ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — ботнет SSHStalker взломал 7000 машин под управлением Linux, расширение Chrome крадет корпоративные данные, фальшивый 7-Zip превращает ПК в скрытый прокси-узел, вредоносная надстройка для Outlook похитила более 4000 учетных данных Microsoft, уязвимость в приложении «Блокнот» в Windows 11 позволяла выполнить удаленный код.

Ботнет SSHStalker взломал 7000 машин под управлением Linux

Исследователи из компании Flare обнаружили ботнет SSHStalker, который использовал подбор паролей для аутентификации по SSH в атаке на Linux-сервера. После проникновения в систему вредоносная программа создает бэкдор и устанавливает исполняемый файл, выполняющий сканирование, пытаясь найти другие уязвимые серверы. Пока ботнет только поддерживает присутствие, но он способен запускать DDoS-атаки и заниматься криптомайнингом. Рекомендуется отключить аутентификацию по SSH-паролям на Linux-машинах и заменить ее аутентификацией на основе SSH-ключей или скрыть вход по паролям за VPN.

Расширение Chrome крадет корпоративные данные

Группа исследователей угроз Socket обнаружила вредоносное расширение для Google Chrome под названием CL Suite. Оно открыто позиционирует себя как способ сбора данных Business Suite, но при этом похищает TOTP-коды, коды двухфакторной аутентификации, списки контактов Business Manager и аналитические данные, после чего пересылает информацию в канал Telegram злоумышленника. Похищенные данные включают имена, электронные адреса, уровни доступа и связанные рекламные аккаунты. Организациям следует внедрить списков разрешенных расширений и осуществлять мониторинг необычного сетевого трафика и доменов.

Фальшивый 7-Zip превращает ПК в скрытый прокси-узел

Аналог популярного сайта-архиватора 7-Zip распространял