Дайджест Jet CSIRT [14.10.2020]

14.10.2020

Троян BazarLoader используется для загрузки вымогателя Ryuk

Исследователи безопасности из Advanced Intel сообщают, что злоумышленники стали использовать BazarLoader для доставки шифровальщика Ryuk. BazarLoader пришел на замену ботнета TrickBot, ключевую инфраструктуру которого  Microsoft отключила на этой неделе. Главными преимуществами BazarLoader специалисты называют скрытность и возможность обфускации. Кроме того, один из модулей вредоноса (Bazarbackdoor) загружает маяк Cobalt Strike, который предоставляет злоумышленникам удаленный доступ.


Зафиксирован рост активности ботнета Lemon Duck

Исследователи безопасности из компании Cisco Talos предупредили о резком росте активности ботнета Lemon Duck для майнинга криптовалюты Monero. А также рассказали об особенностях ботнета, который имеет минимум 12 независимых векторов заражения - от брутфорса паролей протоколов SMB и RDP, до эксплуатации уязвимостей BlueKeep и YARN Hadoop.


В 2.2 тысячах виртуальных образов обнаружили 400 тысяч уязвимостей

Специалисты компании Orca Security провели исследование, в котором приняли участие более 540 вендоров. Исследование проводилось путем сканирования образов технологией SideScanning для выявления уязвимостей и устаревших операционных систем. По результатам исследований вендорам был присвоен рейтинг безопасности. Примерно четверть из них получили оценку A, 12% - оценку B, а 15% получили самую низкую оценку F.


Microsoft устранила опасную уязвимость в стеке Windows TCP/IP

В рамках планового ежемесячного обновления безопасности для своих продуктов, компания Microsoft устранила 87 уязвимостей. Самой опасной исправленной уязвимостью в этом месяце являлась CVE-2020-16898 – уязвимость удаленного выполнения кода в стеке Windows TCP/IP. Уязвимость позволяла атакующему захватить контроль над Windows путем отправки через сетевое соединение вредоносных пакетов ICMPv6 Router Advertisement.