Дайджест Jet CSIRT [23.04.2021]

23.04.2021

Ботнет Prometei в своих атаках использует свежие уязвимости в Microsoft Exchange

Команда Cybereason Nocturnus опубликовала расследование, связанное с атаками ботнета  Prometei на инфраструктуру компаний в Северной Америке. Для проникновения в сеть компании и установки вредоносного ПО злоумышленники использовали новые уязвимости в Microsoft Exchange (CVE-2021-27065, CVE-2021-26858). Указанные уязвимости использовались в качестве первоначального вектора компрометации для установки веб-оболочки China Chopper и закрепления в системе. После получения доступа, инициировался запуск PowerShell-скрипта, для загрузки исходной полезной нагрузки Prometei с удаленного сервера.


Специалисты RiskiQ опубликовали новое исследование атаки на цепочку поставок SolarWinds

Специалисты RiskiQ выпустили новый отчёт по расследованию атаки на цепочку поставок SolarWinds, в котором подтверждают высокую квалификацию киберпреступников, стоящих за атакой. По словам специалистов, злоумышленники тщательно планировали каждый этап атаки чтобы избежать шаблонных векторов, что в конечном счёте позволило им затруднить криминалистическую экспертизу. Анализ телеметрии позволил выявить ещё 18 серверов, использовавшихся для связи с полезной нагрузкой Cobalt Strike.


Новые уязвимости в QNAP NAS эксплуатируются программой-вымогателем Qlocker

Новое вымогательское программное обеспечение Qlocker массово атакует сетевые хранилища QNAP NAS, используя недавно выявленные уязвимости в HBS 3 Hybrid Backup Sync. В рамках атаки, Qlocker упаковывает все файлы на устройстве в запароленный 7zip-архив и требует 0,01 биткойна (около $500,57) за их восстановление.