Эксперты компании F5 Networks зафиксировали агрессивную сложную кампанию, получившую название Zealot, в рамках которой злоумышленники используют различные эксплоиты для установки майнеров криповалюты Monero на серверы под управлением Linux и Windows.

Атакующие сканируют интернет на предмет определенных уязвимых серверов и при нахождении таковых используют два эксплоита  для компрометации компьютеров. Ранее эту уязвимость проэксплуатировала другая хакерская группировка в целях взлома компьютерной системы одного из крупнейших кредитных бюро Equifax. 

Неизвестные злоумышленники эксплуатируют уязвимость SambaCry для установки бэкдоров на Linux-устройствах, использующих старые версии файлообменного сервера Samba.

Подробности об уязвимости SambaCry, также известной как EternalRed, были раскрыты в мае текущего года. Спустя две недели после ее публичного раскрытия хакеры стали эксплуатировать уязвимость для заражения Linux-серверов майнером криптовалюты EternalMiner. Теперь эксперты Trend Micro обнаружили, что в атаках с эксплуатацией SambaCry также используется вредоносное ПО SHELLBIND.

WikiLeaks опубликовал новые конфиденциальные документы ЦРУ, в которых речь идет о двух проектах по кибершпионажу ЦРУ.

В обнародованных документах речь идет о проектах по похищению регистрационных данных, необходимых для удаленной работы с операционными системами. "WikiLeaks опубликовал документы о проектах ЦРУ BothanSpy и Gyrfalcon. Программы созданы для перехвата и выведения регистрационных данных протоколов SSH, они работают на разных операционных системах и имеют разные векторы атаки", — говорится в релизе.

Получить права суперпользователя на дистрибутиве Linux, использующем для инициализации системный менеджер systemd, можно с помощью недействительного имени пользователя в файле systemd.unit.

В Linux во избежание путаницы между числовыми идентификаторами пользователя и буквенно-числовыми именами пользователя, последние не должны начинаться с чисел. Тем не менее, в некоторых современных дистрибутивах, таких как RHEL7 и CentOS, это разрешено. Systemd не позволяет создавать unit-файлы с недействительным именем пользователя.

В рамках проекта Vault 7 организация WikiLeaks опубликовала очередную порцию документов, описывающих инструмент OutlawCountry, предназначенный для удаленного шпионажа на компьютерах под управлением Linux.

Согласно документации, Центральное разведывательное управление США использовало инструмент для перенаправления исходящего трафика с целевого компьютера на контролируемые агентством системы для эксфильтрации и инфильтрации данных. Вредоносное ПО включает модуль ядра Linux 2.6, который создает скрытую таблицу Netfilter на компьютере на базе Linux. 

В серверной части популярного пакета ПО Samba найдена «дыра», просуществовавшая в нем около семь лет. Уязвимость впервые появилась в версии 3.5.0, выпущенной в марте 2010 г. С тех пор она присутствовала в каждой версии пакета, включая недавнюю 4.6.4.

Исследователям из компании Rapid7 удалось обнаружить более 104 тыс. устройств, подключенных к интернету и использующих в настоящее время уязвимые версии Samba. Кроме того, разработчики из сообщества Samba Project создали патчи для старых версий пакета.

Исследователь нашел баг в ядре Linux, существующий с 2005 года и присутствующий во всех популярных дистрибутивах, включая Redhat, Debian, OpenSUSE и Ubuntu. Use-after-free уязвимость была обнаружена в имплементации протокола DCCP.

Самая старая уязвимая версия датирована сентябрем 2006 года, исследователь полагает, что корнями баг уходит к самому первому релизу с поддержкой DCCP. Чтобы уязвимость была актуальна, ядро должно быть собрано с условием CONFIG_IP_DCCP, но в большинстве дистрибутивов данная опция активна по умолчанию.

Исследователи обнаружили вариант новоиспеченного блокера KillDisk, ориентированный на Linux. Как оказалось, эта версия содержит недочет, дающий надежду на восстановление зашифрованных файлов.

Дополнительный функционал, позволяющий шифровать файлы жертвы и требовать выкуп, данный зловред приобрел совсем недавно, однако аналитики CyberX наблюдали его в действии лишь против Windows. Версия вымогателя для Linux работает по-другому и отличается прежде всего тем, что не сохраняет ключи шифрования ни локально, ни онлайн.

Исследователи компании ESET отметили интенсивное распространение нового вредоносного ПО, атакующего встраиваемые устройства и серверы на базе ОС Linux.

По всей видимости, происходит строительство нового «ботнета вещей» — вредоносной сети, состоящей из устройств интернета вещей. Отмечается, что с технической точки зрения метод атаки довольно прост: зловред ищет в Сети устройства с открытым SSH-портом, так называемым методом Брутфорса подбирает логины-пароли к ним, заражает, а затем использует их для дальнейшего распространения. 

Эксперты обнаружили уязвимость, позволяющую как локальному, так и удаленному атакующему получить на Linux-системе доступ в командную оболочку начального загрузочного окружения с правами суперпользователя.

Баг присутствует и может эксплуатироваться в Debian, Ubuntu и Fedora. Затрагивает ли уязвимость другие дистрибутивы, пока неизвестно. Как пояснили исследователи, уязвимость присутствует в конфигурации по умолчанию Cryptsetup. Уязвимость представляет особую опасность для банкоматов, а также для библиотек, аэропортов, лабораторий и других организаций.