Сегодня в подборке новостей Jet CSIRT — атаки российской группировки RedCurl, возвращение ВПО Emotet, уязвимость, допускающая DNS cache poisoning. Новости собирал Павел Козяев, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее – под катом.
Обнаружены следы атаки группировки RedCurl на российский ритейл
С начала 2021 года специалисты Group-IB зафиксировали четыре атаки российской группировки RedCurl на один из крупнейших российских ритейлеров, специализирующийся на оптовой и розничной торговле в интернете. Фирменной чертой RedСurl является отправка фишинговых писем в разные департаменты организации от имени HR-команды. При этом хакеры стремятся как можно незаметнее добыть ценные сведения. С момента заражения до кражи данных проходит от двух до шести месяцев.
Вредоносное ПО Emotet возвращается
Исследователи из Cryptolaemus, GData и Advanced Intel начали замечать, что вредоносная программа TrickBot добавляет загрузчик для Emotet на зараженные устройства. Злоумышленники используют метод Operation Reacharound для восстановления ботнета Emotet с использованием существующей инфраструктуры TrickBot. Исследовательская группа Emotet Cryptolaemus, проанализировав новый загрузчик Emotet, пришла к выводу, что он имеет некоторые отличия от предыдущих вариантов. По состояния на 15 ноября, согласно информации Аbuse.ch, более 246 устройств уже подключаются к CnC-серверам Emotet.
На Linux-системах обнаружили уязвимость, допускающую DNS cache poisoning
Уязвимость заключается в том, что DNS-сервер полагается на идентификатор транзакции, чтобы подтвердить, что возвращенный IP-адрес был получен с авторитетного сервера, а не с сервера злоумышленника. Исследователи Калифорнийского университета, изучив работу Дэна Камински 2008 года, пришли к выводу, что хакеры могут изменить идентификатор транзакции, воспользовавшись недостатком энтропии DNS, и тогда сервер примет вредоносный IP-адрес и сохранит результат в кэше. По словам исследователя, около 38% серверов уязвимы к данной атаке.