30.04.2024

Бекдор в архіваторі XZ 5.6.0 та 5.6.1 (CVE-2024-3094)
Нещодавно виявлена вразливість у XZ Utils, програмі стиснення для Linux, може стати причиною серйозного порушення кібербезпеки. Завдяки цій вразливості злочинці можуть отримати доступ до системи через sshd.

Ця CVE присутня у версіях XZ Utils 5.6.0 (випущена наприкінці лютого 2024 р.) і 5.6.1 (випущена 9 березня 2024 р.) бібліотек xz. Вона має оцінку CVSS 10,0, що вказує на максимальну критичність.

Рекомендуємо користувачам оновити XZ Utils до безпечної версії, наприклад, XZ Utils 5.4.6 Stable.

Джерело: https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor

Банківський троян Android Vultur повертається з оновленими можливостями дистанційного керування
Банківський троян Android Vultur, знову активний з новими функціями та методами ухилення від виявлення. 
Одним із відомих доповнень до Vultur є можливість віддалено взаємодіяти з інфікованим пристроєм, здійснювати клацання, прокручування та проведення через служби доступності Android, а також завантажувати, видаляти, встановлювати та знаходити файли.
Оновлення трояна включають шифрування зв'язку та здатність маскувати свою діяльність під законні програми.
Джерело: https://thehackernews.com/2024/04/vultur-android-banking-trojan-returns.html

Критична вразливість у плагіні LayerSlider від WordPress
Виявлена критична вразливість у плагіні LayerSlider для WordPress, яка може бути використана для викрадення конфіденційної інформації з баз даних. Вразливість оцінку 9.8 (критична) за CVSS v3.

Ми рекомендуємо оновити плагін до версії 7.10.1 або новішої та уникати використання плагінів з ненадійних джерел.

Джерела: https://nvd.nist.gov/vuln/detail/CVE-2024-2879
https://thehackernews.com/2024/04/critical-security-flaw-found-in-popular.html

Більше інформації про вразливості WordPress:
https://jetpack.com/blog/wordpress-security-issues-and-vulnerabilities/

NoaBot: ботнет на основі Mirai атакує SSH-сервери задля криптомайнінгу
В січні 2024 року спеціалістами компанії Akamai було виявлено новий ботнет NoaBot, заснований на сумнозвісному Mirai. Він заражає сервери через SSH та встановлює модифікований майнер.
NoaBot скомпільований з використанням uClibc, що ускладнює виявлення антивірусними програмами. Крім того, він використовує обфускацію для приховування коду та компоненти для самопоширення.

Джерело: https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining

FortiGate Labs виявили комплексну фішингову атаку
Дослідники з Fortinet виявили складну багатоступеневу кібератаку з використанням фішингових листів. Під виглядом рахунків-фактур виконувалося доставлення різноманітного шкідливого ПЗ: Venom RAT, Remcos RAT, XWorm, NanoCore RAT та різних граберів криптогаманців.
Фахівці виявили, що SVG-файл завантажує на пристрій ZIP-архів, що містить пакетний скрипт, створений із використанням BatCloak. Він розпаковує файл ScrubCrypt, а той встановлює Venom RAT. Це шкідливе ПЗ дає змогу злочинцям перехопити контроль над скомпрометованими системами та виконувати команди з сервера С2.
Також за допомогою системи плагінів доставляється грабер, який збирає інформацію про систему і витягує дані з папок, пов'язаних із гаманцями і застосунками Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty, Zcash, Foxmail і Telegram.

Джерело: https://www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins

Критична уразливість в Forminator ставить під загрозу 300 000 сайтів WordPress
Виявлені критичні уразливості у плагіні Forminator для WordPress, що можуть бути використані для завантаження шкідливого ПЗ та виконання SQL-ін'єкцій та атак XSS.
Особливо небезпечною є уразливість CVE-2024-28890 з базовим балом CVSS v3: 9.8. Вона дає кіберзлочинцям можливість отримати доступ до файлів на сервері, що може призвести до серйозних наслідків для безпеки сайту та конфіденційності користувачів.
Наразі немає повідомлень про активне використання CVE-2024-28890. Проте, зважаючи на значну кількість завантажень плагіну, є ризик, що ця уразливість може бути використана в майбутньому.

Рекомендуємо оновити плагін до версії 1.29.3 та дотримуватися додаткових заходів безпеки для захисту своїх сайтів.

Джерело: https://jvn.jp/en/jp/JVN50132400/