Дайджест Jet CSIRT [30.04.2022 -04.05.2022]

30.04.2022

Группировка Override Panda вновь замечена в долгосрочных атаках

Исследователи Cluster25 обнаружили следы долгосрочной атаки китайской группировки Override Panda, также известной как Naikon, Hellsing и Bronze Geneva. Злоумышленники отправляют фишинговые письма с вложенным файлом Microsoft Office об объявлении проведения тендера. С помощью макроса, который запускается при открытии документа, создаются два файла для загрузки shell-кода. Далее в процесс svchost.exe внедряется опознавательный знак, использующийся инструментами RedTeam Viper и ARL. Подобная атака наблюдалась в апреле прошлого года и была направлена на Юго-Восточную Азию.


Опубликовано исследование уязвимости ExtraReplica в Azure PostgreSQL

В январе 2022 года исследователи Wiz Research обнаружили цепочку уязвимостей в базе данных Azure PostgreSQL Flexible Server. Благодаря ExtraReplica злоумышленник получал сетевой доступ к другим экземплярам, находящимся в этой же подсети. Также обнаружена уязвимость в процессе аутентификации службы, вызванная излишним разрешением в регулярном выражении для общего имени сертификата (CN). Компания Microsoft объявила, что на данный момент уязвимости устранены.


Ошибка DNS затрагивает известные IoT-устройства

Команда Nozomi Networks Labs обнаружила неисправленную ошибку DNS в стандартных библиотеках uClibc и uClibc-ng всех версий. При условии соответствия IP-адреса и порта источника и цели, а также их протокола, злоумышленник может провести атаку «человек по середине», используя уязвимость уникального номера DNS. Ошибка еще не исправлена, однако исследователи утверждают, что затрагиваются известные IoT-устройства.


Уязвимости TLStorm 2 затрагивают коммутаторы Aruba и Avaya Networking

В марте эксперты ARMIS опубликовали исследование о пяти критических уязвимостях CVE (уровня 9,0 и выше) в устройствах APC Smart-UPS под названием TLStorm. Уязвимость реализовывалась благодаря библиотеке Mocana NanoSSL, которая также используется поставщиками коммутаторов Aruba и Avaya Networking. TLStorm 2.0 обеспечивает боковое перемещение с помощью нарушения сегментации сети, позволяет выполнить эксфильтрацию данных и выйти из захваченного устройства.