Дайджест CyberNews за липень

Майстер-клас: секрети випікання найсмачніших млинців!
Heading photo

31.07.2024

Збій у роботі систем на ОС Windows внаслідок оновлення CrowdStrike
CrowdStrike, світовий постачальник рішень безпеки для захисту кінцевих пристроїв, хмарних рішень та даних користувачів, повідомив про збій системи після оновлення Falcon Sensor. Цей збій викликав проблеми у роботі великої кількості світових компаній-гігантів. Зокрема, про проблеми у роботі повідомили авіакомпанії RyanAir та American Airlines, світові банки, а також українські компанії, такі як Нова Пошта та Vodafone.

Проблема виникала після встановлення останнього оновлення Falcon Sensor від CrowdStrike. При завантаженні ОС Windows виникав синій екран смерті (BSOD — Blue Screen of Death), що робив систему непридатною для використання. Станом на 31 липня цей збій виправлено.

Джерело: SOCRadar

Heading photo


Атака UAC-0180 на українські оборонні підприємства
Нещодавно Державна служба спеціального зв’язку та захисту інформації України виявила кібератаку на українські оборонні підприємства групою UAC-0180. Атака включала використання шкідливого програмного забезпечення GlueEgg для початкового завантаження інших шкідливих програм, програми для збирання даних DropClue та програмне забезпечення Atera для віддаленого управління інфікованими системами.
Для уникнення подібних атак, рекомендовано використовувати фільтрацію електронної пошти за доменами, типами файлів та посиланнями. Також необхідно впроваджувати навчання для співробітників для зниження ризиків реалізації фішингових атак в майбутньому.  Джерело: Державна служба спеціального зв'язку та захисту інформації України

Heading photo


Check Point Research виявила мережу шкідливих акаунтів Stargazers Ghost Network на GitHub
Check Point Research виявила мережу акаунтів GitHub під назвою Stargazers Ghost Network, яка розповсюджує шкідливе ПЗ та фішингові посилання через фальшиві репозиторії. Мережа діє як послуга "розповсюдження як сервіс" (DaaS).

Злочинці використовують GitHub для розповсюдження шкідливих скриптів та зашифрованих архівів через випуски (releases). Перші активні дії даної групи були помічені у серпні 2022 року. У січні 2024 року мережа поширювала Atlantida Stealer через Discord, інфікувавши понад 1300 жертв за 4 дні. Влітку 2024 року мережа поширювала Rhadamanthys за допомогою коротких посилань на GitHub.

Джерело: Check Point

Heading photo


Використання CVE-2024-21412 для викрадення даних
CVE-2024-21412 — це вразливість системи безпеки в Microsoft Windows SmartScreen, яка виникає через помилку під час обробки зловмисно створених файлів. Дана вразливість використовується для обходу діалогового вікна SmartScreen та доставлення шкідливих файлів. За останній рік ця вразливість використовувалася кількома зловмисниками, зокрема Water Hydra, Lumma Stealer і Meduza Stealer.

Процес атаки починається з доставлення зловмисної URL-адреси, призначеної для завантаження LNK файлу. Після переходу за нею, файл LNK завантажує виконуваний файл, що містить сценарій HTA. Згаданий сценарій декодує та розшифровує код PowerShell, щоб отримати кінцеві URL-адреси, завантажити PDF-файли та засоби для ін'єкції шкідливого коду. Ці файли мають на меті впровадити викрадача в процеси системи, ініціюючи зловмисну ​​діяльність і надсилаючи викрадені дані на сервер C2.

Джерело: Fortinet

Heading photo


Виявлено шкідливий пакет PyPI, який націлюється на macOS для викрадення облікових даних Google Cloud
Дослідники з кібербезпеки виявили новий шкідливий пакет на репозиторії Python Package Index (PyPI), який націлений на системи Apple macOS з метою викрадення облікових даних Google Cloud.

Пакет під назвою "lr-utils-lib" був завантажений на PyPI у червні 2024 року приховуючи свій шкідливий код у файлі інсталяції, потім був завантажений 59 разів до його виявлення та видалення. Шкідливий код перевіряє, чи встановлений на macOS, порівнюючи UUID системи з попередньо заданими списками хешів. Якщо хеші збігаються, пакет намагається отримати доступ до файлів із обліковими даними Google Cloud і передає їх на віддалений сервер, який контролюється зловмисниками. Також дослідники виявили підроблений профіль на Linkedln, пов’язаний з цим пакетом.

Джерело: The Hacker News