ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — Google выпустила бюллетень безопасности, Microsoft исправила более 100 уязвимостей, AkiraBot атакует спамом, RDP используется для кражи данных, майнер маскируется под Microsoft Office.

Google выпустила бюллетень безопасности, закрыв 62 уязвимости в Android ^[1]

Бюллетень, выпущенный Google, содержит информацию об уязвимостях в защите устройств Android в двух исправлениях: 2025-04-01 и 2025-04-05. Исправление 2025-04-01 рассматривает уязвимости, позволяющие локально и удаленно повышать привилегии даже не имеющему прав злоумышленнику. В исправлении 2025-04-05 уделяется внимание ^[2] компонентам Arm, Imagination Tecnologies, а также компонентам MediaTek и Qualcomm.Для снижения вероятности успешного использования уязвимостей предлагается своевременно обновлять систему и пользоваться ресурсами Google, такими как «Google Play Защита» при скачивании приложений.

Microsoft исправила более 100 уязвимостей, в том числе уязвимости «нулевого дня ^[3]»

Под исправление попали 134 уязвимости, включая уязвимость «нулевого дня» CVE-2025-29824 (CVSS:7.8) ^[4]. Она связана с повышением привилегий в драйвере Windows Common Log File System (CLFS). Известно, что CLFS использовался ПО PipeMagic. Windows 11 версии 24H2 не подвержена наблюдаемой уязвимости. Для остальных рекомендуется использовать облачную защиту в антивирусе, запускать EDR в режиме блокировки и повышать прозрачность сети с помощью функции обнаружения устройств.

AkiraBot на базе OpenAI атакует спамом, обходя защиту CAPTCHA ^[5]

AkiraBot — фреймворк для рассылки спама в чатах и контактных формах веб-сайтов. Для наибольшей адаптации к контенту он использует искусственный интеллект ^[6], что позволяет менять сгенерированный контент при создании каждого нового сообщения. Так же AkiraBot меняет домен, что помогает обходить спам-фильтры. Для обхода CAPTCHA бот использует отпечатки браузеров, а также несколько резервных сервисов. AkiraBot записывает свои действия в файл submissions.csv, а показатели успешности собираются и отправляются в Telegram-канал через API. На основании этой информации компания OpenAI отключила ключ API, а также другие связанные с ним ресурсы, которые были использованы злоумышленниками.

Rogue RDP: использование RDP для кражи данных и шпионажа ^[7]

Google Threat Intelligence Group обнаружила новую технику атак, использующую подписанные вложения .rdp-файлов. После установления RDP-соединений осуществляется перенаправление ресурсов с файловых систем жертв на сервера злоумышленников. Дальше происходит использование RemoteApp для отображения приложений на серверах злоумышленников как приложений жертвы. Таким образом злоумышленники получают данные буфера обмена, пароли и файлы жертвы. Данная техника доказывает, что даже малоизвестные функции RDP могут быть использованы для кражи данных и шпионажа.

Опасный майнер маскируется под Microsoft Office ^[8]

В связи с ограничением доступа к Microsoft Office в России многие пользователи начали искать альтернативные источники загрузки, включая сайты SourceForge. Злоумышленники использовали этот сервис для создания поддельного проекта officepackage, ведущего к скачиванию вредоносного архива. Сложная цепочка заражения включает несколько этапов: от запуска поддельного установщика до загрузки дополнительных скриптов с GitHub, установки майнера и трояна ClipBanker. Атака нацелена в основном на российских пользователей, стремящихся получить офисные программы нелегальным путем. Около 5 тыс. пользователей уже стали жертвами злоумышленников. Чтобы избежать подобных угроз, крайне важно использовать только проверенные и официальные источники для скачивания программного обеспечения.