Дайджест Jet CSIRT [23.12.2020]

23.12.2020

Опубликовано расследование Trusec о сотрудничестве между FIN7 и операторами RYUK

Специалисты компании Truesec провели исследование атаки вируса-вымогателя Ryuk на одно из предприятий, в ходе которого пришли к выводу, что за атакой стояла хакерская группировка FIN7 (также известная как Carbanak). При этом, после успешной кражи данных на поражённых системах был развёрнут вирус-вымогатель RYUK, принадлежащий другой группировке FIN6 (также известная как WIZARD SPIDER). На сотрудничество двух группировок указывает применение в ходе атаки уникальных тактик и вредоносных инструментов, принадлежащих обеим группировкам.


Выявлена критическая уязвимость в репозитории TeamworkCloud

Выявлена критичная уязвимость в репозитории Teamwork Cloud, используемом для совместной разработки и хранения версий 3-D моделей. Неправильное назначение разрешений на системные директории во время сценария установки TeamworkCloud версий 18.0 - 19.0 позволяет локальному непривилегированному пользователю выполнить произвольный код от имени пользователя root. Среди пользователей TeamworkCloud фигурируют такие известные правительственные и частные компании как: НАСА, Боинг, Airbus, Raytheon Technologies, Lockheed Martin.


Активизация банковского ботнета Emotet

Одновременно несколько компаний в области информационной безопасности предупредили о всплеске активности ботнета Emotet. Одной из особенностей ботнета является цикличность его активности. На текущий момент, специалисты фиксируют более 100 тыс. фишинговых писем в день, являющихся частью кампании Emotet. Также специалисты отметили, что на текущий момент, отсутствуют какие-либо существенные изменения в механике заражения узла жертвы данным вредоносным ПО.