Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — анализ ВПО CloudSorcerer, уязвимость в Windows MSHTML, недостаток в протоколе RADIUS, обновления безопасности в Citrix NetScaler, обновление ВПО ViperSoftX.

ВПО CloudSorcerer угрожает российским государственным структурам

Специалисты из Лаборатории Касперского опубликовали технический анализ ВПО CloudSorcerer, которое нацелено на российские государственные структуры. ВПО CloudSorcerer обладает мощным инструментарием для скрытого мониторинга, сбора данных и эксфильтрации через облачную инфраструктуру Microsoft Graph, Yandex Cloud и Dropbox. В качестве серверов управления и контроля (C2) используются облачные ресурсы, а исходным сервером C2 является GitHub. Отмечается, что CloudSorcerer может динамически адаптировать свое поведение в зависимости от процесса, в котором он запущен, что значительно расширяет функционал. В отчете также приводятся индикаторы компрометации, которые характерны для активности CloudSorcerer. Для защиты от атак подобного класса рекомендуется поддерживать базы АВПО в актуальном состоянии и своевременно блокировать нелегитимные сетевые взаимодействия.

Уязвимость в Windows MSHTML

Специалисты из Check Point Research обнаружили, что уязвимость CVE-2024-38112 (CVSS: 7.5) активно используется злоумышленниками. Уязвимость связана с MHTML-файлами и возможностью использования устаревшего браузера Internet Explorer (IE). MHTML — это формат веб-страниц IE, который инкапсулирует всю страницу, включая ее изображения, в один архив. При открытии URL-адреса с помощью конструкции mhtml:URI Windows автоматически откроет его в Internet Explorer вместо браузера по умолчанию. И при наличии файла, указанного в URL, предложит загрузить содержимое. Это позволяет злоумышленникам создавать подменные URL для