В сети обнаружен второй вариант червя Stuxnet

В сети обнаружен второй вариант червя Stuxnet

Антивирусная компания Eset сегодня сообщила об обнаружении второго варианта сетевого червя Stuxnet, использующего недавно обнаруженную уязвимость в операционной системе Windows. Новая версия предназначена для атаки промышленных решений компании Siemens.



Второй вариант червя, получивший название jmidebs.sys, может распространяться через USB-накопители, используя незакрытую на сегодня уязвимость в Windows, затрагивающую неверный парсинг файлов-ярлыков с расширением lnk.

Как и оригинал Stuxnet, второй вариант червя также подписан сертификатом, используемым для верификации приложений, инсталлируемых в систему. В новой версии червя сертификат был куплен у компании Verisign компанией JMicron Technology Corp, зарегистрированной на Тайване.

Первый Stuxnet использовал сертификат, выданный компании Realtek Semiconductor, хотя Verisign на тот момент его уже отозвала. В Eset говорят, что обе компании имеют на Тайване офисы почти по соседству в научном парке Хсинчу. "Мы редко видим такие профессиональные операции. Либо хакеры похитили сертификаты у обеих компаний, либо кто-то купил их по поддельным документам. Сейчас невозможно сказать, по какой причине атакующие сменили сертификаты. Возможно, первый сертификат уже был внесен в блеклисты, возможно такая тактика распространения была задумана изначально", - говорит старший специалист по антивирусным исследованиям Пьер-Марк Бюрео.

В Eset говорят, что хоть пока компания и занята изучением второго варианта червя, очевидно, что он очень похож на первый вариант, хотя создана вторая версия была для атаки на системы Siemens SCADA (supervisory control and data acquisition). Дата компиляции второго варианта червя - 14 июля.

В компании отмечают, что второй вариант Stuxnet сложнее первого, хотя и в нем есть некоторые изъяны. Кроме того, тот факт, что злоумышленники используют Stuxnet именно как сетевой червь, а не троян, также вводит в заблуждение. Единственным логичным объяснением на сегодня являет то, что злоумышленники просто пробуют разные подходы для атаки SCADA.

Работает червь довольно просто: он находит целевую систему Siemens SCADA и при помощи стандартного пароля пытается проникнуть в систему, а затем скопировать заданные файлы на удаленные системы. В Siemens говорят, что рекомендуют клиентам не использовать пароли по умолчанию, кроме того на сайте компании появились детальные инструкции по удалению вредоносного кода.

Источник

Security Vision добавила вход по OIDC и поиск зависимостей в настройках

Security Vision выпустила обновление своей платформы. В новой версии появилась поддержка OpenID Connect, инструменты для проверки зависимостей между объектами, а также несколько небольших изменений в отчётах и чатах. Поддержка OIDC расширяет варианты подключения платформы к корпоративным системам аутентификации.

Организации смогут использовать уже настроенную инфраструктуру управления учётными записями и единым входом.

В настройках типов объектов появилась вкладка «Применения». В ней можно посмотреть, где именно в платформе используется выбранный тип объекта. Это пригодится перед изменением конфигурации: администратор сможет заранее оценить, какие связанные настройки могут быть затронуты.

 

Разработчики также переработали историю запуска отчётов. Элементы для просмотра входных параметров и выгрузки готового отчёта теперь расположены удобнее, поэтому найти настройки предыдущего запуска и его результат должно быть проще.

В чатах карточек объектов добавили регистронезависимый поиск сотрудников при упоминании. Теперь имя пользователя будет находиться независимо от того, с заглавной или строчной буквы его ввели.

Есть и техническое изменение, которое важно учесть перед обновлением. Для работы коннектора PowerShell теперь требуется PowerShell версии 7.4.16. Если в инфраструктуре используется более ранняя версия, её придётся обновить заранее.

В целом релиз получился без громких перестроек: основные изменения касаются доступа, контроля связанных настроек и повседневной работы с отчётами и обсуждениями.

RSS: Новости на портале Anti-Malware.ru