ТОП-5 ИБ-событий недели по версии Jet CSIRT

от автора

Сегодня в ТОП-5 — Cisco подтвердила активную эксплуатацию SSRF-уязвимости в Unified CM, вредоносный софт обходит защиту с помощью легитимных инструментов ScreenConnect, уязвимость в Oracle E-Business Suite позволяет захватить систему, ChocoPoC: новая кампания по распространению RAT через скомпрометированные пакеты PyPI, Armored Likho использует ИИ для генерации кода и скрытного закрепления в системе.

Cisco подтвердила активную эксплуатацию SSRF-уязвимости в Unified CM

Cisco подтвердила активное использование в атаках уязвимости CVE-2026-20230 (CVSS: 8.6) в системе управления IP-телефонией Cisco Unified CM (CallManager). Проблема позволяет неаутентифицированному удаленному пользователю проводить SSRF-атаки через специально сформированные HTTP-запросы, что дает возможность записывать файлы в операционную систему устройства для последующего повышения привилегий до root. Злоумышленники применяют payload-ы file:// для создания файлов на устройствах. Для эксплуатации требуется включенный сервис WebDialer, который по умолчанию отключен. Cisco настоятельно рекомендует обновиться до версий 14SU6 или установить COP-патч для версии 15. При невозможности установки патча рекомендуется отключить службу WebDialer в качестве временной меры.

Вредоносный софт обходит защиту с помощью легитимных инструментов ScreenConnect

Исследователи из Kaspersky Managed Detection and Response (MDR) раскрыли крупную кампанию, активную с октября 2025 года. Злоумышленники используют легитимный инструмент удаленного доступа ScreenConnect для доставки трояна AsyncRAT. Жертвы скачивают вредоносные архивы с поддельных веб-сайтов, которые имитируют страницы популярного бесплатного ПО, например, OBS Studio, DNS Jumper, DS4Windows и других. Атака начинается с загрузки архива, из которого вредоносная DLL-библиотека скрыто устанавливает ScreenConnect, а затем через скрипты запускает AsyncRAT. Для закрепления в системе создается задача в планировщике, а троян внедряется в процесс RegAsm.exe. Для защиты пользователям рекомендуется фильтровать исходящий трафик, проверять источники ПО и мониторить новые сервисы удаленного доступа.

Уязвимость в Oracle E-Business Suite позволяет захватить систему

Критическая уязвимость CVE-2026-46817 (CVSS: 9.8) обнаружена в компоненте File Transmission продукта Oracle Payments, входящего в состав Oracle E-Business Suite. Она связана с некорректной работой системы аутентификации в Oracle Payments и позволяет неавторизованному атакующему удаленно захватить систему через HTTP. Уязвимость затрагивает версии с 12.2.3 по 12.2.15, специалисты Oracle уже выпустили для нее исправление в рамках Critical Patch Update (CPU) за май 2026 года. Компания Defused Cyber зафиксировала реальные атаки с использованием данной уязвимости в выходные, хотя публичного кода PoC для этой уязвимости ранее не существовало. Рекомендуется срочно установить патч с исправлением и усилить мониторинг HTTP-трафика к модулю Payments.

ChocoPoC: новая кампания по распространению RAT через скомпрометированные пакеты PyPI

Специалисты YesWeHack и Sekoia раскрыли кампанию, в рамках которой злоумышленники размещают на GitHub PoC-репозитории с эксплойтами для критических уязвимостей. При попытке запустить PoC и установить зависимости (pip install -r requirements.txt) на систему жертвы загружаются вредоносные пакеты frint и skytext. Скомпилированное расширение внутри skytext расшифровывает встроенный код и загружает RAT ChocoPoC. ChocoPoC — многофункциональный Python-троян, который обладает широкими возможностями: от выполнения команд до сбора браузерных данных и сканирования процессов, при этом крупные файлы передаются через отдельный HTTP-сервер. Было выявлено семь репозиториев с эксплойтами для FortiWeb, React2Shell, PAN-OS и других систем.

Armored Likho использует ИИ для генерации кода и скрытного закрепления в системе

Группировка Armored Likho через фишинговые письма с вредоносными вложениями распространяет новый стилер BusySnake Stealer, который крадет браузерные данные, файлы и перехватывает ввод с клавиатуры. Серия атак направлена на государственные организации и электроэнергетический сектор в России и Казахстане. Вредоносное ПО использует обфускацию и механизмы обхода анализа, а его код содержит элементы ИИ-генерации и использует техники уклонения от песочниц. Управление осуществляется с C2-сервера: стилер способен создавать SSH-туннели и запускать скрипты напрямую в памяти. В обновленной версии добавлена система отслеживания статусов задач и доработан механизм персистентности через COM-объекты для снижения заметности в системе.

ссылка на оригинал статьи https://habr.com/ru/articles/1056126/