Киберугрозы на страже безопасности: Обзор недельных инцидентов от Jet CSIRT

Сегодня в списке основных событий — уязвимость типа 0-day в Microsoft Windows, троян удаленного доступа StilachiRAT, серьезные проблемы безопасности в системе mySCADA, стилер Arcane и анализ бэкдора Betruger.

Активно используемая 0-day уязвимость в Microsoft Windows

Эксперты компании Trend Micro сообщили о том, что 0-day уязвимость в Microsoft Windows активно используется злоумышленниками. Она дает возможность добавлять аргументы командной строки в файлы ярлыков LNK, делая их для пользователя невидимыми. Уязвимость возникает при изменении поля Target в свойствах файлов с помощью невидимых специальных символов (таких как пробел, табуляция или перевод строки). При проверке такого LNK файла операционная система не сможет отобразить злонамеренные аргументы в интерфейсе. В результате было выявлено более 1000 различных вредоносных файлов, использующих эту тактику. Уязвимость была обнаружена в сентябре 2024 года, однако на момент выхода этой статьи решение проблемы еще не было разработано. Исследователи отметили, что такие уязвимости использовались различными APT-группами с 2017 года для кибершпионажа и кражи данных.

Исследование трояна удаленного доступа StilachiRAT

Компания Microsoft провела детальный анализ StilachiRAT, нового трояна удаленного доступа, который был впервые обнаружен в ноябре 2024 года. Исследователи выявили, что это вредоносное ПО использует продвинутые методы скрытия и сохранения присутствия на зараженных системах, а также кражи конфиденциальных данных. В ходе анализа модуля WWStartupCtrl64.dll были обнаружены обширные способности к сбору различных данных, включая учетные записи браузеров, содержимое буфера обмена, информацию о популярных криптокошельках и прочие данные на зараженных устройствах. Статья подробно описывает основные функции этого вредоносного ПО, а также предоставляет примеры для проверки на компрометацию, ключевые индикаторы компрометации (IOCs) и советы по предотвращению и реагированию на заражения.

Серьезные уязвимости в системе mySCADA

Эксперты компании PRODAFT сообщили о наличии двух критических уязвимостей в mySCADA, которые могут дать злоумышленникам полный контроль над промышленными системами управления. Эти уязвимости связаны с недостаточной обработкой пользовательского ввода и позволяют выполнять произвольные команды на уязвимых системах через специально подготовленные POST-запросы. Уязвимости зарегистрированы под номерами CVE-2025-20014 и CVE-2025-20061, и имеют критичный уровень опасности (CVSS: 9.3). Их успешная эксплуатация может привести к серьезным сбоям в работе и финансовым потерям. Пользователям стоит обновить свои системы до последних версий, которые были исправлены в mySCADA PRO Manager 1.3 и mySCADA PRO Runtime 9.2.1.

Стилер Arcane, нацеленный на русскоязычную аудиторию

С конца 2024 года наблюдается активное распространение стилера Arcane. Специалисты «Лаборатории Касперского» отмечают, что большинство заражений имеет место в России, Беларуси и Казахстане. Изначально ссылки на архив с вредоносным содержимым публиковались под роликами на YouTube, а затем для распространения стилера начали размещать ссылку на загрузку ArcanaLoader, который в Discord рекламировался как удобный загрузчик различных читов и кряков. Вредоносное ПО включает функции по краже учетных данных, паролей, данных кредитных карт и файлов cookie из браузеров на платформе Chromium. Также предусмотрен сбор системной информации, конфигурационных файлов, настроек и данных учетных записей из VPN-сервисов, сетевых утилит, мессенджеров, почтовых клиентов и криптокошельков. Для защиты важно осторожно относиться к утилитам, распространяемым через YouTube или Discord, а также скачивающимся из ненадежных источников, и не забывать использовать антивирусные средства.

Анализ Backdoor Betruger

Группировка RansomHub, которая предоставляет услуги RaaS, начала использовать новый бэкдор под названием Betruger. Этот инструмент включает модули для сбора информации с зараженных систем, передачи данных на C&C сервер, сетевого сканирования и повышения привилегий. Betruger позволяет уменьшить количество вредоносных инструментов, необходимых для проведения атак с использованием программ-вымогателей. Статья также рассматривает другие используемые инструменты в атаках и эксплуатации уязвимостей в Windows и Veeam. RansomHub активно развивает свою сеть партнеров, предлагая выгодные условия, и считается одной из наиболее продуктивных групп по количеству атак. Для обнаружения данного вредоносного ПО можно использовать индикаторы компрометации, приведенные командой Symantec.