Итоги недели: атаки на macOS, утечки Shell и Ticketmaster, десятки новых уязвимостей

Прошедшая неделя выдалась насыщенной: исследователи нашли вредоносные пакеты в популярных репозиториях, компании признали крупные утечки данных, а вендоры закрыли сразу несколько опасных уязвимостей — от Chrome до промышленных VPN-устройств. Собрали главное из еженедельного обзора Cybersecurity News.

Главные инциденты

Специалисты обнаружили серию вредоносных пакетов в репозиториях PyPI и NPM, нацеленных на пользователей macOS. Найти их помог CLI-инструмент GuardDog, выпущенный ещё в конце 2022 года. Зацепкой стал пакет «reallydonothing», опубликованный 9 мая 2024 года и демонстрировавший ряд подозрительных признаков.

Китайские хакерские группировки были замечены во взломе военных сетей: злоумышленники используют продвинутые постоянные угрозы (APT) для получения долгосрочного доступа к чувствительной информации, применяя спир-фишинг и эксплойты нулевого дня.

Вредонос Kinsing продолжает эксплуатировать уязвимости серверов Apache Tomcat — он умеет удалённо выполнять команды и разворачивать дополнительные полезные нагрузки, что делает своевременное обновление ПО критически важным.

Компания MITRE сообщила о кибератаке с использованием подставных виртуальных машин: их применяли для обхода защитных механизмов и получения несанкционированного доступа к данным. Инцидент лишний раз показал, насколько важен постоянный мониторинг виртуальных сред.

Исследователи также раскрыли кампанию с поддельными сайтами антивирусов, имитирующими легитимный софт: пользователей обманом заставляют скачивать вредоносные программы, которые крадут личные данные и устанавливают дополнительные зловреды.

Обнаружен новый инструмент класса Platform-as-a-Service под названием Greatness, ориентированный на аккаунты Microsoft 365 — киберпреступники используют его для автоматизации фишинговых атак и кражи учётных данных.

Сервис Internet Archive подвергся DDoS-атаке, из-за которой доступ к его сервисам был нарушен. Отдельно зафиксированы атаки через «оружейные» документы Microsoft Office с вредоносными макросами и встроенными скриптами — пользователям советуют отключать макросы по умолчанию и с осторожностью открывать незапрошенные файлы.

Ещё одна тенденция недели — компрометация домашних и офисных (SOHO) роутеров для сборки ботнетов, которые затем используют для DDoS-атак и кражи данных. Причина обычно банальна: слабые настройки безопасности устройств.

Уязвимости недели

  1. DNSBomb — новый DoS-эксплойт, способный нарушать работу DNS-сервисов за счёт перегрузки трафиком.
  2. Google закрыл zero-day в Chrome — уязвимость CVE-2024-5274 связана с type confusion в движке V8 и позволяла выполнять произвольный код; пользователям рекомендовано срочно обновить браузер.
  3. Cisco Firepower Management Center — критическая уязвимость CVE-2024-20360 позволяет аутентифицированным удалённым атакующим проводить SQL-инъекции с последующим несанкционированным доступом к данным и командам ОС. Cisco выпустила обновления.
  4. Опубликован PoC-эксплойт для уязвимости повышения привилегий в macOS.
  5. Обнаружен изъян в PlugScheduler Windows 10, позволяющий выполнять произвольный код с повышенными привилегиями; Microsoft выпустила патчи.
  6. Хакеры эксплуатируют уязвимости VPN-устройств Check Point для проникновения в корпоративные сети.
  7. Киберпреступники используют бреши в браузере Arc — пользователям рекомендовано обновиться до последней версии.
  8. В Zscaler Client Connector найден эксплойт повышения привилегий; вендор выпустил обновления.
  9. Критическая уязвимость роутера TP-Link Archer C5400X позволяет удалённым атакующим получить контроль над устройством.
  10. Опубликован PoC-эксплойт для уязвимости в FortiSIEM; Fortinet выпустила патчи.
  11. Найдена уязвимость в Foxit PDF Reader и Editor, позволяющая выполнять произвольный код; вендор выпустил обновления.
  12. Опубликован PoC-эксплойт сразу для нескольких уязвимостей — очередное напоминание о важности своевременных обновлений.

Утечки данных

Злоумышленник заявил об утечке чувствительных данных компании Shell — одной из крупнейших энергетических компаний мира. В слитом массиве оказались коды покупателей, имена, email-адреса, номера телефонов и другая информация. Официального заявления Shell пока не сделала, но ожидается внутреннее расследование с привлечением экспертов по кибербезопасности; клиентам советуют внимательно следить за своими аккаунтами.

Провайдер аптечных услуг Sav-Rx раскрыл утечку данных, затронувшую 2,8 миллиона пользователей. Скомпрометированная информация может быть использована для кражи личности; компания привлекла специалистов для расследования и усиления защиты.

Хакеры заявили о масштабной утечке данных Ticketmaster, якобы затронувшей 560 миллионов пользователей вместе с данными их платёжных карт. Заявление вызвало большой резонанс, хотя его подлинность вызывает вопросы: среди опубликованных доказательств есть как новая, так и старая информация о клиентах, что наводит на мысль о компиляции данных из разных источников, а не о единой утечке.

Другие новости

Okta предупредила клиентов о росте атак credential stuffing — автоматизированного подбора логинов и паролей — и рекомендовала включить многофакторную аутентификацию и использовать уникальные надёжные пароли.

Сервис VirusTotal, используемый специалистами для анализа файлов и URL на предмет вредоносности, отметил очередную годовщину работы.

Google рассказала подробности инцидента со случайным удалением приватного облака клиента в Google Cloud VMware Engine (GCVE): пострадал австралийский пенсионный фонд UniSuper, причиной стала ошибка конфигурации при развёртывании. Команды Google и UniSuper совместно восстановили данные, а Google приняла меры для предотвращения подобных случаев в будущем.

Обнаружена уязвимость в библиотеке LangChain.js, способная раскрыть чувствительную информацию; разработчикам рекомендовано обновиться до последней версии.

Исследователи описали новый способ обхода Web Application Firewall (WAF) с помощью плагина для Burp Suite — специалистам по безопасности стоит пересмотреть настройки WAF и добавить дополнительные уровни защиты.

Правоохранители успешно ликвидировали ботнет 911 S5, который использовался для DDoS-атак и других вредоносных операций, снизив тем самым угрозу для онлайн-сервисов и инфраструктуры.

Источник: Cybersecurity News.