ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 —  новая волна многоступенчатых атак Kaspersky: Head Mare, Petya-стиль шифровальщик с UEFI-bootkit, 14 рекомендаций по безопасности промышленных систем (ICS/OT), Android-RAT с NFC-ретрансляцией и ATS и macOS-бекдор и кроссплатформенный RAT.

Kaspersky: Head Mare — новая волна многоступенчатых атак

«Лаборатория Касперского» зафиксировала новую волну активности группировки Head Mare: злоумышленники доставляют polyglot-вложения, которые при открытии запускают первичный загрузчик и разворачивают модульные бэкдоры, после чего создают SSH-туннели и прокси для стойкого доступа. Атака реализуется через целенаправленный фишинг и использование living-off-the-land для скрытного движения по сети, что дает возможность долгой эксфильтрации данных и доступа к админ-консолям. Рекомендуется включить распаковку и глубокий анализ вложений на почтовом шлюзе, запретить исполнение неподписанных DLL-скриптов из пользовательских каталогов и детектировать/блокировать нестандартные исходящие SSH-туннели.

ESET: HybridPetya — Petya-стиль шифровальщик с UEFI-bootkit

ESET описал семейство HybridPetya: классическая логика шифрования метаданных (MFT) дополняется UEFI-компонентом bootkit. Часть образцов записывает вредоносный EFI-модуль в EFI System Partition и выполняется до загрузки ОС. В отчете указано, что некоторые варианты эксплуатируют уязвимости прошивок, в том числе CVE-2024-7344 (CVSS: 6.7), что позволяет обходить Secure Boot. Атака реализуется через зараженные инсталляторы или на этапе post-exploit после компрометации хоста; последствия — стойкий руткит на уровне загрузки, затрудненное восстановление и риск полной потери доступа к данным. Рекомендуется обновить прошивки и UEFI-компоненты, применить списки отзыва неподписанных