Дайджест Jet CSIRT [23.03.2021]

23.03.2021

Шифровальщик BlackKingdom атакует серверы Exchange через уязвимость ProxyLogon

 

К такому выводу пришёл независимый ИБ эксперт Марк Хатчинс (Mark Hutchins), который поделился своим исследованием в серии твитов. Для анализа, он развернул специальный уязвимый сервер (honeypot). Через некоторое время его ловушка была атакована через уязвимость ProxyLogon, что позволило атакующим запустить в системе PowerShell для скачивания вредоносной нагрузки ВПО BlackKingdom.


Злоумышленники используют веб-шелл 8-летней давности для атак на Microsoft Exchange

 

Специалисты ИБ компании Rapid7 разместили в корпоративном блоге детали анализа действий злоумышленников после эксплуатации уязвимости ProxyLogon. Согласно материалу, преступники использовали веб-шелл China Chopper в атаках на серверы Microsoft Exchange девяти разных организаций с февраля по март этого года. Исследователи отмечают, что о ВПО China Chopper известно как минимум с 2013 года.


В популярном ПО для дистанционного обучения обнаружены множественные уязвимости

 

Об этом заявили исследователи из компании McAfee в результате анализа ПО Netop Vision Pro, которое используется учителями для мониторинга студентов, использующих школьные компьютеры. По словам экспертов, продукт содержит четыре уязвимости, позволяющие удаленно выполнять произвольный код и повышать привилегии в системе с установленным Vision Pro. По сути, это означает возможность полного контроля ПК студента потенциальным злоумышленником.