ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — хакеры используют устаревшие драйверы для взлома, новый троян поражает сферы энергетики, здравоохранения и логистики, уязвимости Cisco, атаки на бизнес и новое вредоносное ПО для Linux.

Silent Killer: хакеры используют устаревшие драйверы для взлома

Исследователи Check Point Research выявили масштабную кампанию, использующую образцы для развертывания модуля-убийцы EDR/AV. Исследование показало, что злоумышленники эксплуатировали уязвимую версию драйвера Truesight.sys (2.0.2), который входит в продукты Adlice (RogueKiller Antirootkit). Впервые этот вредоносный модуль был зафиксирован в июне 2024 года. Сама атака строилась в несколько этапов. Сначала злоумышленники загружали устаревший драйвер Truesight 2.0.2, используя его уязвимость для завершения защищенных процессов Windows. Манипуляция PE-структурой позволяла обходить механизмы обнаружения. Затем происходило развертывание модуля-убийцы EDR/AV, который использовался для отключения антивирусных решений. Рекомендуется запретить загрузку драйверов Truesight с версией ниже 3.4.0.

FatalRAT: новый троян поражает сферы энергетики, здравоохранения и логистики

Специалисты Kaspersky ICS CERT выявили киберугрозу, нацеленную на различные промышленные организации. Злоумышленники использовали известные облачные сервисы, такие как myqcloud и Youdao Cloud Notes, для организации сложной многоступенчатой атаки с помощью бэкдора класса FatalRAT. Атака начинается с фишинга, где злоумышленники рассылают ZIP-архивы, замаскированные под легитимные документы. Эти архивы содержат загрузчики, которые после выполнения делают запросы к Youdao Cloud Notes для получения дальнейших инструкций и конфигураций. Загруженные модули (Before.dll и Fangao.dll) используют динамически