ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — DripDropper распространяется через уязвимость Apache ActiveMQ, бэкдор Android шпионит за сотрудниками российских предприятий, Apple устранила критическую zero-day уязвимость в ImageIO, GodRAT — новый RAT, нацеленный на финансовые учреждения, QuirkyLoader распространяет Agent Tesla, AsyncRAT и кейлоггер Snake.

DripDropper распространяется через уязвимость Apache ActiveMQ

Исследователи Red Canary сообщили об активной эксплуатации уязвимости CVE-2023-46604 (CVSS: 10.0) в Apache ActiveMQ для распространения вредоносного ПО DripDropper в Linux-средах. Данный баг представляет собой удалённое выполнение кода (RCE), позволяющее злоумышленнику получить полный контроль над системой. После установки DripDropper атакующие загружают и внедряют вредонос в систему, а затем накатывают официальный патч, чтобы «закрыть» уязвимость и скрыть факт компрометации, одновременно блокируя других злоумышленников. Для запуска вредоносного модуля требуется специальный пароль активации, что осложняет его исследование. В качестве скрытого C2-сервера используется Dropbox, а для закрепления в системе DripDropper изменяет SSH- и cron-конфигурации. Рекомендуется обновить Apache ActiveMQ до актуальных версий и отслеживать изменения в системных настройках SSH и cron.

Бэкдор Android шпионит за сотрудниками российских предприятий

Компания Doctor Web сообщила о выявлении мобильного бэкдора Android.Backdoor.916.origin, распространяемого под видом приложений «ФСБ» или «антивирусных решений». Программа запрашивает широкий спектр разрешений, включая доступ к камере, микрофону, SMS, звонкам, контактам и геолокации. Бэкдор активно применяется для шпионажа за сотрудниками российских предприятий, скрываясь под правдоподобными предлогами. Интерфейс