Google устранила в Android RCE-брешь, используемую в кибератаках
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Google устранила в Android RCE-брешь, используемую в кибератаках

Google устранила в Android RCE-брешь, используемую в кибератаках

В этом месяце Google устранила в мобильной операционной системе Android 46 уязвимостей, включая опасную возможность удалённого выполнения кода, уже фигурирующую в реальных кибератаках.

0-day отслеживается под идентификатором CVE-2024-36971 и является по типу классическим использованием освобождённой памяти (use-after-free, UAF). Проблема затрагивает систему управления сетевыми маршрутами ядра Linux.

Для успешной эксплуатации, в ходе которой атакующий сможет изменять поведение ряда сетевых подключений, требуются права уровня System.

По словам Google, есть признаки использования CVE-2024-36971 в реальных кибератаках: злоумышленники без ведома целевых пользователей выполняют на непропатченных устройствах вредоносный код.

На уязвимость нулевого дня обратил внимание специалист из команды Google Threat Analysis Group (TAG) Климент Лесинь.

Пока корпорация не приводит подробностей эксплуатации и не называет кибергруппу, стоящую за этими атаками. Судя по всему, это кампании правительственного уровня, нацеленные на высокопоставленных лиц.

Напомним, вчера «Лаборатория Касперского» рассказала о новом трояне, операторы которого атакуют российских пользователей Android. LianSpy, как назвали вредоноса эксперты, используется для кибершпионажа.

Интересен также другой свежий Android-троян — BingoMod. Он не только крадёт деньги жертвы, но и стирает все данные на её девайсе.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

SilentCryptoMiner уходит от обнаружения с помощью SIEM-системы Wazuh

Выявлена кампания по распространению opensource-инструмента добычи цифровой валюты SilentCryptoMiner. В ходе анализа в «Лаборатории Касперского» обнаружили, что для большей скрытности авторы атак загружают агент SIEM-системы Wazuh.

Использование Wazuh позволяет не только обеспечить постоянное присутствие майнера в системе и уберечь его от детектирования, но также получить удаленный контроль над чужим устройством и собирать телеметрию.

Помимо SIEM у SilentCryptoMiner имеются собственные средства защиты. Он умеет скрывать свою активность при обнаружении совпадений по списку запущенных процессов stealth-targets, а также принудительно завершать процессы из перечня kill-targets.

Для распространения скрытного майнера создан ряд поддельных сайтов, с которых якобы можно скачать популярные программы или пиратские копии. При попытке найти через «Яндекс» бесплатный uTorrent, MS Excel, MS Word, Minecraft или Discord фейки отображаются на первой странице поисковой выдачи.

 

Ссылки на мошеннические ресурсы публикуются также в телеграм-каналах, где SilentCryptoMiner выдают за игровые читы, и на YouTube (URL вставлены в описания англоязычных видео и комментарии к ним).

При попытке скачать заявленный софт на машину загружается ZIP, содержащий MSI-файл и TXT с паролем на запуск (мера против песочницы) и короткой инструкцией. Во избежание проблем с запуском пользователю рекомендуют отключить антивирус и Microsoft Defender.

Цепочка заражения сложна и реализуется поэтапно. В финале на машину жертвы устанавливается майнер, который начинает генерировать Monero или Zephyr.

Больше всего попыток внедрения SilentCryptoMiner в связке с Wazuh зафиксировано в России. В ТОП-10 вошли также Белоруссия, Узбекистан и Казахстан.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru