Дайджест Jet CSIRT [13.01.2022]

13.01.2022

Хакеры используют облачные сервисы для распространения вредоносных программ Nanocore, Netwire и AsyncRAT

 

Злоумышленники активно используют публичные облачные сервисы Amazon и Microsoft для доставки троянов удаленного доступа. Распространяемое ВПО Nanocore, Netwire и AsyncRAT используется для кражи конфиденциальной информации из скомпрометированных систем. Использование легитимной инфраструктуры для распространения вредоносного ПО все чаще становится частью стратегии злоумышленников, поскольку устраняет необходимость размещать собственные серверы и помогает избежать обнаружения решениями безопасности.


Раскрыты детали уязвимости в службах удаленных рабочих столов Windows

 

После выпуска свежих обновлений безопасности Microsoft, специалисты компании CyberArk опубликовали детали уязвимости CVE-2022-21893. Ее эксплуатация позволяет любому стандартному непривилегированному пользователю, подключенному через удаленный рабочий стол, получить доступ к файловой системе компьютеров подключенных пользователей, просматривать и изменять данные их буфера обмена, а также выдавать себя за других пользователей, вошедших в систему. По словам исследователей, уязвимости подвержены последние версии ОС Windows.


Программа-вымогатель Magniber использует подписанные файлы APPX для заражения систем

 

Magniber использует файлы пакетов приложений Windows (.APPX), подписанных действующими сертификатами, для доставки вредоносных программ, выдающих себя за обновления веб-браузеров Chrome и Edge. Исследователи компании AhnLab отмечают, что заражение начинается с получения пользователем предупреждения об обновлении своего браузера Edge/Chrome вручную, после чего предлагается использовать файл APPX для завершения действия. Каким образом жертвы попадают на сайт, остается неясным.