ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — 0-day уязвимость в Microsoft Windows, троян удаленного доступа StilachiRAT, критические уязвимости в системе mySCADA, стилер Arcane и анализ Backdoor Betruger.

Активно эксплуатируемая 0-day уязвимость в Microsoft Windows

Специалисты Trend Micro сообщили об активной эксплуатации 0-day уязвимости Microsoft Windows. Уязвимость позволяет злоумышленникам добавлять аргументы командной строки в файлы ярлыков LNK, делая их невидимыми для пользователя. Уязвимость воспроизводится при манипуляции с отображением поля Target в свойствах файла с помощью заполнения их неотображаемыми спецсимволами (пробел, табуляция, перевод строки и т.д.). При проверке такого LNK файла, Windows не сможет отобразить вредоносные аргументы в выделенном пространстве пользовательского интерфейса. Всего удалось обнаружить более 1000 различных экземпляров вредоносных фалов, злоупотребляющих данной техникой. Уязвимость была выявлена в сентябре 2024 года, однако на момент публикации статьи решение проблемы всё ещё не было предложено. Исследователи установили факт использования данной уязвимости различными APT-группами начиная с 2017 года в кампаниях, направленных в первую очередь на кибершпионаж и кражу данных.

Анализ нового трояна удаленного доступа StilachiRAT

Компания Microsoft провела анализ StilachiRAT, нового трояна удалённого доступа (RAT), который впервые был обнаружен в ноябре 2024 года. Исследователи обнаружили, что ВПО использует продвинутые методы, чтобы избегать обнаружения, сохранять присутствие в заражённых системах и красть конфиденциальные данные. Анализ модуля WWStartupCtrl64.dll выявил широкие возможности по краже различных данных с зараженной системы, включая учетные данные в браузере, буфер обмена, популярные