Pioneer Kitten APT IOCs
Иранская хакерская группа, известная как "Pioneer Kitten", стала активно атаковать критически важные объекты инфраструктуры и предоставлять посреднические услуги для распространения программ-вымогателей.
CVE-2024-21887
Хакеры атакуют облачные серверы Linux, чтобы получить полный контроль
Исследователи безопасности из GBHackers недавно обнаружили ботнеты, использующие облачные серверы Linux для получения контроля и хранения данных для операций злоумышленников.
Ivanti Connect Secure VPN: Случаи бокового перемещения после эксплоатации
С момента первоначального раскрытия CVE-2023-46805 и CVE-2024-21887 10 января 2024 года компания Mandiant провела множество мероприятий по реагированию на инциденты в различных отраслях и географических регионах.
Эксплуатации уязвимостей Ivanti Pulse Secure для распространения Mirai
Juniper Threat Labs зафиксировал попытки эксплуатации уязвимости удаленного выполнения кода в системе аутентификации Ivanti Pulse Secure. В результате анализа было выявлено использование эксплойта ботнетом Mirai для доставки вредоносного ПО.
JFrog обнаружило скоординированные атаки на хаб Docker, в результате которых были созданы миллионы вредоносных репозиториев
Компания JFrog Security Research обнаружила три крупномасштабные кампании вредоносного ПО, направленные на Docker Hub, в результате которых миллионы репозиториев "без образов" были заражены вредоносными метаданными.
Magnet Goblin APT IOCs
Check Point сообщает, что Magnet Goblin - это финансово мотивированный угрожающий субъект, который быстро принимает и использует 1-дневные уязвимости в публичных сервисах в качестве начального вектора заражения.
Попытки эксплойтов и персистентных атак Ivanti Connect Secure VPN
Компания Mandiant и Ivanti проводят расследование масштабной эксплуатации уязвимостей в продуктах Ivanti, включая сектор оборонно-промышленной базы. Обнаружено, что эксплуатирующие уязвимости субъекты связаны с Китаем.
UNC5221 APT IOCs
10 января 2024 года компания Ivanti раскрыла две уязвимости, CVE-2023-46805 и CVE-2024-21887, затрагивающие устройства Ivanti Connect Secure VPN ("CS", ранее Pulse Secure) и Ivanti Policy Secure ("PS").
Активная эксплуатация двух уязвимостей нулевого дня в Ivanti Connect Secure VPN
Компания Volexity обнаружила активную эксплуатацию двух уязвимостей, позволяющих неавторизованно выполнять удаленный код на устройствах Ivanti Connect Secure VPN.