ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — анализ первого загрузчика UEFI для Linux Bootkitty, фишинговые атаки на Rockstar 2FA PaaS, уязвимости Zero-day и Zero-click в браузерах Firefox и Windows, драйвер, дающий полный контроль над системой в Avast, и атаки на государственные структуры России через TaxOff.

Bootkitty — анализ первого загрузчика UEFI для Linux

Исследователи из ESET обнаружили первый bootkit UEFI, предназначенный для Linux, который получил название Bootkitty. Bootkitty нацелен на отключение проверки подписи ядра Linux и загрузку сторонних двоичных файлов, что дает возможность для установки дополнительных вредоносных компонентов. Он способен обходить механизмы UEFI Secure Boot на ряде систем Ubunt и вносить изменения в память для обхода проверки целостности при загрузке GRUB и ядра Linux. Bootkitty подписан самоподписанным сертификатом, что ограничивает его работу только системами с отключенной UEFI Secure Boot. Рекомендуется проверить файлы /proc/1/environ, dmesg, а также состояние ядра (dmesg | grep "BoB13"), при обнаружении Bootkitty необходимо вернуть оригинальный файл GRUB на место. Для этого переместите /EFI/ubuntu/grubx64-real.efi обратно в /EFI/ubuntu/grubx64.efi. Также необходимо обновить UEFI Secure Boot.

Фишинговые атаки Rockstar 2FA PaaS

Специалисты Trustwave SpiderLabs выявили рост фишинговых компаний, связанных с платформой Rockstar 2FA PaaS. Атаки нацелены на кражу учетных данных и сеансов с использованием методов социальной инженерии, обхода MFA, а также обфускации кода. На фишинговые страницы интегрируют сервис Cloudflare Turnstile, чтобы отсеивать ботов. После через сервис пользователь перенаправляется на страницу, имитирующую вход в популярные сервисы, откуда данные учетных записей передаются серверу