На этой неделе обнаружено вредоносное ПО Symbiote, шифровальщик Black Basta атакует VMware ESXi, а в GitLab устранена критичная уязвимость. Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Обнаружено вредоносное ПО Symbiote

Вредоносное ПО для Linux, известное как Symbiote, заражает все запущенные процессы в скомпрометированной системе, крадет учетные данные и предоставляет своим операторам бэкдор-доступ. Даже тщательный анализ системы не позволяет обнаружить признаки заражения, несмотря на внедрение ВПО во множество процессов. Symbiote использует функцию BPF (Berkeley Packet Filter), чтобы перехватывать пакеты сетевых данных и скрывать собственные каналы связи от инструментов безопасности.

Вымогатель Black Basta нацелен на серверы ESXi

Новая версия вируса-вымогателя Black Basta, активно используемая во вредоносных кампаниях, в настоящее время активно нацелена на серверы VMware ESXi. Двоичный файл программы-вымогателя ищет на целевом ESXi-сервере каталог /vmfs/volumes, в котором хранятся виртуальные машины, и запускает процесс шифрования файлов в многопоточном режиме. Для предоставления полных прав доступа к целевым файлам ВПО использует утилиту chmod.

В GitLab устранена критичная уязвимость

GitLab выпустила обновление безопасности, устраняющее критическую уязвимость, которая в случае успешной эксплуатации приводит к перехвату учетной записи. Отслеживаемая как CVE-2022-1680, уязвимость получила оценку 9,9 по шкале критичности CVSS. Владелец премиум-группы с настроенным SAML SSO может пригласить случайного пользователя, используя электронную почту или никнейм. После приглашения злоумышленник может изменить почтовые адреса приглашенных пользователей на свои и похитить учетные данные при условии отсутствия двухфакторной аутентификации.