ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — Microsoft обновляет базовый пакет безопасности для Windows Server 2025, новая волна рассылок Head Mare, вредоносное ПО имитирует обновление Zoom Update, в новой версии Wireshark устранены уязвимости в системе безопасности, продолжаются атаки Librarian Likho на российские компании.

1. Microsoft обновляет базовый пакет безопасности для Windows Server 2025

Корпорация Microsoft выпустила апдейт пакета базовых параметров безопасности для Windows Server 2025 (v2602). Ключевым изменением в Windows Server стало отключение команды sudo на серверах и контроллерах домена. Для контроллеров домена также активирован режим блокировки для проверки ключей Windows Hello for Business, уязвимых к атаке ROCA. С целью снижения рисков возможность запуска Internet Explorer 11 через COM-автоматизацию отключена. Ко всем файлам, загруженным из интернета, применяется тег Mark of the Web (MotW). Включен аудит входящего NTLM-трафика для всех учетных записей, аудит исходящего NTLM-трафика на удаленные серверы, а на контроллерах домена активирован аудит NTLM-аутентификации в домене. Дополнительно Microsoft опубликовала рекомендации по усилению защиты SMB-сервера и управлению сертификатами Secure Boot в контексте истечения их срока действия.

2. Новая волна рассылок Head Mare

Эксперты Kaspersky сообщили о новой фишинговой кампании группировки Head Mare. Письмо отправляется от имени научно-исследовательской организации и содержит предложение заключить договор и зашифрованный архив. Архив содержит файлы-ярлыки (.lnk), запускающие скачивание вредоносного PowerShell-скрипта. Он загружает файл USOCachedData.txt (практически DLL) и обеспечивает закрепление в системе через технику PSFactoryBuffer COM Hijacking. Загруженная набор модулей является новой версией бэкдора PhantomCore и при активации отправляет на C2-сервер два POST-запроса в формате JSON: для регистрации бота с данными о системе и для получения команд. Полученные команды предписывают бэкдору загрузить архив с модулем TemplateMaintenanceHost.exe и обеспечить его автозапуск. Далее компонент запускает ssh.exe для создания туннеля с удаленным хостом, превращая зараженную машину в SOCKS5-прокси. Для защиты рекомендуется усилить фильтрацию входящей почты и ограничить выполнение PowerShell-скриптов.

3. Вредоносное ПО имитирует обновление Zoom Update

Киберпреступники запустили новую кампанию, которая использует поддельный сайт конференции Zoom для установки ПО для слежки. Жертва переходит на веб-сайт uswebzoomus[.]com/zoom/ и попадает на поддельную страницу ожидания, к которой подключаются вымышленные участники. В чате постоянно висит уведомление о проблемах с сетью, а позже появляется окно о доступности новой версии, после чего браузер загружает вредоносный MSI-файл. В момент скачивания страница имитирует Microsoft Store с установкой «Zoom Workplace». Скачиваемый файл zoom_agent_x64_s-i(...).msi — установщик Teramind, ПО для мониторинга сотрудников. После завершения установки все временные файлы удаляются. Файлы Teramind не содержат вредоносного кода, и антивирусы могут их не обнаруживать. Для защиты рекомендуется открывать Zoom из приложения на своих устройствах и не переходить по ссылкам-приглашениям на собрания. 

4. В новой версии Wireshark устранены уязвимости в системе безопасности

В новом релизе Wireshark v 4.6.4, программы для захвата и анализа сетевого трафика, исправлены три уязвимости безопасности. Первая уязвимость CVE-2026-3201 (CVSS: 4.7) вызывала отказ в обслуживании через исчерпание памяти в детекторе USB HID. Также были устранены две проблемы, вызывающие аварийное завершение программы при анализе пакетов NTS-KE — CVE-2026-3202 (CVSS: 4.7) и RF4CE Profile — CVE-2026-3203 (CVSS: 5.5). Решена проблема, из-за которой Wireshark не запускался, если Npcap был настроен с ограничением доступа к драйверу только для администраторов. Обновлена поддержка множества протприблизительнов и добавлена возможность дешифровки NTP-пакетов с использованием Network Time Security (NTS). 

5. Продолжаются атаки Librarian Likho на российские компании

Группировка Librarian Likho продолжает масштабную фишинговую кампанию. Атака начинается с рассылки писем с вредоносными вложениями — инсталляторами, замаскированными под деловые предложения с расширением .com. При запуске вложения распаковываются в два архива — 2.tmp и temp_0.tmp. Затем запускается файл find.cmd. Ключевым отличием новой кампании стал парсинг C2-серверов. Скрипт получает адреса из файла url.txt, который он парсит, а не использует жестко прописанные URL. Для обхода защиты find.cmd сначала запускает утилиту Trays.exe, скрывающую окна процессов, затем отключает сервисы Microsoft Defender и брандмауэр. Устанавливается AnyDesk с запуском any.bat для закрепления и bat.bat, предоставляющий злоумышленникам данные для подключения и подготавливающий узел к дальнейшей эксплуатации. Для защиты рекомендуется применять решения на уровне почтового шлюза.