Дайджест Jet CSIRT [13.01.2021]

13.01.2021

Злоумышленники эксплуатировали 0-day уязвимости в цепочке атак на Windows и Android

 

На сайте инициативы Google Project Zero опубликован подробный анализ сложных уязвимостей, которые киберпреступники применяли в реальных атаках (in the wild) на пользователей ОС Windows и Android. Материал состоит из 6 частей, каждая из которых описывает определенный этап атаки. Злоумышленники создали отдельные серверы для доставки вредоносной нагрузки под каждую из ОС, а для первоначального заражения использовался watering hole ресурс, содержащий 0-day эксплойт для Google Chrome.


Раскрыта кампания по кибершпионажу против организаций Колумбии

 

Исследователи из компании ESET рассекретили масштабную кибершпионскую кампанию против правительственных институтов Колумбии и организаций промышленного сектора страны. В операции Spalax, как назвали её эксперты, злоумышленники использовали доступное на черном рынке ВПО, среди которого были идентифицированы трояны Remcos, njRAT и AsyncRAT. Исследовали отметили, что за данной кампанией может стоять группировка APT-C-36, которая уже была замечена в атаках на колумбийские предприятия.


Опубликован анализ майнера OSAMiner, нацеленного на macOS устройства

 

ИБ специалисты из исследовательской лаборатории SentinelOne поделились подробным анализом криптомайнера для устройств с macOS OSAMiner, исходный код которого не удавалось получить в течение 5 лет. Оказалось, что ВПО загружает свой код по частям, используя файлы AppleScript с функцией run-only. Данная функция позволяет запускать скрипты AppleScript как приложение без необходимости их редактирования, что позволяет скрывать само содержимое скрипта.