Обнаружена новая уязвимость в SCADA системах

Группа исследователей в области безопасности и US CERT предупреждают производственные компании о критической уязвимости, найденной в популярном программном обеспечении для управления технологическим процессом. При успешной атаке злоумышленники могут получить контроль над всей компьютерной системой.

Ошибка найдена в программном обеспечении Genesis32 и BizViz компании Iconics. При ее эксплуатации хакер может удаленно запустить исполнение вредоносного кода на целевой системе, получить доступ к данным или к пульту управления оборудованием.

Как сообщают исследователи компании Security-Assessment.com, уязвимость переполнения стека обнаружена в клиенте ActiveX, который используется SCADA - программами. Эксплуатация возможна при передаче специально сформированной строки кода в 'SetActiveXGUID', в результате чего может произойти переполнение статического буфера и исполнение вредоносного кода, поясняют специалисты. Кроме того они представили образец кода эксплойта, созданного на JavaScript.

Стоит отметить, что такое специализированное ПО используется для управления измерительным оборудованием контроля уровня воды, сточных вод, а также на энергетических предприятиях и нефтеперерабатывающих заводах.

Iconics уже отреагировала на сообщения, опубликовав обновления для исправления ошибки.

Однако, не смотря на это, US CERT рекомендует пользователям принять меры безопасности для предотвращения возможных вторжений. Например, стоит отключить критические устройства от Интернет и внутренней сети.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый руткит Moriya бэкдорит системы Windows в реальных атаках

Неизвестная киберпреступная группировка использует новый руткит в атаках на системы Windows. Эксперты назвали вредоносную кампанию TunnelSnake и предполагают, что она активна как минимум с 2018 года.

Специалисты «Лаборатории Касперского» уже успели придумать новому руткиту имя — Moriya. Вредонос также выступает в качестве бэкдора, позволяющего операторам шпионить за жертвами, избегая детектирования антивирусными программами.

С помощью Moriya киберпреступники могут перехватывать и анализировать входящий трафик, для чего вредонос получает доступ к адресному пространству ядра Windows. Помимо этого,  руткит позволяет отправлять заражённому хосту команды.

Бэкдор получает инструкции в виде специально сформированных пакетов, спрятанных внутри трафика жертвы. Это значит, что зловреду не нужен стандартный командный сервер (C2), поскольку злоумышленники сделали ставку на обход детектирования.

«Нам всё чаще попадаются кампании вроде TunnelSnake, в которых, как правило, киберпреступники прилагают все усилия, чтобы скрыть вредоносную активность. В определённом смысле им это удаётся — обнаружить такие операции действительно сложно», — объясняют эксперты «Лаборатории Касперского».

 

Специалисты Kaspersky не называют группировку, стоящую за кампанией TunnelSnake, однако есть основания полагать, что в деле замешаны преступники, говорящие на китайском языке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru