Дайджест Jet CSIRT [26-28.06.2021]

26.06.2021

Обнаружен вредоносный драйвер Netfilter, подписанный Microsoft

 

Аналитик Карстен Хан (Karsten Hahn) из компании G Data обнаружил нелегитимную сетевую активность от драйвера Netfilter, имеющего подпись Microsoft. В результате исследования оказалось, что драйвер является руткитом, подключающимся к C&C-инфраструктуре в Китае. Компания Microsoft признала, что подписала вредоносный драйвер и проводит внутреннее расследование. По данным компании, целью злоумышленников является игровой сектор. На текущий момент нет свидетельств влияния данного происшествия на корпоративные среды.


Конструктор для создания вымогателя Babuk Locker попал в сеть

 

Кевин Бомонт (Kevin Beaumont) обнаружил конструктор вымогателя Babuk Locker. С его помощью можно создавать полноценные кастомные версии Babuk, для шифрования файлов на Windows-системах, в NAS и на серверах VMWare ESXi, а также генерировать соответствующие дешифраторы. Утечка произошла через два месяца после того, как его создатели объявили о прекращении операций с вымогателем после громкой атаки на полицейское управление Вашингтона.


Обнаружено активное использование уязвимости в Cisco ASA

 

Недавно исследователи из Positive Technologies Offensive Team опубликовали PoC-эксплойт для уязвимости Cisco ASA (CVE-2020-3580), которая была исправлена Cisco в апреле 2021 года. Вскоре после публикации специалисты компании Tenable сообщили об активном сканировании сетей на предмет выявления уязвимых устройств. Эксплуатация уязвимости позволяет неавторизованному злоумышленнику выполнить произвольный код скрипта в контексте интерфейса или получить доступ к конфиденциальной информации через браузер.

Опубликован традиционный Threat Roundup от Cisco Talos

 

Команда Cisco Talos опубликовала очередной Threat Roundup по наиболее актуальным угрозам ИБ за период с 18 по 25 июня.