Прошедшая неделя выдалась насыщенной: исследователи нашли вредоносные пакеты в популярных репозиториях, компании признали крупные утечки данных, а вендоры закрыли сразу несколько опасных уязвимостей — от Chrome до промышленных VPN-устройств. Собрали главное из еженедельного обзора Cybersecurity News.
Главные инциденты
Специалисты обнаружили серию вредоносных пакетов в репозиториях PyPI и NPM, нацеленных на пользователей macOS. Найти их помог CLI-инструмент GuardDog, выпущенный ещё в конце 2022 года. Зацепкой стал пакет «reallydonothing», опубликованный 9 мая 2024 года и демонстрировавший ряд подозрительных признаков.
Китайские хакерские группировки были замечены во взломе военных сетей: злоумышленники используют продвинутые постоянные угрозы (APT) для получения долгосрочного доступа к чувствительной информации, применяя спир-фишинг и эксплойты нулевого дня.
Вредонос Kinsing продолжает эксплуатировать уязвимости серверов Apache Tomcat — он умеет удалённо выполнять команды и разворачивать дополнительные полезные нагрузки, что делает своевременное обновление ПО критически важным.
Компания MITRE сообщила о кибератаке с использованием подставных виртуальных машин: их применяли для обхода защитных механизмов и получения несанкционированного доступа к данным. Инцидент лишний раз показал, насколько важен постоянный мониторинг виртуальных сред.
Исследователи также раскрыли кампанию с поддельными сайтами антивирусов, имитирующими легитимный софт: пользователей обманом заставляют скачивать вредоносные программы, которые крадут личные данные и устанавливают дополнительные зловреды.
Обнаружен новый инструмент класса Platform-as-a-Service под названием Greatness, ориентированный на аккаунты Microsoft 365 — киберпреступники используют его для автоматизации фишинговых атак и кражи учётных данных.
Сервис Internet Archive подвергся DDoS-атаке, из-за которой доступ к его сервисам был нарушен. Отдельно зафиксированы атаки через «оружейные» документы Microsoft Office с вредоносными макросами и встроенными скриптами — пользователям советуют отключать макросы по умолчанию и с осторожностью открывать незапрошенные файлы.
Ещё одна тенденция недели — компрометация домашних и офисных (SOHO) роутеров для сборки ботнетов, которые затем используют для DDoS-атак и кражи данных. Причина обычно банальна: слабые настройки безопасности устройств.
Уязвимости недели
- DNSBomb — новый DoS-эксплойт, способный нарушать работу DNS-сервисов за счёт перегрузки трафиком.
- Google закрыл zero-day в Chrome — уязвимость CVE-2024-5274 связана с type confusion в движке V8 и позволяла выполнять произвольный код; пользователям рекомендовано срочно обновить браузер.
- Cisco Firepower Management Center — критическая уязвимость CVE-2024-20360 позволяет аутентифицированным удалённым атакующим проводить SQL-инъекции с последующим несанкционированным доступом к данным и командам ОС. Cisco выпустила обновления.
- Опубликован PoC-эксплойт для уязвимости повышения привилегий в macOS.
- Обнаружен изъян в PlugScheduler Windows 10, позволяющий выполнять произвольный код с повышенными привилегиями; Microsoft выпустила патчи.
- Хакеры эксплуатируют уязвимости VPN-устройств Check Point для проникновения в корпоративные сети.
- Киберпреступники используют бреши в браузере Arc — пользователям рекомендовано обновиться до последней версии.
- В Zscaler Client Connector найден эксплойт повышения привилегий; вендор выпустил обновления.
- Критическая уязвимость роутера TP-Link Archer C5400X позволяет удалённым атакующим получить контроль над устройством.
- Опубликован PoC-эксплойт для уязвимости в FortiSIEM; Fortinet выпустила патчи.
- Найдена уязвимость в Foxit PDF Reader и Editor, позволяющая выполнять произвольный код; вендор выпустил обновления.
- Опубликован PoC-эксплойт сразу для нескольких уязвимостей — очередное напоминание о важности своевременных обновлений.
Утечки данных
Злоумышленник заявил об утечке чувствительных данных компании Shell — одной из крупнейших энергетических компаний мира. В слитом массиве оказались коды покупателей, имена, email-адреса, номера телефонов и другая информация. Официального заявления Shell пока не сделала, но ожидается внутреннее расследование с привлечением экспертов по кибербезопасности; клиентам советуют внимательно следить за своими аккаунтами.
Провайдер аптечных услуг Sav-Rx раскрыл утечку данных, затронувшую 2,8 миллиона пользователей. Скомпрометированная информация может быть использована для кражи личности; компания привлекла специалистов для расследования и усиления защиты.
Хакеры заявили о масштабной утечке данных Ticketmaster, якобы затронувшей 560 миллионов пользователей вместе с данными их платёжных карт. Заявление вызвало большой резонанс, хотя его подлинность вызывает вопросы: среди опубликованных доказательств есть как новая, так и старая информация о клиентах, что наводит на мысль о компиляции данных из разных источников, а не о единой утечке.
Другие новости
Okta предупредила клиентов о росте атак credential stuffing — автоматизированного подбора логинов и паролей — и рекомендовала включить многофакторную аутентификацию и использовать уникальные надёжные пароли.
Сервис VirusTotal, используемый специалистами для анализа файлов и URL на предмет вредоносности, отметил очередную годовщину работы.
Google рассказала подробности инцидента со случайным удалением приватного облака клиента в Google Cloud VMware Engine (GCVE): пострадал австралийский пенсионный фонд UniSuper, причиной стала ошибка конфигурации при развёртывании. Команды Google и UniSuper совместно восстановили данные, а Google приняла меры для предотвращения подобных случаев в будущем.
Обнаружена уязвимость в библиотеке LangChain.js, способная раскрыть чувствительную информацию; разработчикам рекомендовано обновиться до последней версии.
Исследователи описали новый способ обхода Web Application Firewall (WAF) с помощью плагина для Burp Suite — специалистам по безопасности стоит пересмотреть настройки WAF и добавить дополнительные уровни защиты.
Правоохранители успешно ликвидировали ботнет 911 S5, который использовался для DDoS-атак и других вредоносных операций, снизив тем самым угрозу для онлайн-сервисов и инфраструктуры.
Источник: Cybersecurity News.