Дайджест Jet CSIRT [10-12.10.2020]

10.10.2020

Российская кибергруппировка TA505 использует Zerologon

Microsoft предупреждает своих пользователей о том, что были зафиксированы атаки с использованием поддельных обновления для программного обеспечения, подключающиеся к с C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505 (CHIMBORAZO в классификации Microsoft). Поддельные обновления позволяют обойти контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe). В ходе эксплуатации уязвимости злоумышленники используют MSBuild.exe для добавления в Mimikatz функционала Zerologon. О рекомендуемых Microsoft мерах защиты команда Jet CSIRT рассказала в одном из предыдущих дайджестов.


Четыре вредоносных пакета было выявлено в репозитории NPM

В репозитории NPM выявлена вредоносная активность в четырёх пакетах, включающих preinstall-скрипт, который перед установкой пакета отправлял на GitHub комментарий с информацией об IP-адресе, местоположении, логине, модели CPU и домашнем каталоге пользователя. Вредоносный код был найден в пакетах electorn, lodashs, loadyaml и loadyml. Проблемные пакеты были размещены в NPM c 17 по 24 августа и распространялись с использованием тайпсквоттинга. В настоящее время пакеты удалены.


Опубликован традиционный Threat Roundup от команды Talos

В материале содержатся сведения об основных угрозах, по мнению исследователей, за период с 2 по 9 октября.