|
Исследователи безопасности из Sophos обнаружили, что в сети регионального правительственного агентства США находились злоумышленники как минимум за пять месяцев до запуска шифровальщика LockBit. По словам исследователей, злоумышленники получили доступ к сети через открытые порты удаленного рабочего стола (RDP) в результате неправильно настроенного файрволла, далее использовали браузер Chrome для загрузки программ, необходимых для атаки. Набор инструментов состоял из утилит для брутфорса, сканирования, VPN и инструменты для работы с файлами и выполнения команд, такие как PsExec, FileZilla, Process Explorer и GMER. Кроме того, хакеры использовали программное обеспечение для удаленного управления, такое как ScreenConnect, AnyDesk. В результате им удалось получить учетную запись с правами доменного админа. После чего злоумышленники предоставили доступ операторам шифровальщика LockBit. |
|
Хакеры используют новую уязвимость Windows, чтобы скрыть запланированные задачи
Microsoft обнаружила новое вредоносное ПО, используемое китайской хакерской группой Hafnium для закрепления в скомпрометированных системах Windows путем создания и скрытия запланированных задач. Хакерский инструмент получил название Tarrask и использует ранее неизвестную уязвимость Windows для скрытия запланированных задач путем удаления соответствующего значения в реестре. Злоумышленники используют скрытые запланированные задачи для сохранения доступа к инфраструктуре жертвы даже после перезагрузки системы. Скрытые задачи можно обнаружить только при ручном просмотре реестра Windows. При выполнении команды schtasks/query вредоносные запланированные задачи не будут отображены. Microsoft рекомендует включить логирование журнала Microsoft-Windows-TaskScheduler/Operational. |
|
В апрельском обновлении безопасности исправлено 128 уязвимостей, включая две нулевого дня
Обновления безопасности распространяются на следующие продукты: Microsoft Windows, Microsoft Defender, Microsoft Dynamics, Microsoft Edge, Exchange Server, Office, SharePoint Server, Windows Hyper-V, DNS-сервер, Skype, .NET, Visual Studio, Windows App Store. Из значимого была исправлена уязвимость CVE-2022-24521, позволяющая локально повысить привилегии через драйвер Windows Common Log File. Также была исправлена серьезная (CVSS 9.8) уязвимость удаленного выполнения кода RPC Runtime Library с высокими привилегиями в уязвимой системе, отслеживаемая как CVE-2022-26809. Среди закрытых уязвимостей 10 оцениваются как критические, 115 - как важные, а 3 - как средние. |