Дайджест Jet CSIRT [24.12.2020]

24.12.2020

Опубликованы подробности атак группировки Lazarus на компании, связанные с исследованиями COVID-19

Специалисты «Лаборатории Касперского» представили исследование атак на организации, связанные с исследованиями COVID-19. В ходе атак на компании злоумышленники использовали вредоносное ПО wAgent и Bookcode. По словам специалистов вредоносное ПО wAgent имеет ту же схему заражения, что и вредоносное ПО, которое группа Lazarus ранее использовала для атак на криптовалютные предприятия. В свою очередь вредоносное ПО Bookcode используется исключительно группой Lazarus и содержит много кода, пересекающегося со старыми вариантами ВПО Manuscrypt. Именно эти факты, а также характер поведения злоумышленников в инфраструктуре, позволили сделать вывод о причастности группировки Lazarus к данным атакам.


Опубликован новый PoC-эксплоит для не исправленной 0-day уязвимости в Windows

Исследователь безопасности Google Project Zero Мэдди Стоун обнаружила, что июньский патч Microsoft не устранил исходную уязвимость (CVE-2020-0986), и ее все еще можно эксплуатировать с некоторыми корректировками. Изначальная проблема обеспечивала атакующему контроль над указателями “src” и “dest” на функцию memcpy, и позволяла повысить свои привилегии до уровня ядра. Выявленная уязвимость получила идентификатор CVE-2020-17008.


Citrix предупредила о продолжающихся DDoS-атаках на ADC NetScaler

Компания Citrix подтвердила, что продолжающаяся компания по проведению DDoS атак с использованием протокола DTLS в качестве вектора усиления влияет на сетевые устройства Citrix Application Delivery Controller (ADC) с включенным протоколом Enlighted Data Transport UDP (EDT). Согласно рекомендациям Citrix, клиенты могут смягчить последствия DDoS-атаки временно отключив протокол DTLS.