Дайджест Jet CSIRT [26-28.12.2020]

26.12.2020

Уязвимость в SolarWinds Orion API позволяет выполнять неавторизованные команды

Координационный центр US-CERT опубликовал информацию об уязвимости (CVE-2020-10148), которая позволяет удаленному злоумышленнику обойти процесс аутентификации API путем использования особых параметров в запросе. Предположительно, данная уязвимость использовалась для развертывания бэкдора SUPERNOVA, который обнаружили исследователи из Palo Alto Unit 42 и Microsoft неделю назад. SolarWinds уже выпустило обновленную версию уведомления безопасности с рекомендациями по устранению.


Обнаружено вредоносное ПО, использующее GitHub и Imgur для загрузки Cobalt Strike

Исследователь кибербезопасности Arkbird сообщил о новом вредоносном ПО, которое при открытии word документа запускает встроенный макрос для загрузки PowerShell скрипта, размещённого на GitHub. Скаченный скрипт загружает PNG-файл из сервиса хостинга изображений Imgur. Значения пикселей данного PNG-файла используются скриптом для декодирования полезной нагрузки Cobalt Strike на Windows системах. Некоторые исследователи связали данный вид вредоносного ПО с APT-группировкой MuddyWater (известной как SeedWorm и TEMP.Zagros).


Кибергруппировка REvil похитила данные крупной сети косметических клиник

Операторы REvil опубликовали несколько изображений взломанных систем The Hospital Group на своем сайте утечек, размещенном в сети Tor. Компания подтвердила атаку вымогателей и оповестила об этом своих клиентов. Злоумышленники утверждают, что украли около 600 ГБ документов, к которым относятся личные данные клиентов, а также их интимные фотографии. На данный момент организация не предприняла действий по выплате средств злоумышленникам.