Сегодня в подборке новостей Jet CSIRT — новые атаки OldGremlin, активная эксплуатация критической уязвимости VMware и новое вредоносное ПО группировки Hafnium. Новости собирал Павел Козяев, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Хакерская группировка OldGremlin вновь атакует российские компании

Group-IB зафиксировала, что русскоязычная группа вымогателей OldGremlin провела две атаки на российские компании в конце марта. В первом случае злоумышленники использовали фишинговую рассылку, связанную с уходом Visa и Mastercard из России. Во втором случае рассылка была проведена от имени компании «Консультант Плюс». После перехода по фишинговой ссылке демонстрируется документ-приманка и параллельно происходит загрузка ВПО под названием TinyFluff. Задача ВПО — запустить интерпретатор Node.js на зараженном устройстве и предоставить к нему удалённый доступ. Эксперты Group-IB предполагают, что фишинговые рассылки могли заразить большое количество компаний, и в ближайшие месяцы злоумышленники будут продвигаться в их инфраструктуре, обходя системы защиты. Рекомендуем прочитать исследование, ознакомиться с тактиками и техниками злоумышленников и провести ретроспективный анализ по IOC в своей инфраструктуре.

Хакеры активно эксплуатируют критическую уязвимость VMware

Уязвимость CVE-2022-22954 получила индекс критичности 9.8 по CVSS и представляет собой удалённое выполнение кода, влияющее на два популярных программных продукта — VMware Workspace ONE Access и VMware Identity Manage. Злоумышленник, который уже находится в сети организации, может инициировать внедрение шаблона на стороне сервера, что позволит ему выполнить произвольный код. На этой неделе многие исследователи в области информационной безопасности выложили работающие эксплойты в открытый доступ. Выпуск общедоступных эксплойтов повышает риск того, что злоумышленники будут чаще использовать их в своих атаках. VMware выпустила обновления безопасности для затронутых продуктов и инструкции по workaround-решениям.

Хакеры используют новую уязвимость Windows, чтобы скрыть запланированные задачи

Microsoft обнаружила новое вредоносное ПО, используемое китайской хакерской группой Hafnium для закрепления в скомпрометированных системах Windows путём создания и скрытия запланированных задач. Хакерский инструмент получил название Tarrask и использует ранее неизвестную уязвимость Windows для скрытия запланированных задач путём удаления соответствующего значения в реестре. Для реализации данной уязвимости требуется доступ уровня системы. Злоумышленники используют скрытые запланированные задачи для сохранения доступа к инфраструктуре жертвы даже после перезагрузки системы. Данные задачи можно обнаружить только при ручном просмотре реестра Windows. При выполнении команды schtasks/query вредоносные запланированные задачи не будут отображены. Согласно сообщению Microsoft, Windows Defender уже обнаруживает поведение вредоносного ПО Tarrask как Behavior:Win32/ScheduledTaskHide.A.