ПО использовалось кибергруппировкой Turla (другое название Venomous Bear), известной по своим атакам на правительственные и военные организации. Crutch доставляется на атакуемую систему через пакет Skipper или агент PowerShell Empire. Для получения команд и загрузки похищенных файлов бэкдор подключался к вшитым учетными записями Dropbox с помощью легитимного HTTP API (первая версия бэкдора), или с помощью утилиты Windows Wget (вторая версия).


Троян njRAT распространялся через nmp-пакеты

Специалисты Sonatype обнаружили вредоносные nmp-пакеты, устанавливающие на систему жертв троян njRAT. Вредоносные nmp-пакеты jdb.js и db-json.js (в настоящее время уже удалены из репозитория) были замаскированы под легитимный инструмент для создания баз данных из JSON-файлов. После установки на систему жертвы, njRAT предоставлял злоумышленникам полный доступ к ней: возможность модификации реестра Windows и завершения процессов, управление файлами, создание скриншотов экрана, снятие скриншотов и фиксирование нажатие клавиш на клавиатуре.


Уязвимость Microsoft Autopilot позволяет перехватить контроль над системой

 

Исследователи компании SEC Consult сообщают об опасной уязвимости в инструменте для развертывания устройств в корпоративных сетях Microsoft Autopilot. Выявленная уязвимость затрагивает процесс развертывания Autopilot и позволяет злоумышленнику повысить свои привилегии до уровня локального администратора. Представители компании Microsoft отрицают наличие данной проблемы несмотря на предоставленный PoC-код.