Киберугрозы декабря 2024: новые уязвимости и хакерские атаки

В декабре 2024 года произошло несколько значительных инцидентов и уязвимостей в области кибербезопасности, затронувших различные сектора и организации. Агентство кибербезопасности и защиты инфраструктуры США (CISA) активно отслеживало эти события и добавляло критические уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV). Рассмотрим ключевые события подробно.

Ключевые уязвимости декабря 2024 года

• Уязвимость BeyondTrust (CVE-2024-12356): CISA отметила эту критическую ошибку при вводе команд, которая влияет на продукты BeyondTrust для привилегированного удаленного доступа (PRA) и удаленной поддержки (RS). Уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, запускать произвольные команды от имени пользователя сайта. После кибератаки с использованием украденного ключа API было подтверждено наличие ошибки, и была исправлена уязвимость средней степени тяжести (CVE-2024-12686), затрагивающая административные учетные записи.
• Уязвимость Palo Alto Networks в PAN-OS (CVE-2024-3393): CISA выявила активную уязвимость высокой степени защиты от отказа в обслуживании (DoS) в программном обеспечении Palo Alto Networks. Злоумышленник может вызвать непредвиденную перезагрузку брандмауэра, отправив специально созданный пакет. Федеральным агентствам рекомендовано установить обновления к установленному сроку исправления.
• Уязвимость при загрузке файлов Cleo (CVE-2024-55956): CISA добавила в каталог KEV уязвимость, влияющую на продукты Cleo Harmony, VLTrader и LexiCom. Она позволяет злоумышленникам, не прошедшим проверку подлинности, использовать неограниченные возможности загрузки файлов, что может привести к выполнению произвольных команд. Рекомендуемые меры по устранению включают обновление до защищённой версии и мониторинг несанкционированного доступа.

Кибершпионаж и кибератаки

В декабре также фиксировались случаи кибершпионажа и атак со стороны хакерских групп:

• Кибершпионажная деятельность Salt Typhoon: Эта хакерская группа, известная также как Earth Estries и FamousSparrow, взломала девятую телекоммуникационную компанию США, сосредоточив своё внимание на несекретных сообщениях и метаданных, связанных с официальными лицами США. CISA раскрыла тактику, методы и процедуры группы, подчеркнув акцент на кибершпионаже в телекоммуникационном секторе.
• Группа Lazarus и ядерная промышленность: Группа, связанная с Северной Кореей, начала нацеливаться на ядерную промышленность, используя тактику «операции DreamJob» для доставки вредоносных файлов. Применяемое ими вредоносное ПО, включая CookiePlus, демонстрирует необходимость усиления кибербезопасности в чувствительных отраслях.

Новые угрозы от ботнета Mirai

Кроме того, в декабре 2024 года был зафиксирован новый ботнет на базе Mirai, который использует уязвимости удаленного выполнения кода (RCE) в сетевых видеорегистраторах DigiEver, маршрутизаторах TP-Link и устройствах Teltonika для проведения распределенных атак типа «отказ в обслуживании» (DDoS). Ботнет продемонстрировал продвинутую тактику, включая шифрование и нацеливание на множество архитектур устройств.

Эти события подчеркивают необходимость постоянного мониторинга и улучшения мер кибербезопасности для защиты от возникающих угроз и уязвимостей в различных секторах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.