Центр інформаційних технологій
Західноукраїнський національний університет
В даний час зловмисниками активно експлуатується нова вразливість в CMS Drupal під назвою «Drupalgeddon2» для взлому сайтів.
28.03.2018 на офіційному сайті Drupal було опубліковано оновлення, які усувають критичну вразливість CVE-2018-7600 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600 ) в CMS Drupal версій 7.х, 8.5.х, 8.4.х, 8.3.х.
Останнім часом одразу декількома моніторинговими центрами були виявлені чисельні сканування портів TCP 8291 (стандартний порт на якому знаходиться сервіс Routeros winbox на роутерах MikroTik). Після детального вивчення вектору атаки було виявлено що сканування робить ботнет «Hajime» (або його версія).
Спеціалістами кіберполіції зафіксовані факти кібернетичних атаки із застосуванням нового вірусу-криптора. За наявною класифікацією він отримав назву «Trojan.Encoder.25129». У якості ідентифікатора інфікованого файлу може використовуватися контрольна сума, вирахувана за алгоритмом “SHA1” та дорівнює de74dd60ba3448b072f03ad80001f6a903f60b60. Цей ідентифікатор додано до баз даних антивірусних програм та вони здатні його розпізнавати. Шифруються файли, що зберігаються у каталогах користувача (Робочій стіл, Завантаження, Документи тощо) та деякі системні Читати далі…
Приклад повідомлень : У вкладеному архіві anketa_21_3_2018 (4).zip міститься шкідливий Javascript: anketa_21_3_2018 (4).js. Також, було виявлено поширення повідомлень з таким Javascript, але, вкладених в архів documents (5).zip з назвою шкідливого Javascipt documents (5).js відповідно. Сам Javascript складно обфускований, в декілька етапів. В результаті аналізу встановлено, що Javascript за допомогою ADODB.Stream записує потік даних з сайту hxxp://chernilis.win/filename94.bin?ff1 у виконуваний файл за Читати далі…