Актуальные киберугрозы

[Demiad]

Предлагаю делиться сведениями об актуальных угрозах, которые вам удалось получить.

На форуме сообщества "Лаборатории Касперского" не ведётся лечения вирусов. Обращаться следует на форум клуба Лаборатории Касперского "Kaspersky Club", при этом надо понимать, что предоставленная вами там информация,  в виде отчетов и логов, станет общедоступна. Либо в официальную поддержку.

Ресурсы ЛК по теме угроз:
https://statistics.securelist.com/ru/
https://threats.kaspersky.com/ru/threat/
https://opentip.kaspersky.com/

[Demiad]

Trojan-Spy.JS.Sonar

Trojan-Spy.JS.Sonar.a

https://threats.kaspersky.com/ru/threat/Trojan-Spy.JS.Sonar/

href="https://opentip.kaspersky.com/1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB/" target="_blank" rel="nofollow noreferrer noopener">ttps://opentip.kaspersky.com/1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB/

Ответ вирусных аналитиков ЛК на предоставленный образец:

“Детектирование корректно. Срабатывание сигнатуры Trojan-Spy.JS.Sonar.a направлено на обнаружение вредоносного скрипта, который был найден в сервисе социальной активности UpToLike.

Uptolike - это виджет веб-сайта, который обеспечивает интеграцию с социальными сетями в виде кнопки "Поделиться" и подсчитывает некоторую статистику. Его используют веб-мастера на разных сайтах, в том числе и на популярных.

Вредоносный скрипт собирает данные, введенные посетителями в формы сайтов (электронные адреса, номера телефонов и т.д.), и отправляет их на сторонний ресурс.”

 

Примеры:

Критическое: Обнаружен вредоносный объект
…
Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan-Spy.JS.Sonar.a
…
Объект: C:\Users\Username\AppData\Local\Mozilla\Firefox\Profiles\mq9nyqxb.default-esr\cache2\entries\F4BCAEAECE911E8BB7F06460334194C6DA4DC561
Причина: Хеш
Дата выпуска баз: 25.02.2021 8:42:00
SHA256: 42656A6D4D0B654E89F0992D36482115312EFCE396E512A4999C5171A906B182
MD5: E9FDD759746FA3CF1DB333FA79769CF4

Объект: C:\Users\Username\AppData\Local\Microsoft\Edge\User Data\Default\Cache\f_000d25
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Объект: C:\Users\Username\AppData\Local\Microsoft\Windows\INetCache\Low\IE\7TQKT6DB\checking[1].js
Причина: Хеш
Дата выпуска баз: 24.02.2021 6:28:00
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

Объект: C:\Users\Username\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00008f
Причина: Экспертный анализ
Дата выпуска баз: 25.02.2021 15:45:00
SHA256: 1A8F940EB4DAAD51ED3D1D9A1BA98B6FF0376E3027B8B0AFEBFBC1B83DA604EB
MD5: 36105BC856519AD14E99DCBAC4F0F622

[Denic22]

Добрый день. У нас в организации тоже сработки по данному трояну - начиная с 23.02.2021 за день детектируется от 5 до 8 событий Trojan-Spy.JS.Sonar.a. С каждым днем количество только растет.

У кого нибудь есть соображение как обезопасить пользователей, помимо установленного антивируса ( например меры профилактики)? Где можно ознакомится с подробной информацией как работает данная угроза? Почему Касперский обнаруживает его только в cache браузера?

[viper0289]

Добрый день! С 24.02 идет массовое срабатывание антивируса на событие Trojan-Spy.JS.Sonar.a, по 3-4 машины в день. Обнаруживается в кэшах браузеров. Чем опасен этот троян?

[Denic22]

За вчерашний день еще +7 срабатываний Sonar.a. Кто нибудь в курсе при каких обстоятельствах он срабатывает? Уточняли у пользователей, они не в курсе.

Интересно посмотреть, как отрабатывает антивирусник, сразу после нажатия на кнопку UptoLike?

[Denic22]

Добрый день. Сегодня касперский обнаружил угрозу Trojan-Spy.JS.Sonar.a имя зараженного файла checking[1].js дата создания файла 21.09.2020 года. У меня вопрос - по каким критерием Касперский обнаруживает что данный файл относится к угрозе Trojan-Spy.JS.Sonar.a?

[Friend]

Здравствуйте, @Denic22 , @viper0289 ,
Чуть ранее @Demiad предоставил подробное описание угрозы: https://threats.kaspersky.com/ru/threat/Trojan-Spy.JS.Sonar/

Очистите полностью историю и кэш,  cookie  браузеров, включите Анти-баннер, также можете установить расширение Adguard и включить блокировку лишних элементов сайта (виджиты соц. сетей).

[Demiad]

@Denic22 , @viper0289 , дополнительно что-либо делать не обязательно. Антивирус всё делает сам - удаляет подгружаемый сайтом вредоносный скрипт. Пользователи-посетители, конечно, сами ничего не замечают.

Если поискать в интернете, то проблема-то совсем не нова.
Больше всего мне нравится последний пост в теме: https://ru.wordpress.org/support/topic/%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9-%D0%BA%D0%BE%D0%B4-%D0%B2-pagespeed/

От этого же человека подробный пост на Хабре про другой плагин для Wordpress, который упоминает выше “uLogin”, ситуация аналогичная: https://habr.com/ru/post/413233/

В официальном репозитории Wordpress в разделе “Поддержка” по плагину “UpToLike” тема про срабатывания антивируса аж закреплена и имеет двухгодичную давность: 
https://wordpress.org/support/topic/%d0%b0%d0%bd%d1%82%d0%b8%d0%b2%d0%b8%d1%80%d1%83%d1%81-%d1%80%d1%83%d0%b3%d0%b0%d0%b5%d1%82%d1%81%d1%8f-%d0%bd%d0%b0-%d0%ba%d0%bd%d0%be%d0%bf%d0%ba%d0%b8/

[Demiad]

HAFNIUM vulnerability in Microsoft Exchange on-premise products

 

Описание решения по защите:

Link

 

 

[Demiad]

CVE-2021-34527 & CVE-2021-1675 PrintNightmare 

 

“INC000012965209

Добрый день.

Вирусные аналитики сообщили мне, Kaspersky осведомлена об этих уязвимостях.

Уязвимости заключаются в том, что атакующий может, используя аккаунт обычного пользователя, захватить контроль над сервером, где запущена служба Windows Print Spooler. Данная служба включена по умолчанию на всех Windows клиентах и серверах, включая контроллеры домена.
Наши продукты защищают от атак, использующих указанные уязвимости со следующими возможными именами вердиктов:

HEUR:Trojan-Dropper.Win32.Pegazus.gen
HEUR:Exploit.Win32.CVE-2021-1675.a
PDM:Exploit.Win32.Generic
PDM:Trojan.Win32.Generic

Специалисты «Лаборатории Касперского» внимательно следят за ситуацией и улучшают типовое обнаружение этих уязвимостей с помощью компонентов Behavior Detection и Exploit Prevention.

В рамках нашей службы Managed Detection and Response наши специалисты SOC могут обнаруживать эксплуатацию этих уязвимостей, расследовать такие атаки и сообщать клиентам.

KSWS предоставляет детектирования для версии эксплуатации, которая позволяет произвести локальное повышение привилегий со следующими возможными именами вердиктов:

- HEUR:Trojan-Dropper.Win32.Pegazus.gen
- HEUR:Exploit.Win32.CVE-2021-1675.a
- Exploit.Win32.CVE-2021-1675.*
- Exploit.Win32.CVE-2021-34527.a

Чтобы дополнительно исключить удаленное выполнение команд через уязвимости CVE-2021-34527 и CVE-2021-1675, мы настоятельно советуем следовать рекомендациям от Microsoft: https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler . Если это невозможно, необходимо использовать продукт KES в котором есть компоненты защиты Behavior Detection и Exploit Prevention. 

Инженер технической поддержки
АО "Лаборатория Касперского"”

[Demiad]

CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability

Описание от Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
Уязвимость закрыта обновлением безопасности от 15.09.2021.
 

“INC000013191406

<…> уточнил информацию по Вашему вопросу.
Наши продукты защищают от атак, использующих указанную уязвимость, при помощи файлового антивируса и мониторинга активности.

Вердикты, выдаваемые файловым антивирусом:
HEUR:Trojan.MSOffice.Agent.gen
HEUR:Exploit.MSOffice.CVE-2021-40444.a

Вердикты, выдаваемые компонентом "Мониторинг активности":
PDM:Exploit.Win32.Generic

Специалисты «Лаборатории Касперского» внимательно следят за ситуацией и продолжают улучшать механизмы детектирования данной уязвимости с помощью компонентов Анализ поведения и Защита от эксплойтов.

Инженер технической поддержки
АО "Лаборатория Касперского"”

 

P.S. От себя добавлю, инженер ответил по наименованиям компонентов другого антивируса, проще говоря, используйте все компоненты из блока “Продвинутая защита” политики Kaspersky Endpoint Security.

[Demiad]

Утилита для проверки iPhone на компрометацию Operation Triangulation.

"Чтобы выполнить проверку, нужно сделать локальную резервную копию iPhone через iTunes и проверить её утилитой triangle_check. Утилита доступна в виде бинарных сборок и пакета Python. Подробная инструкция выложена на Securelist.
Ну а тем, кто всё понимает без инструкции, просто дадим ссылку на наш гитхаб."

Источник: https://t.me/kasperskyb2b/667

UPD 2023-06-22:

Наша команда исследователей активно сотрудничала с командой Apple Security Research, предоставив информацию об атаке и сообщив об уязвимостях.

На данный момент Apple публично подтвердила их как уязвимости нулевого дня, получившие обозначения CVE-2023-32434 и CVE-2023-32435 соответственно, и объявила об их исправлении в рамках обновлений безопасности от 21 июня 2023 года.

Мы хотели бы поблагодарить компанию Apple за оперативное принятие мер по устранению выявленных проблем для обеспечения безопасности пользователей.

ВАЖНО: Мы настоятельно рекомендуем всем вам как можно скорее обновить свои устройства iOS и iPadOS, чтобы обезопасить себя, поскольку без этого исправления ваше устройство может быть заражено в любой момент. Если ваш девайс был уже заражен, обновление решит эту проблему.

https://support.apple.com/ru-ru/HT213811
https://support.apple.com/ru-ru/HT213814