ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — атака на российские компании ранее неизвестной APT-группировкой, уязвимости в межсетевых экранах Palo Alto, предупреждение Cisco об уязвимости отказа в обслуживании, новые методы обхода обнаружения в Lumma Steale, а также уязвимость в OpenVPN Easy-rsa.

Российские компании атакует ранее неизвестная APT-группировка

Специалисты Positive Technologies сообщили о новой APT-группировке под названием DarkGaboon, которая оставалась незамеченной более полутора лет. Атаки нацелены на финансовые подразделения компаний. Группировка использует инструмент Revenge RAT и шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике. Все образы Revenge RAT подписаны поддельными сертификатами X.509, якобы выпущенными на имя российских компаний. Также DarkGaboon использует омоглифы в названиях, что позволяет оставаться скрытными для киберразведки. Рекомендуется ознакомиться с индикаторами компрометации, представленными в отчете.

Обнаружены множественные уязвимости в межсетевых экранах Palo Alto

Компания Eclypsium провела анализ трех устройств Palo Alto Networks: PA-3260, PA-1410 и PA-415. Анализ показал, что все они подвержены уязвимости BootHole, которая может быть использована для установки скрытого вредоносного ПО. Помимо этого, в список уязвимостей вошли:

·       уязвимости System Management Mode (PA-3260) — повышение привилегий и обход безопасной загрузки;

·       LogoFAIL (PA-3260) — обход безопасной загрузки и выполнение вредоносного кода во время запуска системы;

·       PixieFail (PA-1410 и PA-415) — выполнение кода и раскрытие информации;

·       уязвимость небезопасного управления доступом к флеш-памяти (PA-415) — изменение UEFI и обход механизмов безопасности;

·       уязвимость