RCE-брешь BleedingPipe используется в атаках на игроков и серверы Minecraft

RCE-брешь BleedingPipe используется в атаках на игроков и серверы Minecraft

Киберпреступники начали активно эксплуатировать уязвимость BleedingPipe, затрагивающую моды Minecraft и приводящую к удалённому выполнению кода. С помощью этой бреши атакующие запускают вредоносные команды на серверах и клиентах.

BleedingPipe существует из-за некорректного использования десериализации в Java-классе «ObjectInputStream». Проблему нашли во многих Minecraft-модах.

Для эксплуатации злоумышленнику достаточно отправить специально подготовленные сетевые пакеты уязвимым серверам Minecraft, чтобы получить над последними контроль.

После этого атакующие используют эти серверы для эксплуатации той же уязвимости, но уже на компьютерах игроков, подключающихся к скомпрометированным серверам. Именно так киберпреступники устанавливают вредоносную программу на устройства геймеров.

Одно из комьюнити Minecraft — MMPA — опубликовало отчёт, согласно которому BleedingPipe затрагивает многие моды, работающие на Forge 1.7.10/1.12.2, поскольку они используют небезопасный код десериализации.

Впервые о присутствии BleedingPipe сообщество заговорило ещё в марте 2022 года. Тогда разработчики оперативно устранили уязвимость. Однако уже в этом месяце на форуме Forge появилась информация об эксплуатации неизвестной на первый взгляд 0-day.

Согласно статье MMPA, BleedingPipe вновь дала о себе знать, но на этот раз её обнаружили в следующих модах:

  • EnderCore
  • LogisticsPipes versions older than 0.10.0.71
  • BDLib 1.7 through 1.12
  • Smart Moving 1.12
  • Brazier
  • DankNull
  • Gadomancy
  • Advent of Ascension (Nevermine) version 1.12.2
  • Astral Sorcery versions 1.9.1 and older
  • EnderCore versions below 1.12.2-0.5.77
  • JourneyMap versions below 1.16.5-5.7.2
  • Minecraft Comes Alive (MCA) versions 1.5.2 through 1.6.4
  • RebornCore versions below 4.7.3
  • Thaumic Tinkerer versions below 2.3-138

В MMPA отметили, что киберпреступники активно сканируют Сеть, пытаясь найти уязвимые серверы Minecraft. Владельцы серверов должны обновить каждый мод, чтобы защитить себя и игроков.

Команда MMPA также выпустила инструмент PipeBlocker, который поможет защитится от эксплуатации BleedingPipe, фильтруя сетевой трафик «ObjectInputSteam».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вариант шифровальщика DJVU маскируется под крякнутый софт

Семейство программ-вымогателей, известное под именем DJVU, теперь распространяется под видом взломанного софта. Специалисты Cybereason назвали новые образцы вредоноса «Xaro».

В отчёте исследователи отмечают, что обнаруженный семпл добавляет пострадавшим файлам расширение .xaro. Операторы шифровальщика предлагают расшифровать файлы за выкуп.

Этот вариант DJVU отличается тем, что вместе с ним на заражённом хосте присутствует также набор вредоносных загрузчиков и похищающих данные троянов.

DJVU представляет собой одну из вариаций программы-вымогателя STOP. Как правило, DJVU проникает в системы под видом легитимных служб или приложений и часто тащит за собой пейлоад SmokeLoader.

Это, кстати, одна из важнейших составляющих атак DJVU — установка дополнительных вредоносов. Среди них нередко встречаются инфостилеры вроде RedLine и Vidar.

В недавних атаках, на которые обратили внимание эксперты Cybereason, Xaro распространялся в виде архива и размещался на сайтах, предлагающих взломанные программы.

При открытии такого архива происходил запуск бинарника, инсталлирующего в систему читалку PDF-файлов — CutePDF. На деле же это PPI-сервис (pay-per-install) PrivateLoader, ранее фигурировавший в атаках RisePro.

PrivateLoader устанавливает соединение с командным сервером (C2) и вытаскивает оттуда целый набор разных зловредов (помимо дропа самого Xaro).

 

Попав в систему, вымогатель шифрует файлы и предлагает жертве заплатить 980 долларов за ключ и дешифратор.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru