ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критическая уязвимость FortiOS, инфостилер в Excel-документах, анализ шифровальщика Black Hunt, нестандартный троян Coyote и новый бэкдор Zardoor. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Тимофей Викулин.

Критическая уязвимость FortiOS привела к атакам на VPN

Fortinet предупреждает о высокой вероятности использования в атаках критической RCE-уязвимости FortiOS SSL VPN. Уязвимость CVE-2024-21762 получила 9,6 балла по шкале CVSS. Ошибка связана с out-of-bounds записью и позволяет неавторизованным злоумышленникам удаленно выполнить произвольный код. Мы рекомендуем обновиться до последней версии или временно отключить SSL VPN на устройствах FortiOS.

Инфостилер, распространяемый через зараженные Excel-документы

Исследователи FortiGuard Labs проанализировали инфостилер, крадущий файлы cookie и регистрационные данные из браузеров. Компрометация происходит в несколько этапов — от заражения и закрепления до кражи данных. В атаке используется разнообразное ВПО: VBA-макрос в файле Excel, bat-скрипт с командами powershell и bypass.vbs, помещенный в автозагрузку через ветвь реестра, и, наконец, script.py, отправляющий telegram-боту zip-файл с крадеными данными. Рекомендуем не открывать документы с макросами от неизвестных источников и отслеживать возникновение индикаторов компрометации, указанных в исследовании.

Rapid7 Labs провела анализ шифровальщика Black Hunt

Rapid7 Labs исследовала образец Black Hunt, который использует утекшие в сеть наработки LockBit и имеет сходство с другими семействами программ-вымогателей. ВПО может обрабатывать аргументы, меняющие его поведение, такие как отключение возможностей распространения, настройка скорости шифрования, количество потоков