Дайджест Jet CSIRT [10.06.2022]

10.06.2022

Обнаружено вредоносное ПО Symbiote

Недавно обнаруженное вредоносное ПО для Linux, известное как Symbiote, заражает все запущенные процессы в скомпрометированной системе, крадет учетные данные и предоставляет своим операторам бэкдор-доступ. Даже тщательный анализ системы не позволяет обнаружить признаков заражения, несмотря на внедрение ВПО в множество процессов. Symbiote использует функцию BPF (Berkeley Packet Filter), чтобы перехватывать пакеты сетевых данных и скрывать собственные каналы связи от инструментов безопасности.


Вымогатель Black Basta нацелен на серверы ESXi

Новая версия вируса-вымогателя Black Basta, активно используемая во вредоносных кампаниях, в настоящее время активно нацелена на серверы VMware ESXi.  Двоичный файл программы-вымогателя ищет на целевом ESXi сервере каталог /vmfs/volumes, в котором хранятся виртуальные машины, и запускает процесс шифрования файлов в многопоточном режиме. Для предоставления полных прав доступа к целевым файлам ВПО использует утилиту chmod.


 

Обнаружена новая версия вымогателя, используемого группировкой Cuba

Исследователи из Trend Micro проанализировали новый вариант вымогателя Cuba, обнаруженный ими в конце апреля. Согласно отчету, изменения не затронули функционал ВПО и были направлены на оптимизацию работы, обеспечение технической поддержки жертвам и сведение к минимуму непредвиденного поведения системы. Обновленная версия обрела возможность завершать процессы Outlook, MS Exchange и MySQL для предотвращения блокировки файлов от шифрования.