Дайджест Jet CSIRT [12.05.2022]

12.05.2022

Раскрыты детали вредоносной кампании трояна Nerbian

 

В ходе исследования специалисты Proofpoint обнаружили фишинговую рассылку от имени Всемирной организации здравоохранения (ВОЗ), включавшую информацию о мерах безопасности, связанных с COVID-19. Во вложениях письма находился документ Word, для просмотра которого было необходимо включить макросы. Встроенный макрос загружал дроппер UpdateUAV, использующий фреймворк Chacal для усложнения обратного инжиниринга. Далее загружался троян удаленного доступа Nerbian RAT, в функции которого входит перехват снимков экрана, захват клавиатуры и выполнение команд, после чего скомпрометированная информация передавалась на сервер злоумышленников. Исследователи предупреждают, что дроппер может быть использован также для доставки других троянов в будущих атаках.  


Исправлены критические уязвимости в продуктах HP

 

Компания HP выпустила обновления, устраняющие две критические уязвимости CVE-2021-3808 и CVE-2021-3809 с оценкой 8,8 по системе CVSS 3.1. Исследователь Николас Старке обнаружил ошибки еще в ноябре 2021 года, для их эксплуатации злоумышленник должен перезаписать значение функции LocateProtocol, обладая привилегиями уровня root/SYSTEM (CPL == 0) в системе жертвы. Конечной целью атаки является добавление произвольного кода в BIOS (микропрограмма UEFI), что дает хакеру полный контроль над целевым узлом.


Финансовые учреждения и брокерские фирмы стали целью злоумышленников

В течение семи лет хакеры из США и Литвы похищали учетные данные электронной почты сотрудников финансовых учреждений США, а затем использовали их для входа на банковские и брокерские платформы. С помощью методов социальной инженерии злоумышленники получали доступ к компьютерам и серверам целевой организации, за полученную информацию требовали перевести средства на счета в зарубежных банках. Имея прямой доступ к брокерским счетам, мошенники переводили все средства и ценные бумаги на имена других фирм, находящихся под их контролем. Для предотвращения проведения сделок некоторые фирмы использовали наложенные блокировки, которые хакеры обходили с помощью брокерских счетов других жертв. На данный момент одному из злоумышленников предъявлено обвинение по десяти пунктам, а общий нанесенный ущерб превышает 5 млн.долларов.