Анализ ключевых киберугроз: уязвимости, шпионские программы и новые RAT в сфере ИТ-безопасности

Сегодня в нашем обзоре ТОП-5 угроз: DripDropper использует уязвимость в Apache ActiveMQ, Android бэкдор следит за работниками российских компаний, Apple выпустила экстренное обновление для исправления критической уязвимости в ImageIO, новый RAT GodRAT атакует финансовые учреждения, а QuirkyLoader разносит Agent Tesla, AsyncRAT и кейлоггер Snake.

DripDropper использует уязвимость в Apache ActiveMQ

Исследователи из Red Canary предупредили о том, что активизировалось использование уязвимости CVE-2023-46604 (CVSS: 10.0) в Apache ActiveMQ, позволяющее распространять вредоносное ПО DripDropper в Linux. Эта ошибка предоставляет злоумышленникам возможность удалённого выполнения кода (RCE), что даёт им полный контроль над системой. После инсталляции DripDropper атакующие загружают и внедряют дополнительное вредоносное ПО, затем устанавливают патч, чтобы «закрыть» уязвимость и затруднить доступ для других злоумышленников. Для активации вредоносного ПО необходим специфический пароль, что затрудняет его анализ. В качестве скрытого C2-сервера используется Dropbox, а DripDropper модифицирует конфигурации SSH и cron для своего закрепления. Рекомендуется обновить Apache ActiveMQ до последних версий и внимательно следить за изменениями в SSH и cron настройках.

Бэкдор Android шпионит за работниками российских компаний

Компания Doctor Web обнаружила мобильный бэкдор Android.Backdoor.916.origin, который маскируется под приложения «ФСБ» или «антивирусные решения». Этот вредонос требует множество разрешений, включая доступ к камере, микрофону, SMS, звонкам, контактам и геолокации. Он активно используется для слежки за работниками российских компаний, притворяясь безопасным программным обеспечением. Интерфейс приложения полностью на русском языке, что свидетельствует о нацеливании на российских пользователей.
Рекомендуется блокировать установку приложений из ненадёжных источников и использовать системы MDM/EDR для мониторинга аномальных разрешений.

Apple устранила серьезную zero-day уязвимость в ImageIO

Apple выпустила срочные обновления для iOS 18.6.2, iPadOS 18.6.2, а также macOS Sonoma 14.7.8, Ventura 13.7.8 и Sequoia 15.6.1 для устранения уязвимости CVE-2025-43300 (CVSS: 8.8). Ошибка связана с «out-of-bounds write» в компоненте ImageIO, что позволяет злоумышленнику выполнять произвольный код при открытии специально подготовленного изображения и может привести к повреждению памяти. Уязвимость уже активно используется в атаках и включена в каталог CISA KEV с требованием исправления до 11 сентября 2025 года. Затронуты устройства начиная с iPhone XS и выше, а также соответствующие версии iPad и macOS. Apple исправила эту проблему с помощью улучшенной проверки границ в обработке изображений. Рекомендуется незамедлительно установить последние обновления, чтобы минимизировать риск удалённого выполнения кода и компрометации устройств.

GodRAT — новый RAT, нацеленный на финансовые организации

Эксперты Kaspersky впервые встретили новый троян удалённого администрирования GodRAT в сентябре 2024 года, и его активность продолжается до сих пор. Это вредоносное ПО, основанное на Gh0st RAT, распространяется с помощью заражённых файлов с расширениями .scr и .pif, замаскированных под финансовые документы. GodRAT использует стеганографию для внедрения shellcode в изображения и может устанавливать дополнительные плагины, такие как FileManager для кражи файлов и AsyncRAT для удалённого управления. Основные жертвы — финансовые учреждения на Ближнем Востоке и в Азии. Рекомендуется блокировать распространение исполняемых файлов через мессенджеры и усиливать мониторинг подозрительной активности, связанной с загрузкой изображений.

QuirkyLoader разносит Agent Tesla, AsyncRAT и кейлоггер Snake

Исследователи IBM X-Force зафиксировали кампанию, в которой злоумышленники используют загрузчик QuirkyLoader для доставки различных семейств вредоносного ПО. К ним относятся Agent Tesla, который нацелен на кражу учётных данных и информации из браузеров, AsyncRAT, предоставляющий полный удалённый доступ к инфицированной системе, и Snake, кейлоггер для захвата нажатий клавиш. Доставка осуществляется через ZIP-файлы в электронных письмах: внутри архива скрыт LNK-файл, который запускает PowerShell-скрипт для загрузки основной полезной нагрузки. Для маскировки активности применяются методы обфускации и «living off the land». Основные жертвы атак — организации из финансового сектора, промышленности и IT. Эксперты рекомендуют блокировать LNK/ZIP-вложенные файлы в корпоративной почте, использовать sandbox-анализ и усиливать контроль активности PowerShell.