ТОП-5 ИБ-событий недели по версии Jet CSIRT

4 мин
ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — Microsoft обновляет базовый пакет безопасности для Windows Server 2025, новая волна рассылок Head Mare, вредоносное ПО имитирует обновление Zoom Update, в новой версии Wireshark устранены уязвимости в системе безопасности, продолжаются атаки Librarian Likho на российские компании.

1. Microsoft обновляет базовый пакет безопасности для Windows Server 2025

Корпорация Microsoft выпустила апдейт пакета базовых параметров безопасности для Windows Server 2025 (v2602). Ключевым изменением в Windows Server стало отключение команды sudo на серверах и контроллерах домена. Для контроллеров домена также активирован режим блокировки для проверки ключей Windows Hello for Business, уязвимых к атаке ROCA. С целью снижения рисков возможность запуска Internet Explorer 11 через COM-автоматизацию отключена. Ко всем файлам, загруженным из интернета, применяется тег Mark of the Web (MotW). Включен аудит входящего NTLM-трафика для всех учетных записей, аудит исходящего NTLM-трафика на удаленные серверы, а на контроллерах домена активирован аудит NTLM-аутентификации в домене. Дополнительно Microsoft опубликовала рекомендации по усилению защиты SMB-сервера и управлению сертификатами Secure Boot в контексте истечения их срока действия.

2. Новая волна рассылок Head Mare

Эксперты Kaspersky сообщили о новой фишинговой кампании группировки Head Mare. Письмо отправляется от имени научно-исследовательской организации и содержит предложение заключить договор и зашифрованный архив. Архив содержит файлы-ярлыки (.lnk), запускающие скачивание вредоносного PowerShell-скрипта. Он загружает файл USOCachedData.txt (практически DLL) и обеспечивает закрепление в системе через технику PSFactoryBuffer COM Hijacking. Загруженная набор модулей является новой версией бэкдора PhantomCore и при активации отправляет на C2-сервер два POST-запроса в формате JSON: для регистрации бота с данными о системе и для получения команд. Полученные команды предписывают бэкдору загрузить архив с модулем TemplateMaintenanceHost.exe и обеспечить его автозапуск. Далее компонент запускает ssh.exe для создания туннеля с удаленным хостом, превращая зараженную машину в SOCKS5-прокси. Для защиты рекомендуется усилить фильтрацию входящей почты и ограничить выполнение PowerShell-скриптов.

3. Вредоносное ПО имитирует обновление Zoom Update

Киберпреступники запустили новую кампанию, которая использует поддельный сайт конференции Zoom для установки ПО для слежки. Жертва переходит на веб-сайт uswebzoomus[.]com/zoom/ и попадает на поддельную страницу ожидания, к которой подключаются вымышленные участники. В чате постоянно висит уведомление о проблемах с сетью, а позже появляется окно о доступности новой версии, после чего браузер загружает вредоносный MSI-файл. В момент скачивания страница имитирует Microsoft Store с установкой «Zoom Workplace». Скачиваемый файл zoom_agent_x64_s-i(...).msi — установщик Teramind, ПО для мониторинга сотрудников. После завершения установки все временные файлы удаляются. Файлы Teramind не содержат вредоносного кода, и антивирусы могут их не обнаруживать. Для защиты рекомендуется открывать Zoom из приложения на своих устройствах и не переходить по ссылкам-приглашениям на собрания. 

4. В новой версии Wireshark устранены уязвимости в системе безопасности

В новом релизе Wireshark v 4.6.4, программы для захвата и анализа сетевого трафика, исправлены три уязвимости безопасности. Первая уязвимость CVE-2026-3201 (CVSS: 4.7) вызывала отказ в обслуживании через исчерпание памяти в детекторе USB HID. Также были устранены две проблемы, вызывающие аварийное завершение программы при анализе пакетов NTS-KE — CVE-2026-3202 (CVSS: 4.7) и RF4CE Profile — CVE-2026-3203 (CVSS: 5.5). Решена проблема, из-за которой Wireshark не запускался, если Npcap был настроен с ограничением доступа к драйверу только для администраторов. Обновлена поддержка множества протприблизительнов и добавлена возможность дешифровки NTP-пакетов с использованием Network Time Security (NTS). 

5. Продолжаются атаки Librarian Likho на российские компании

Группировка Librarian Likho продолжает масштабную фишинговую кампанию. Атака начинается с рассылки писем с вредоносными вложениями — инсталляторами, замаскированными под деловые предложения с расширением .com. При запуске вложения распаковываются в два архива — 2.tmp и temp_0.tmp. Затем запускается файл find.cmd. Ключевым отличием новой кампании стал парсинг C2-серверов. Скрипт получает адреса из файла url.txt, который он парсит, а не использует жестко прописанные URL. Для обхода защиты find.cmd сначала запускает утилиту Trays.exe, скрывающую окна процессов, затем отключает сервисы Microsoft Defender и брандмауэр. Устанавливается AnyDesk с запуском any.bat для закрепления и bat.bat, предоставляющий злоумышленникам данные для подключения и подготавливающий узел к дальнейшей эксплуатации. Для защиты рекомендуется применять решения на уровне почтового шлюза.

Читают сейчас

Обзор изменений в законодательстве за июнь 2026 года

17 июля 2026, 13:04

Обзор изменений в законодательстве за июнь 2026 года

В обзоре изменений за июнь 2026 года рассмотрим следующие темы: критическая информационная инфраструктура, финансовые организации, деятельность ФСТЭК России, судебная практика и другие. Читать далее

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

17 июля 2026, 13:00

«Яндекс» назвал победителей первой премии «Сделано с ИИ»

«Яндекс» подвёл итоги первой премии «Сделано с ИИ», учреждённой для специалистов, которые применяют искусственный интеллект при решении профессиональных задач. Победителями стали разработчики проектов

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

17 июля 2026, 12:58

Почти 300 репозиториев GitHub использовались для распространения программ-стилеров

На GitHub обнаружили масштабную атаку: 292 репозитория с инфостилерами, которые имитировали известные инструменты в области безопасности, финансов и разработки. По поведению вредонос похож на семейств

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

17 июля 2026, 12:57

Выпуск ProGate 1.3.0: сопровождение Shardman, отказоустойчивость и улучшения безопасности

Postgres Professional представляет обновление платформы миграции и репликации данных — Postgres ProGate 1.3.0. Ключевые темы релиза: полноценная поддержка Postgres Pro Shardman в качестве приёмника с

«Авито» планирует запустить свой служба знакомств

17 июля 2026, 12:22

«Авито» планирует запустить свой служба знакомств

«Авито» изучает возможность запуска сервиса знакомств для серьёзных отношений, который будет встроен в основное приложение платформы, рассказали «Ъ» источники, знакомые с планами компании. В «Авито» п