ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — исследование применения техники RLO в атаках на российские компании, уязвимость в известном FTP-сервере ProFTP, анализ Android-трояна DroidBot, детальный разбор ВПО RevC2 и Venom Loader, а также решение критических уязвимостей в Veeam.

Отчет об использовании техники RLO в атаках на российские компании

Специалисты из «Лаборатории Касперского» опубликовали отчет о вредоносной кампании, использующей технику Right-to-Left Override (RLO). Техника связана со специальным символом Unicode, который инвертирует отображение текста. Злоумышленники используют ее для подмены имен файлов или расширений. Применение техники RLO фиксируется в атаках с использованием троянского ВПО Remcos RAT, загрузчика DarkGate и бэкдора BrockenDoor. Результатом успешной атаки становится получение доступа и компрометация целевой системы. В отчете отмечается, что жертвами стали российские компании, занимающиеся продажей, настройкой, консультацией и сопровождением ПО для автоматизации бизнес-процессов. Для противодействия рекомендуется отслеживать индикаторы компрометации, предоставленные в отчете, а также своевременно обновлять базы антивирусных сигнатур.

Уязвимость в популярном FTP-сервере ProFTP

ProFTP содержит критическую уязвимость, которая может позволить злоумышленникам получить доступ к уязвимым системам. Уязвимость, отслеживаемая как CVE-2024-48651 (CVSS 7.5), существует в компоненте mod_sql ProFTPD версий 1.3.8b и более ранних. Ее успешная эксплуатация предоставляет злоумышленникам возможность получить привилегии уровня root, что приводит к полной компрометации системы. Согласно сканированию Shodan, сервера под управлением ProFTP продолжают активно использоваться во многих регионах, включая Россию. Для устранения уязвимости