Дайджест Jet CSIRT [28.07.2022]

28.07.2022

Вредоносное ПО Subzero использует уязвимости в Windows и Adobe Reader

Эксперты из Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) обнаружили факт применения злоумышленниками нескольких 0-day эксплойтов для уязвимостей в Windows и Adobe Reader. Как сообщается в отчете, за разработкой вредоносного ПО Subzero, использовавшегося в атаках, стоит группировка Knotweed, которая нацелена на организации Европы и Центральной Америки.


Компания Trend Micro рассказала об атаке с применением загрузчика Gootkit

В процессе заражения жертва загружает со скомпрометированного веб-сайта ZIP-архив, содержащий вредоносный файл с расширением .js. В результате запуска этого файла выполняется скрипт, который внедряет зашифрованный код в реестр и создает запланированные задачи. Затем вредоносный код выполняется с помощью PowerShell, что приводит к загрузке Cobalt Strike в память целевого устройства.


Злоумышленники используют приложения Microsoft для доставки маяков Cobalt Strike

Исследователи из Cyble Research Labs сообщили об атаках, в ходе которых злоумышленники используют приложения Microsoft Teams и OneDrive для загрузки файла вредоносной библиотеки, содержащего URL-адрес C&C-сервера, через который доставляется маяк Cobalt Strike. В опубликованном отчете описаны технические детали вредоносной кампании, а также представлены индикаторы компрометации.