ТОП-5 ИБ-событий недели по версии Jet CSIRT

3 мин
ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — Cisco подтвердила активную эксплуатацию SSRF-уязвимости в Unified CM, вредоносный софт обходит защиту с помощью легитимных инструментов ScreenConnect, уязвимость в Oracle E-Business Suite позволяет захватить систему, ChocoPoC: новая кампания по распространению RAT через скомпрометированные пакеты PyPI, Armored Likho использует ИИ для генерации кода и скрытного закрепления в системе.

Cisco подтвердила активную эксплуатацию SSRF-уязвимости в Unified CM

Cisco подтвердила активное использование в атаках уязвимости CVE-2026-20230 (CVSS: 8.6) в системе управления IP-телефонией Cisco Unified CM (CallManager). Проблема даёт возможность неаутентифицированному удаленному пользователю проводить SSRF-атаки через специально сформированные HTTP-запросы, что даёт возможность записывать файлы в операционную систему устройства для последующего повышения привилегий до root. Злоумышленники применяют payload-ы file:// для создания файлов на устройствах. Для эксплуатации требуется включенный сервис WebDialer, который по умолчанию отключен. Cisco настоятельно рекомендует обновиться до версий 14SU6 или инсталлировать COP-патч для версии 15. При невозможности установки патча рекомендуется выключить службу WebDialer в качестве временной меры.

Вредоносный софт обходит защиту с помощью легитимных инструментов ScreenConnect

Исследователи из Kaspersky Managed Detection and Response (MDR) раскрыли крупную кампанию, активную с октября 2025 года. Злоумышленники используют легитимный инструмент удаленного доступа ScreenConnect для доставки трояна AsyncRAT. Жертвы скачивают вредоносные архивы с поддельных веб-сайтов, которые имитируют страницы популярного бесплатного ПО, например, OBS Studio, DNS Jumper, DS4Windows и других. Атака начинается с загрузки архива, из которого вредоносная DLL-библиотека скрыто устанавливает ScreenConnect, а затем через скрипты запускает AsyncRAT. Для закрепления в системе создается проблема в планировщике, а троян внедряется в процедура RegAsm.exe. Для защиты пользователям рекомендуется фильтровать исходящий посещаемость, проверять источники ПО и мониторить новые сервисы удаленного доступа.

Уязвимость в Oracle E-Business Suite позволяет захватить систему

Критическая уязвимость CVE-2026-46817 (CVSS: 9.8) обнаружена в компоненте File Transmission продукта Oracle Payments, входящего в состав Oracle E-Business Suite. Она связана с некорректной работой системы аутентификации в Oracle Payments и даёт возможность неавторизованному атакующему удаленно захватить систему через HTTP. Уязвимость затрагивает версии с 12.2.3 по 12.2.15, специалисты Oracle уже выпустили для нее исправление в рамках Critical Patch Update (CPU) за май 2026 года. Компания Defused Cyber зафиксировала реальные атаки с использованием данной уязвимости в выходные, хотя публичного кода PoC для этой уязвимости ранее не существовало. Рекомендуется срочно инсталлировать патч с исправлением и усилить мониторинг HTTP-трафика к модулю Payments.

ChocoPoC: новая кампания по распространению RAT через скомпрометированные пакеты PyPI

Специалисты YesWeHack и Sekoia раскрыли кампанию, в рамках которой злоумышленники размещают на GitHub PoC-репозитории с эксплойтами для критических уязвимостей. При попытке запустить PoC и инсталлировать зависимости (pip install -r requirements.txt) на систему жертвы загружаются вредоносные пакеты frint и skytext. Скомпилированное плагин внутри skytext расшифровывает встроенный исходник и загружает RAT ChocoPoC. ChocoPoC — многофункциональный Python-троян, который обладает широкими возможностями: от выполнения команд до сбора браузерных данных и сканирования процессов, одновременно крупные файлы передаются через отдельный HTTP-сервер. Было выявлено семь репозиториев с эксплойтами для FortiWeb, React2Shell, PAN-OS и других систем.

Armored Likho использует ИИ для генерации кода и скрытного закрепления в системе

Группировка Armored Likho через фишинговые письма с вредоносными вложениями распространяет новый стилер BusySnake Stealer, который крадет браузерные данные, файлы и перехватывает ввод с клавиатуры. Серия атак направлена на государственные организации и электроэнергетический сектор в России и Казахстане. Вредоносное ПО использует обфускацию и механизмы обхода анализа, а его исходник содержит элементы ИИ-генерации и использует техники уклонения от песочниц. Управление осуществляется с C2-сервера: стилер способен разрабатывать SSH-туннели и запускать скрипты напрямую в памяти. В обновленной версии добавлена платформа отслеживания статусов задач и доработан механизм персистентности через COM-объекты для снижения заметности в системе.

Читают сейчас

Клиенты «разгневаны и отчаянны»: почему бум памяти стартовал вредить самим чипмейкерам

32 минуты назад

Клиенты «разгневаны и отчаянны»: почему бум памяти стартовал вредить самим чипмейкерам

Акции производителей чипов памяти обвалились в начале июля: Micron за первые два торговых дня месяца потерял 15,5%, Sandisk — 23,3%, распродажа затронула и азиатских игроков. Снижение выглядит особенн

41 минуту назад

СМИ сообщили об идее Минцифры обязать подтверждать значимые действия через СМС или «Макс», сегмент и эксперты против

Книга Forbes заяивло, что Минцифры РФ предлагает активировать в третий пакет антифрод-мер требование подтверждать значимые действия в интернете через СМС-сообщения или мессенджер «Макс». Книга сослало

1 час назад

Альтернатива ГПУ для ЦОД. На «Иннопром» привезли турбину АЛ-41СТ-25

На промышленном форуме «Иннопром-2026» в Екатеринбурге Объединенная двигателестроительная корпорация (ОДК) показала свежий индустриальный газотурбинный двигатель АЛ-41СТ-25. Его разработало ОКБ им. Лю

1 час назад

Тест боем: Innostage включает продукты Avanpost в программу открытых кибериспытаний

Компания Innostage, первый российский ИБ-интегратор, вышедший на открытые кибериспытания, и компания Avanpost, вендор в области безопасности идентификационных данных, объявляют о новом этапе стратегич

Евгений Рошал: WinRAR работает бесконечно, только изредка напоминая о том, что лицензию хорошо бы оплатить

2 часа назад

Евгений Рошал: WinRAR работает бесконечно, только изредка напоминая о том, что лицензию хорошо бы оплатить

Создатель архиватора WinRAR (Roshal ARchive) Евгений Рошал в интервью изданию РБК рассказал историю дизайна иконки проекта и открыл, почему архиватор WinRAR более 30 лет работает по модели добровольно