41023
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
В киберподполье сегодня не без новостей:
1. Исследователи Google отследили TeamPCP. За хакерской группой, которая за последние девять месяцев совершила несколько атак на цепочки поставок, возможно, стоит один человек, действующий из Южной Африки.
Расследование позволило задетектить активность TeamPCP по IP-адресам в стране. В свою очередь, Palo Alto Networks считает, что подозреваемый выходит в интернет под псевдонимом ResoluteXBF, а также привлекает двух других сообщников.
2. Админы хакерского форума DarkForums засветили IP-адрес своего частного «анонимного» мессенджера XMPP.
3. Как сообщают в KELA, ни один из действующих в настоящее время клонов BreachForums больше не имеет никакого отношения к оригинальному форуму.
Все клоны были забракованы админами оригинального BreachForums и превратились в выделенные платформы киберпреступности с уникальной клиентурой.
По данным KELA, у нынешних клонов практикуются различные бизнес-модели, которые варьируются от вербовки вымогателей до продажи скомпрометированных учетных данных, утечки данных и вымогательства, а также посредничества в атаках на цепочки поставок.
Причем операторы клонов часто атакуют друг друга, раскрывая личные данные администраторов, пытаясь таким образом переманить наиболее активную клиентуру к себе.
4. Cato Networks профилировала ShinyHunters, злоумышленника, пережившего три блокировки форумов и арест пяти администраторов.
5. Банда вымогателей Gentlemen разработала собственную систему EDR-killer, которую исследователи называли GentleKiller.
У инструмента как минимум восемь вариантов. По данным ESET, каждый вариант GentleKiller использует разные уязвимые драйверы для получения привилегий на уровне ядра через BYOVD.
GentleKiller нацелен на более чем 400 процессов, связанных примерно с 48 поставщиками/продуктами в области безопасности, такими как Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix и Kaspersky.
Это одна из нескольких используемых ими систем, наряду с другими, включая HexKiller (ранее использовавшийся бандой Warlock), ThrottleBlood (связанный с атаками MesudaLocker и DragonForce) и HavocKiller.
Gentlemen выбирает цели на основе конфигурации их устройств FortiGate. Это особенно интересно, учитывая недавную утечку FortiBleed, набора из почти 74 000 учетных данных VPN для FortiGate.
6. Acronis представила подробный обзор деятельности банды вымогателей INC, которая постепенно превратилась в одну из крупнейших группировок, занимающихся вымогательством как услугой (RaaS) на рынке в наши дни, на счету которой не менее 830 жертв с августа 2023 года.
7. Исследователи Malwarebytes проанализировали Prinz Eugen, новый штамм ransomware на языке Go, который с апреля используется в очень ограниченном количестве атак. Группа также управляет сайтом DLS в даркнете, на котором в настоящее время указаны только три жертвы.
8. Хакеры через атаки на цепочку поставок похитили данные из экземпляров Salesforce клиентов Klue, включая ИБ-компании Huntress и Recorded Future, которые подтвердили инцидент.
Атака началась 11 июня и затронула системы, связанные с интеграцией программных платформ. Хакеры подключились к бэкэнд-серверам Klue и выполнили несанкционированные команды, распространив обновление кода для сбора токенов OAuth для интеграций Klue у клиентов.
Атака повторяет схему, наблюдавшуюся в предыдущих инцидентах с Salesforce, Salesloft Drift и Gainsight, которые были приписаны ShinyHunters и UNC6395, но, по всей видимости, была осуществлена новым злоумышленником.
По данным Huntress, с высокой степенью уверенности за взлом Klue и эту атаку на цепочку поставок ответственен злоумышленник Icarus.
На этой неделе главная разведывательная служба Канады получила судебный ордер на превентивное удаление вредоносного ПО загадочного ботнета из канадских систем, в том числе на серверах, домашних маршрутизаторах и смарт-устройствах.
Предположительно, все устройства были частью неназванной ботнет-сети, обеспечивающей прокси-серверы. Подобные ботнеты очень популярны и позволяют маскировать источник атак и анонимизацию, создавая видимость поступления вредоносного трафика из локальной домашней сети.
По данным Canadian Press, ботнет, предположительно, использовался злоумышленником для «продвижения своих финансовых, политических, идеологических и экономических интересов».
К сожалению, никаких других подробностей в отношении этой загадочной группы нет, поскольку имя злоумышленника засекречено в решении суда.
В своем запросе на ордер Канадская служба разведки и безопасности (CSIS) заявила, что реализует нейтрализацию «как можно скорее», и неясно, была ли она уже проведена.
При этом появление ордера совпало с новым витком операции Эндгейм под эгидой Европола, которая также проходила на этой неделе.
Новый этап был нацелен на ботнет SocGolish, объединяющий зараженные веб-сайты. Силовики Европола, Канады, США, Германии и Нидерландов изъяли 106 серверов и доменов, используемых для управления ботнетом.
SocGolish действовала почти десять лет и использовалась для перехвата трафика со взломанных веб-сайтов и перенаправления пользователей на вредоносные сайты, такие как мошеннические страницы, фишинговые страницы и страницы загрузки вредоносного ПО.
Интересная особенность нового этапа заключается в том, что голландская полиция также провела «дезинфекцию» 15 000 сайтов WordPress, зараженных ботнетом в Нидерландах.
Этот процесс, по всей видимости, включал в себя доступ к сайтам через их утекшие учетные данные и удаление бэкдора SocGolish, что стало первой подобной операцией для голландской полиции.
Но, честно говоря, формулировка статьи в канадских СМИ, похоже, предполагает, что CSIS могла атаковать одну из нескольких китайских ботнетов-прокси, которые становились целью аналогичных операций в США, обычно для сокрытия китайских APT-атак.
Microsoft устранила известную проблему, из-за которой обновления безопасности за июнь 2026 года не устанавливались на системах Windows Server 2016, которые не были обновлены до последней версии.
Проблема была описана в сообщении службы административного портала, подтверждающем жалобы ИТ-администраторов об ошибках 0x80070002 или FILE_NOT_FOUND на затронутых системах.
В первую очередь, ошибка затронула пользователей, пытавшихся установить обновление KB5094122, не установив предварительно обновление безопасности KB5087537, выпущенное в прошлом месяце.
Microsoft заявляет, что проблема с установкой обновления безопасности решена, и на затронутых устройствах больше не должно возникать сбоев при развертывании обновления безопасности KB5094122 от июня 2026 года.
Опять на те же грабли по ходу, ведь в прошлом месяце Microsoft уже устраняла аналогичную проблему, вызывавшую сбои при установке и ошибки 0x800f0922 при развертывании обновления безопасности Windows 11 от мая 2026 года (KB5089549).
Как пояснила Microsoft, признав проблему, сбои были вызваны недостаточным свободным местом на системном разделе EFI (ESP), что привело к автоматическому откату обновления на затронутых устройствах.
Microsoft официально подтвердила наличие уязвимости нулевого дня в RoguePlanet Defender и сообщила о работе над выпуском патча для ее устранения.
Уязвимости присвоен идентификатор CVE-2026-50656 (CVSS: 7,8), технологический гигант описывает её как уязвимость, позволяющую повысить привилегии.
Это произошло почти через неделю после того, как анонимный исследователь Chaotic Eclipse (он же Nightmare-Eclipse) выпустил RoguePlanet, назвав эксплойт случаем состояния гонки, которое предоставляет злоумышленникам оболочку с привилегиями уровня SYSTEM.
RoguePlanet - это уже четвертая уязвимость в Defender, раскрытая Chaotic Eclipse в знак протеста против корпорации за некорректные процедуры BugBounty, после BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) и RedSun (CVE-2026-41091), все из которых впоследствии были исправлены Microsoft.
Исследователи F6 представили исследование новой волны атак финансово мотивированной группировки Hive0117 на финансовые подразделения компаний в России, Беларуси, Казахстане и Узбекистане.
Hive0117 действует с конца 2021 года, используя в своих атаках бесфайловое вредоносное ПО DarkWatchman. Она нацелена на финансовые отделы организаций из различных отраслей.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Для нее характерны всплески активности - после массовых рассылок обычно наступает затишье, порой до нескольких месяцев.
С начала 2026 года злоумышленники начали проводить вредоносные рассылки на бухгалтеров. Только в России адресатами киберпреступников стали свыше 3000 компаний из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты.
Кроме того, среди получателей оказались организации из СНГ, включая как минимум 6 компаний в Беларуси (из сфер телекома, промышленности, торговли и других), 3 – в Казахстане (интернет-магазины и предприятие химической промышленности) и 1 – в Узбекистане (производитель напитков).
Пик активности пришёлся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз.
В ряде случаев рассылки вредоносных писем проводились от ранее скомпрометированной организации по её контрагентам, что увеличивало шансы преступников на результативность атаки.
Злоумышленники направляли вредоносные письма под видом обычной деловой почты. Преступники использовали, например, такие темы для писем, как: «Документы от <дата направления письма>», «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате».
Вредоносный файл скрывался в исполняемых EXE-файлах или в RAR-архивах под видом документов. Пароли к архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна удалённого доступа DarkWatchman.
Чтобы получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платёжные операции, злоумышленники дополнительно устанавливали кейлоггер.
Она позволяла преступникам не только перехватывать данные с клавиатуры и из буфера обмена, но также проверять наличие криптографического токена, вставленного в USB-разъем компьютера.
Этот момент особенно важен для злоумышленников, так как наличие токена обязательно для аутентификации в кабинете дистанционного банковского обслуживания юридического лица.
Как только бухгалтер на зараженном компьютере вставляет криптографический токен в USB-разъем устройства, злоумышленники доустанавливают ещё одну программу.
Как правило, это средство удаленного администрирования или троян удалённого доступа, позволяющий управлять экраном зараженного устройства.
В итоге злоумышленникам становятся доступны сохранённые в браузере пароли, активные сессии и другие пользовательские данные. Бухгалтер, находясь за компьютером, может не замечать активности злоумышленников, которая происходит в это же время.
По оценкам F6, с начала 2026 года около 400 атак Hive0117 на российские компании оказались успешными. Средняя сумма ущерба от этих атак в марте-апреле выросла с 3 млн. до 10 млн. руб.
Технические подробности и IOCs - в отчете.
В продолжение предыдущего материала в отношении масштабной утечки FortiBleed:
Исследователь Кевин Бомонт независимо проверил часть скомпрометированных данных и сообщил также, что некоторые учетные данные являются подлинными.
После дальнейшего анализа данных, Бомонт опубликовал дополнительные результаты, указывающие на то, что набор данных содержит учетные данные примерно для 75 000 устройств Fortinet, большинство из которых остаются подключенными к сети.
По словам Бомонта, данные, по всей видимости, получены из экспортированных конфигураций Fortinet, поскольку содержат информацию, включая адреса электронной почты, которая обычно доступна только через конфигурационные файлы.
Он также заявил, что затронутые IP-адреса отличаются от адресов, фигурировавших в утечке данных Fortinet о Belsen Group в 2025 году, что еще раз указывает на то, что это более недавняя и масштабная группа скомпрометированных устройств.
Основываясь на телеметрии Shodan, утечка затронула примерно половину всех доступных через интернет межсетевых экранов Fortinet, и большинство затронутых устройств предоставляют доступ к своим интерфейсам управления FortiGate напрямую из интернета.
Источник данных конфигурации остается неизвестным, неясно, были ли они украдены через ранее выявленные уязвимости Fortinet, через недавно обнаруженную ошибку или другим способом.
Hudson Rock разработала инструмент для проверки того, затронула ли уязвимость FortiBleed вашу организацию.
В Fortinet полагают, что, по результатам ее расследования, учетные данные были получены в результате предыдущих инцидентов и атак методом перебора паролей, и не связаны с какими-либо недавно выявленными уязвимостями, утечками данных или уведомлениями о безопасности.
DragonForce задействовала специально разработанное вредоносное ПО под названием Backdoor.Turn для сокрытия управляющего трафика внутри инфраструктуры ретрансляции Microsoft Teams.
Бэкдор использует протокол TURN (Traversal Using Relays around NAT), применяемый Microsoft Teams для передачи сообщений, когда прямое соединение с клиентом недоступно (например, для клиентов в частной сети).
DragonForce - это банда вымогателей, действующая как минимум с 2023 года, которая использует организационную структуру, подобную картелю, и связана с известной группировкой Scattered Spider.
По данным Symantec, хакеры использовали специально разработанное вредоносное ПО на языке Go для атаки на крупную американскую сервисную компанию.
Backdoor.Turn полагается на уязвимость в инфраструктуре TURN Teams, получая анонимный токен посетителя Teams, используя легитимный ретранслятор Microsoft TURN во время установления соединения, а затем подключаясь к серверу C2 злоумышленника.
В результате ИБ-специалисты видят трафик, связанный с инфраструктурой Microsoft Teams, что позволяет вредоносному ПО скрывать свои коммуникации в доверенной сети.
В прошлом году Praetorian представила технику под названием Ghost Calls, продемонстрировав, как временные учетные данные TURN для Teams и Zoom могут быть использованы для создания скрытых каналов связи через доверенную инфраструктуру конференц-связи.
Ghost Calls была продемонстрирована в 2025 году, а Backdoor.Turn стало первым известным в реальных условиях вредоносным ПО, использующим ретрансляторы TURN Microsoft Teams для маскировки трафика управления и контроля.
Исследователи также обращают внимание на использование уязвимости драйвера HWAuidoOs2Ec.sys компании Huawei, который применяется для обхода тактики BYOVD.
Как отмечает Symantec, атака, зафиксированная в декабре 2025 года, скорее всего, началась с использования неизвестной уязвимости в сервере SQL или MSSQL.
Получив доступ к системе, злоумышленник скачивал ZIP, содержащий легитимный исполняемый файл VirtualBox/DbgView и вредоносный DLL-файл, используемый для установки вредоносного ПО из сторонних источников.
На этом этапе злоумышленник усилил свое присутствие в системе, создал поддельных пользователей, злоупотребил политикой безопасности LimitBlankPassword в Windows для облегчения доступа и изменил правила брандмауэра.
Далее они использовали методы BYOVD с несколькими драйверами, включая HWAuidoOs2Ec.sys от Huawei, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) и K7 Security K7RKScan.sys (CVE-2025-1055), дабы получить привилегии на уровне ядра и завершить работу средств защиты на хосте.
Хакер также использовал ABYSSWORKER, специально созданный вредоносный драйвер, маскирующийся под легитимный драйвер Palo Alto.
Backdoor.Turn была внедрена в файл DbgView64.exe после развертывания ransomware, что позволяет предположить, что она, возможно, предназначена для постоянного присутствия в системе или для последующего доступа.
Вредоносная ПО получает анонимный токен посетителя Teams, используя легитимный ретрансляционный сервер Microsoft TURN во время установления соединения, и устанавливает связь с C2.
Его возможности включают выполнение команд, создание процессов, сканирование сети, захват TLS-сертификатов, поиск в LDAP/Active Directory, сбор заголовков веб-сайтов и кражу учетных данных браузера.
Завершив разведку и обойдя систему защиты, злоумышленник похищает все данные, запуская программу-вымогатель DragonForce и шифруя системы жертвы.
Как отмечают исследователи, хакеры, стоящие за этой кампанией, используют исключительно изощренные методы киберпреступлений, а IOCs доступны в отчете.
Новый банковский троян для Android под названием Rokarolla способен атаковать 217 банковских и криптовалютных приложений, используя обширный набор из 137 команд.
Вредоносное ПО распространяется через вредоносные веб-сайты, якобы предоставляющие приложения Google Chrome или TikTok, позволяя получить полный административный контроль над скомпрометированным устройством.
Его возможности включают кражу учетных данных экрана блокировки, списков контактов и данных SMS, а также использование кейлоггеров для непрерывной записи пользовательского ввода.
В процессе установки вредоносное приложение действует как загрузчик и имитирует Google Play Protect, встроенную в Android антивирусную систему, предлагая пользователям возможность установить Chrome или TikTok, которые содержат вредоносное ПО Rokarolla.
Как отмечают в Zimperium, при запуске на устройстве Rokarolla запрашивает разрешения на доступ к службе специальных возможностей, а также к уведомлениям, SMS и звонкам. Zimperium даже создала репозиторий на GitHub со всеми 137 командами, доступными для Rokarolla.
Основная цель вредоносной ПО, по всей видимости, - кража финансовой информации. Для этого она проверяет зараженное устройство по списку из 217 целевых приложений, а затем загружает фишинговую полезную нагрузку, соответствующую любым совпадающим приложениям.
Когда жертва открывает приложение из списка, Rokarolla отображает фейковое окно входа в систему, чтобы украсть учетные данные, информацию о кредитных картах и другие финансовые данные.
Однако использование наложений выходит за рамки кражи данных. Вредоносная ПО также использует этот метод для перехвата PIN-кода/графического ключа блокировки экрана и управления устройством даже в заблокированном состоянии.
Кроме того, наложения используются для сокрытия активности вредоносного ПО и блокировки взаимодействия с пользователем путем отображения поддельных экранов установки при необходимости.
К дополнительным методам обхода относятся отключение Google Play Protect, скрытие значка приложения из списка приложений, отключение звука и вибрации, а также постоянное включение экрана.
Сочетание всех заявленных возможностей предоставляет операторам Rokarolla практически полный административный контроль над зараженным устройством Android, что позволяет им совершать сложные финансовые махинации.
К счастью, Zimperium не обнаружила вредоносное ПО в Google Play. Так что пользователям рекомендуется избегать загрузки APK-файлов вне Google Play. Кроме того, пользователям следует проявлять осторожность при предоставлении разрешений на использование специальных возможностей.
• У компании WIZ недавно есть хороший мини-курс для начинающих багхантеров. Он включает в себя 4 модуля, которые содержат необходимый материал для последующего прохождения практических заданий.
• Учитывайте, что курс на английском языке и ориентирован для начинающих специалистов.
• К слову, курс содержит задания, которые принесли исследователям реальные вознаграждения (от 3 до 27 тыс. баксов) от очень крупных компаний.
➡ https://www.wiz.io/bug-bounty-masterclass
• P.S. У WIZ есть еще ряд полезных и бесплатных курсов. Вероятно вы найдете что-то полезное для себя.
S.E. ▪️ infosec.work ▪️ VT
Исследователи BI.ZONE озадачились вопросом анализа веб-логов, которые представляют собой важный источник данных при расследовании инцидентов, помогая выявлять атаки и подозрительную активность.
Как отмечают в BI.ZONE, в большинстве случаев компании используют не один сайт или сервер, а десятки: одни доступны в интернете, другие работают только внутри организации. Наиболее популярными веб‑ресурсами и средами выполнения являются
- nginx - веб‑сервер и обратный прокси. В современных инфраструктурах чаще всего располагается на периметре: принимает от пользователей HTTP‑ и HTTPS‑запросы, перенаправляет их на внутренние сервисы. Поэтому его логи - один из первых источников информации о внешней активности, включая сканирование и атаки.
- IIS - веб‑сервер от Microsoft, глубоко интегрированный с операционной системой Windows. Чаще всего используется, чтобы размещать приложения на платформе .NET. Логи IIS позволяют анализировать взаимодействие пользователей с приложением и выявлять аномалии на уровне бизнес‑логики.
- Apache - классический веб‑сервер, который широко применялся в предыдущих поколениях инфраструктур. Сейчас чаще встречается в legacy‑системах, однако по‑прежнему остается важным источником событий кибербезопасности из‑за своей распространенности.
- Node.js - среда выполнения JavaScript, в рамках которой разработчики самостоятельно реализуют веб‑серверную логику. В отличие от классических веб‑серверов, формат и содержание логов здесь зависят от реализации приложения, однако в них также есть ценные данные для анализа активности.
Несмотря на различие в технологиях, у всех этих решений есть общая особенность: все они содержат полезные события для аналитиков SOC.
Каждый HTTP‑запрос, который приходит на веб‑сервер, оставляет данные, например обращение к странице, попытку авторизации, ошибку или даже вредоносный запрос. Все эти события записываются в логи, которые аналитик отслеживает и использует для правил корреляции.
В своем отчете Бизоны акцентировались на самых распространенных источниках логов - nginx и IIS, подробно разбирая, где в этих системах хранятся события, как они выглядят и какую полезную информацию из них может извлечь специалист SOC.
В практической части отчета Бизоны сгенерировали подозрительную активность и продемонстрировали, как она отражается в логах.
В качестве примера были рассмотрены простые техники: фаззинг (перебор путей) и атаку типа path traversal, что позволяет не просто увидеть логи, а понять, как именно в них выглядит поведение атакующего и на что стоит обращать внимание при анализе.
Все технические подробности и практические рекомендации - в отчете.
Исследователи Лаборатории Касперского обнаружили в мастерской Steam обнаружены десятки вредоносных обоев для Wallpaper Engine с 100 тыс. активных пользователей в день.
С конца 2025 года в Steam Workshop (встроенной в Steam мастерской для разработки и обмена пользовательским контентом) активно распространяется вредоносное ПО.
Основной целью атакующих является кража аккаунтов игроков, преимущественно из Китая (89%) и России (5,5%). Далее Сингапур (1,4%), Гонконг (0,9%), Германия (0,9%), Вьетнам (0,9%), Индия и Канада (по 0,5%).
Для заражения злоумышленники эксплуатируют Wallpaper Engine, популярную программу анимации обоев, размещенную в Steam, а именно ее механизм обмена обоями через Steam Workshop.
Вредоносное ПО скрывается внутри пакетов обоев, которыми пользователи делятся друг с другом. Через механизм «обои в виде приложения» в ЛК зафиксировали распространение самых разных типов вредоносного ПО: от популярных стилеров до бэкдоров, криптомайнеров, ботнетов.
Значительное разнообразие используемых инструментов позволяет предположить, что за атаками стоят разрозненные хакерские группы, действующие независимо друг от друга.
Wallpaper Engine включает в себя встроенный редактор обоев для создания собственных проектов и поддерживает несколько типов обоев, включая и приложения - активные окна любого стороннего ПО, совместимого с Windows, которые Wallpaper Engine устанавливает в качестве фона рабочего стола.
Последний тип является самостоятельным программным обеспечением. Среди них могут быть игры, которые запускаются прямо на рабочем столе, планировщики и календари, системы мониторинга, утилиты для отслеживания загрузки видеокарты или процессора и т.д.
Злоумышленники воспользовались этой функцией и начали внедрять в данный тип обоев вредоносное ПО. В ЛК обнаружили в Steam Workshop десятки вредоносных обоев-приложений, каждое из которых было загружено тысячи или десятки тысяч раз.
При анализе таких обоев зафиксировано два типа распространения: через архив, внутри которого были исполняемые обои и вредоносные файлы, где в качестве вредоносной нагрузки могли использоваться, например, EXE-файлы, DLL-библиотеки и скрипты.
В других случаях атакующие дополнительно помещали вредоносный код в архив, защищенный паролем. Пароль должна была вводить жертва, или это делал скрипт.
Злоумышленники записывали пароль либо в названии самого архива, либо в файле конфигурации в формате JSON, который устанавливался вместе с исходными файлами обоев. В остальных случаях вредоносная нагрузка запускалась полностью автоматически после выбора и установки обоев пользователем.
После запуска пользователь не видел ничего подозрительного. В обои была встроена игра, которая стартовала корректно и работала без явных проблем, а кнопки управления игровым процессом на рабочем столе оставались функциональными.
Однако за кадром происходил процесс заражения, и спустя несколько минут пользователь мог обнаружить, что его учетная запись Steam украдена, а на компьютере работает вредоносное ПО: файлы шифруются «вымогателем», производительность системы падает из-за майнера.
После запуска обоев с игрой в систему жертвы устанавливался файл‑бэкдор (Synaptics.exe) из семейства DarkKomet, а также исполняемый файл _cache_GAME1.exe, который инициировал запуск игры NTRaholic.
Одновременно с этим модуль _cache_GAME1.exe устанавливал модифицированную злоумышленником библиотеку AggregatorHost.dll, которая содержала дополнительную вредоносную нагрузку.
Функциональность этого «патча» была ограничена — в первую очередь он искал приложение Steam с целью перехватить данные аккаунта. После этого модифицированная библиотека перехватывала активную сессию.
В дальнейшем библиотека AggregatorHost.dll отправляла все собранные данные на адрес hxxp://120.48.156[.]17/ey.php злоумышленников. Перехваченная сессия могла использоваться для последующего распространения вредоносных обоев в Steam Workshop.
IOCs - в отчете.
Palo Alto Networks предупреждает своих клиентов об активной эксплуатации недавно обнаруженной уязвимости в PAN-OS неизвестным злоумышленником с целью получения несанкционированного доступа к порталам GlobalProtect.
Речь идёт о CVE-2026-0257 (CVSS: 7,8), представляющей собой ошибку обхода аутентификации, затрагивающую компоненты портала и шлюза программного обеспечения PAN-OS, которая может быть использована злоумышленниками для установления VPN-соединений.
По данным компании, этот недостаток безопасности может быть использован злоумышленником для обхода средств контроля безопасности и установления VPN-соединений.
Уязвимость была использована в реальных условиях в ходе ограниченных атак, при этом первоначальная активность была зафиксирована 17 мая 2026 года. В настоящее время неизвестно, кто стоит за этими попытками эксплуатации.
Как заявили в Palo Alto Networks, на данный момент не выявлено никаких изменений в поведении после доступа или перемещения по сети. Лишь небольшая часть проверенных устройств фактически установила VPN-сессии, что привело к событиям, связанным с подключением к шлюзу.
Компания представила замеченные IOCs, связанные с этой активностью:
- IP-адреса: 23.128.228[.]6, 104.207.144[.]154, 146.19.216[.]119, 146.19.216[.]120, 146.19.216[.]125, 179.43.172[.]213, 185.195.232[.]139, 198.12.106[.]60 и 202.144.192[.]47;
- Имена хостов и MAC-адреса: aa:bb:cc:dd:ee:ff, 00:11:22:33:44:55, WINDOWS-LAPTOP-001, DESKTOP-GP01 и GP-CLIENT.
Palo Alto Networks также настоятельно рекомендует клиентам искать в журналах GlobalProtect события успешного подключения к шлюзу, соответствующие следующим жестко закодированным значениям конфигурации клиента из эксплойта, демонстрирующего работоспособность системы:
- endpoint_os_version: Microsoft Windows 10 Pro 64-bit;
- source_user_info.domain : empty.
Помимо клиентов Palo Alto с PAN-OS’ом, с проблемами также столкнулись и пользователи Splunk Enterprise, связанными с критической CVE-2026-20253 (имеет рейтинг 9,8).
Ошибка может быть использована для проведения неаутентифицированных операций с файлами и даже удаленного выполнения кода.
В версиях Splunk Enterprise ниже 10.2.4 и 10.0.7 неавторизованный пользователь мог создавать или усекать произвольные файлы через конечную точку службы-посредника PostgreSQL.
Уязвимость обусловлена отсутствием средств аутентификации в конечной точке службы-контейнера PostgreSQL, что позволяет любому пользователю, доступному по сети, выполнять файловые операции без учетных данных.
Проблема была решена в следующих версиях: 10.0.0-10.0.6 (исправлено в версии 10.0.7), 10.2.0-10.2.3 (исправлено в версии 10.2.4), 10.4 (не затронуто).
Splunk, входящая в состав Cisco, заявляет, что уязвимость не затрагивает Splunk Cloud, поскольку в этом продукте не используются sidecar-контейнеры Postgres.
В пятницу watchTowr Labs также опубликовала дополнительные технические подробности об уязвимости CVE-2026-20253. Несмотря на то, что пока нет доказательств того, что эта уязвимость используется в реальных условиях, доступность подробностей об эксплойте может все изменить.
Исследователи Varonis сообщают о критической цепочке уязвимостей, получившей название SearchLeak, которая позволяет злоумышленникам красть конфиденциальные данные из почты, OneDrive или учетной записи SharePoint жертвы с помощью специально созданного URL-адреса.
Исследователи разработали SearchLeak, объединив три уязвимости, каждая из которых сама по себе недостаточна для осуществления эффективной атаки. Microsoft присвоила SearchLeak идентификатор CVE-2026-42824 с максимальной степенью серьезности.
Извлеченная информация может включать содержимое электронных писем (например, коды доступа, пароли), события календаря и подробности встреч, документы и другой контент, доступный через Copilot Enterprise Search.
В Varonis объединили внедрение параметров в подсказку, состояние гонки при рендеринге HTML и обход политики безопасности контента (CSP), ставший возможным благодаря подделке запросов на стороне сервера (SSRF) в Bing.
На первом этапе атака использует уязвимость внедрения параметров в подсказку (P2P), задействуя способ приема параметра URL-адреса 'q' в поисковых запросах Microsoft 365 Copilot Search.
В отличие от обычной версии Copilot, которая генерирует контент, Microsoft Copilot Enterprise Search ищет данные компании в электронных письмах, совещаниях, файлах SharePoint и OneDrive.
Для кражи данных злоумышленник создает URL-адрес, который указывает Copilot: «Найти электронные письма пользователя, извлечь заголовок и встроить его в URL-адрес изображения». Жертва ничего не вводит. Она переходит по ссылке, и Copilot делает все остальное.
Это позволило создать ссылку, содержащую инструкции для выполнения Copilot, например, поиск в почтовом ящике жертвы и форматирование результатов определенным образом.
На втором этапе злоумышленник использует состояние гонки при рендеринге HTML, при котором браузер временно отображает необработанный HTML-код, прежде чем он будет заключен в блоки <code>, которые нейтрализуются во время потоковой передачи вывода Copilot.
Это позволяет злоумышленнику выполнять HTML-код, контролируемый тегом <img>, и запускать исходящие запросы до завершения процесса проверки.
Третья часть цепочки - это SSRF в функции «Поиск по изображению» в Bing, которая используется для отправки запроса на получение изображения с конечной точки злоумышленника.
Поскольку запрос отправляет Bing, в данном случае для получения контента, который должен проанализировать Copilot, защита CSP обходится. Внедрение украденных данных в URL-адрес позволяет злоумышленнику считывать их из журналов запросов своего сервера.
При последовательном использовании уязвимостей атака начинается с того, что жертва переходит по специально созданной ссылке, которая запускает Microsoft 365 Copilot Search с инструкциями в параметре 'q' для поиска в почтовом ящике жертвы или других источниках данных.
Затем программа генерирует ответ с тегом изображения, включая украденную информацию в URL-адресе. Пока идёт потоковая передача ответа, браузер отображает изображение и отправляет запрос в Bing, который получает URL-адрес злоумышленника, включая украденные данные.
С точки зрения жертвы, всё, что она видит, - это «размышления» Copilot в течение короткого времени, но нет никаких признаков того, что данные похищаются.
Поскольку Microsoft устранила CVE-2026-42824, от пользователей не требуется никаких действий для снижения уровня этой угрозы.
Исследователь Nightmare Eclipse продолжает бомбить и теперь представил новый способ обхода BitLocker в Windows, всего через день после публикации эксплойта, нацеленного на Microsoft Defender.
Новая 0-day получила название GreatXML, позволяет пользователям обойти BitLocker и запустить командную строку с правами SYSTEM в режиме восстановления.
Представленный исследователем демонстрационный код (PoC) нацелен на уязвимость в функции автономного сканирования Microsoft Defender.
Как утверждает Nightmare Eclipse, все системы, на которых хотя бы раз было запущено автономное сканирование, автоматически становятся уязвимыми.
Эксплойт PoC включает в себя XML-файл и папку Recovery (содержащую еще один XML-файл), которые необходимо скопировать в корневой каталог раздела восстановления компьютера.
Далее необходимо перезагрузить систему в режиме восстановления, удерживая клавишу Shift и нажимая кнопку «Перезапустить». После перезагрузки система предоставит пользователю неограниченный доступ к тому, который защищен BitLocker.
Любой компьютер под управлением Windows становится уязвимым для GreatXML, как только запускается автономное сканирование Defender. Таким образом, злоумышленнику достаточно просто запустить эту функцию перед выполнением эксплойта.
Если автономное сканирование Defender так и не было запущено, то вам придется либо войти в систему и запустить его самостоятельно, либо найти способ загрузить WinRE в режиме автономного сканирования (причем, по словам Nightmare Eclipse, это вполне возможно сделать без входа в систему).
GreatXML появилась всего через день после раскрытия RoguePlanet, уязвимости нулевого дня в Microsoft Defender, которая приводит к локальному повышению привилегий (LPE) до уровня SYSTEM.
К настоящему времени для GreatXML еще не выпущено никаких исправлений. Продолжаем следить.
Фреймворк Miasma, предназначенный для кражи учетных данных и недавно задействовавшийся в атаках на экосистемы с открытым исходным кодом посредством атак на цепочки поставок, был слит в открытый доступ на GitHub.
Вообще, Miasma - это эволюция более раннего червя Shai-Hulud, информация о котором также ранее просочилась на GitHub, имеет много общих черт с предыдущими версиями, методами и даже кодом.
Вредоносная ПО заражает компьютер разработчика, крадет среду сборки и учетные данные облачного сервиса, а затем использует их для компрометации легитимных репозиториев и пакетов, публикуя троянизированные версии для заражения разработчиков, работающих с другими системами, и повторяя цикл.
Этот автономный, червеобразный механизм самораспространения может быстро расширить зону своего действия, потенциально превратив единичный случай взлома в масштабную атаку на цепочку поставок.
Ранее это вредоносное ПО связывали с громкими атаками на пакеты npm от Red Hat, а совсем недавно - на 73 репозитория Microsoft на GitHub.
Вчера исследователи SafeDep обнаружили, что исходный код Miasma был слит на GitHub через многочисленные взломанные учетные записи разработчиков. В каждой из них злоумышленники опубликовали исходный код в репозитории под названием Miasma-Open-Source-Release.
Это указывает на то, что публикация исходников была осуществлена преднамеренно, а не была случайной утечкой, как это произошло ранее с кодом Shai-Hulud.
Анализ кода показал, что для работы инструментария не требуется инфраструктура C2, поскольку для этого он использует GitHub.
Платформа собирает учетные данные от облачных провайдеров, систем CI/CD, менеджеров паролей, Kubernetes и хранилищ секретов, а затем использует их для компрометации пакетов npm, PyPI и RubyGems, репозиториев GitHub, рабочих процессов Actions и экземпляров JFrog Artifactory.
Она также может распространяться по сети через SSH и AWS Systems Manager (SSM), обманывать пользователей при настройке инструментов ИИ, таких как Claude, Gemini, Cursor, Copilot, Kiro и Cline.
Одна из интересных особенностей, обнаруженных в просочившемся исходном коде Miasma, - это «аварийный выключатель», который устанавливается, когда вредоносная ПО использует украденный токен GitHub жертвы в качестве канала для утечки данных.
Компонент отслеживает действительность токена каждую минуту и, если он аннулирован, выполняет команду удаления, рекурсивно удаляя файлы и каталоги в домашней папке пользователя и папке «Документы».
Монитор запускается как пользовательская служба systemd в Linux или как LaunchAgent в macOS и остается активным до 72 часов.
Ещё один интересный аспект - пятиэтапный конвейер сборки, генерирующий уникальные полезные нагрузки для каждой сборки.
Этот процесс сочетает в себе шифрование встроенных ресурсов с помощью AES-256-GCM для каждого файла, обфускацию случайных строк, преобразование исходного кода, обфускацию JavaScript и самораспаковывающийся загрузчик, который упаковывает конечный полезный груз в три уровня шифрования.
Использование случайных ключей и рандомизированного внешнего слоя кодирования гарантирует, что каждый сгенерированный образец будет отличаться от предыдущих сборок, что затрудняет обнаружение на основе сигнатур и статический анализ.
В целом, утечка Shai Hulud привела к появлению более продвинутых вариантов, таких как Miasma, и к увеличению атак. Аналогичный эффект ожидается и после утечки Miasma, поскольку злоумышленники возьмут на вооружение код и будут вносить в него дальнейшие изменения.
Так что это может иметь серьезные последствия для безопасности экосистемы открытого исходного кода, поскольку атаки на цепочки поставок продолжают нацеливаться на нее с беспрецедентной скоростью.
Клиенты Ivanti вновь под прицелом киберподполья: злоумышленники задействовали недавно исправленную уязвимость максимальной серьезности в Ivanti Sentry, позволяющую им выполнять код с правами root на защищенных мобильных шлюзах, подключенных к Интернету.
Устройство безопасности Ivanti Sentry (ранее MobileIron Sentry) обеспечивает защиту трафика между внутренними корпоративными системами и удаленными мобильными устройствами.
Уязвимость с максимальным уровнем серьезности отслеживается как CVE-2026-10520 и связана со слабостью внедрения команд, исправлена во вторник с выпуском версий Sentry R10.5.2, R10.6.2 и R10.7.1.
Поставщик в традиционной манере тогда заявил, что не располагает доказательствами эксплуатации уязвимости в реальных условиях. Но на следующий день Shadowserver сообщила, что злоумышленники уже взломали большинство шлюзов Sentry, находящихся в сети.
Причем сканирование Shadowserver позволяет обнаружить лишь очень ограниченное количество уязвимых экземпляров Sentry, которых, в действительности, больше.
В Shadowserver отметили, что наблюдают большое число попыток эксплуатации CVE-2026-10520 в Ivanti Sentry, основанных на общедоступном PoC.
В ходе собственных сканирований они обнаружили 19 уязвимых экземпляров, по меньшей мере 2 из которых имеют бэкдор (согласно данным саудовской NCA). Однако все остальные, по мнению исследователей, также скомпрометированы.
В свою очередь, Ivanti как обычно тормозит с обновлением выпущенного во вторник уведомления по безопасности, в котором по-прежнему говорится: «На момент публикации нам неизвестно о случаях использования этих уязвимостей в отношении каких-либо клиентов».
Представитель Ivanti также не был доступен для комментариев по поводу продолжающихся атак. И так всегда у них.
Исследователи Positive Technologies представили результаты анализа ландшафта общемировых киберугроз веб-приложений и инфраструктуры разработки, отметив основные тренды и прогнозы 2026-2027 гг.
Исследование достаточно объемное, остановимся на главных цифрах:
- По итогам 2025 каждая пятая успешная атака на организации была направлена на веб-ресурсы. Наибольшее число успешных атак пришлось на веб-ресурсы госучреждений (28%), ИТ-компаний (8%) и транспортных организаций (8%).
- В отдельных отраслях злоумышленники чаще нацеливаются на веб-ресурсы, чем на другие объекты. В 2025 году в успешных кибератаках на онлайн-сервисы на категорию веб-ресурсов пришлось 79% инцидентов. Более трети успешных атак против транспортных организаций (38%) и госучреждений (35%) были также направлены на веб-ресурсы. Доля веб-сервисов в успешных атаках на финансовые организации заметно снизилась и составила 15%, снизившись на 7 п.п. к 2024 году.
- Доля успешных кибератак, направленных на DoS, составила 46% - практически половину от всех инцидентов среди веб-ресурсов, что в два раза больше в сравнении с 2024 годом. Чаще всего метод DDoS-атак в 2025 году применялся против веб-сервисов телекоммуникационных организаций (79%), госучреждений (76%), а также финансовых организаций (64%) и логистических компаний (63%).
- Эксплуатация уязвимостей является одним из ключевых методов компрометации веб-приложений: в мировом ландшафте в 2025 году на него пришлось 40% успешных кибератак. Доля успешных кибератак, в которых применялись скомпрометированные учетные данные, составила 17%.
Вредосноое ПО применялось в 17% успешных атак на веб-ресурсы. Практически каждый второй атакованный с применением ВПО веб-сервис столкнулся с внедрением инфостилеров, а каждый четвертый взлом веб-приложения с применением ВПО привел к внедрению программ-вымогателей.
- Российские веб-ресурсы в 2025 году чаще всего подвергались DDoS-атакам - в 48% инцидентов. Значительная доля успешных кибератак была реализована путем эксплуатации уязвимостей (43%), а в каждом пятом инциденте (21%) применялось ВПО.
- Компрометация популярных open-source-пакетов, библиотек и инструментов активно применяется в отношении организаций, запуская каскадные серии атак через компрометацию цепочки поставок и через компрометацию доверенных поставщиков услуг. Чаще всего атаки через экосистему открытого ПО были нацелены на кражу учетных данных с использованием стилеров (49%) и получение удаленного доступа к системам разработчиков через бэкдоры и трояны удаленного доступа (36%). В 2025 году наблюдалось появление нового типа вредоносов в экосистеме открытого ПО - самораспространяющихся червей в реестре npm, которые приводили к массовым компрометациям популярных пакетов. Активно развивается тренд на создание вредоносного контента для ИИ-ассистентов разработки: поддельные MCP-серверы и вредоносные навыки размещаются на GitHub или на специализированных маркетплейсах.
- В общемировом ландшафте угроз наиболее частым последствием успешных атак на веб-приложения в 2025 году стало нарушение основной деятельности (62%). К утечке информации по итогам 2025 года привело 23% инцидентов. В результате успешных атак на веб-приложения наибольшая доля утечек пришлась на учетные данные (30%). Значимые доли утечек также традиционно составляют персональные данные (23%) и коммерческая тайна (8%).
- Наиболее частым последствием успешных атак на веб-приложения российских организаций в 2025 году стало нарушение основной деятельности (75%). Каждая третья успешная атака приводила к утечке конфиденциальной информации (34%).
- В 2025 году в общемировом ландшафте угроз киберпреступники также нередко использовали скомпрометированные веб-ресурсы для проведения дальнейших атак - доля таких инцидентов составила 17%. Чаще всего взломанные веб-приложения использовались для проведения атак на клиентов или партнеров организации (38%), размещения ВПО на ресурсе компании (35%) и для проведения фишинговых атак (23%).
Apple выпустила обновления для устранения серьезной уязвимости в беспроводных наушниках Beats Studio Buds, которая позволяет злоумышленникам в зоне действия Bluetooth шпионить за разговорами пользователей.
Злоумышленник, находящийся в зоне действия Bluetooth, может прослушивать микрофон устройства, которое еще не сопряжено и активно запрашивает запросы на сопряжение.
Ошибка в открытом исходном коде, а Apple Software входит в число затронутых проектов. Идентификатор CVE был присвоен третьей стороной.
Apple представила обновление прошивки Beats 1B211, которое будет автоматически установлено на уязвимые наушники при их сопряжении и нахождении в зоне действия Bluetooth на iPhone, iPad или Mac пользователя.
CVE-2025-20701 была обнаружена Деннисом Хайнце и Фридером Штайнметцем из компании ERNW GmbH в системах на кристалле (SoC) Airoha.
Когда год назад на конференции по безопасности TROOPERS в Германии исследователи ERNW раскрыли информацию об этой уязвимости, они заявили, что она связана с отсутствием аутентификации в радиомодуле Bluetooth BR/EDR.
Они также разработали PoC-эксплойт, позволяющий злоумышленникам инициировать звонок и прослушивать разговоры в пределах слышимости целевого телефона.
При объединении CVE-2025-20701 с двумя другими CVE-2025-20700 и CVE-2025-20702, затрагивающими тот же уязвимый компонент, злоумышленники также могут использовать профиль Bluetooth Hands-Free Profile (HFP) для отправки команд телефону после перехвата соединения между телефоном и сопряженным аудиоустройством Bluetooth.
В большинстве случаев эти уязвимости позволяют злоумышленникам полностью захватить управление наушниками через Bluetooth. Аутентификация или сопряжение не требуются.
Уязвимости могут быть активированы через Bluetooth BR/EDR или Bluetooth Low Energy (BLE). Единственное условие - нахождение в зоне действия Bluetooth. Возможно чтение и запись в оперативную и флэш-память устройства.
Исследователи также смогли получить доступ к истории звонков и контактам, а также позвонить на произвольный номер, извлекая ключи Bluetooth-соединения из памяти уязвимого устройства.
При этом диапазон доступных команд зависит от мобильной ОС, но все основные платформы поддерживают как минимум инициирование и прием звонков.
Реальные атаки сложны в выполнении и, вероятно, должны быть нацелены только на особо важные цели, поскольку требуют технической сложности и физической близости.
Исследователи Лаборатории Касперского обнаружили новую вредоносную кампанию, нацеленную на пользователей хентай-игр из категории контента для взрослых.
В апреле этого года в ходе планового мониторинга телеметрических данных исследовали обнаружили несколько подозрительных DLL-файлов. Дальнейший анализ показал, что различные версии этих DLL существовали как минимум с 2024 года.
Они распространялись вместе с играми, созданными на базе разных игровых движков и языков программирования, включая RenPy (Python), RPG Maker MV (JavaScript) и другие.
При этом все выявленные игры относились к категории хентай-игр. Во время поиска источников распространения нашлись веб-сайты, на которых ппубликовались скрины игр и ссылки для их скачивания, которые перенаправляли пользователей на бесплатный файлообменник PixelDrain.
Помимо этих сайтов, троянизированные игры также распространялись через различные торрент-трекеры, такие как AniRena. Как на специализированных сайтах, так и через торрент-трекеры зараженные игры распространялись в виде архива.
Внутри этого архива находились полностью функциональные легитимные файлы игры вместе с измененным ffmpeg.dll. Поскольку она требуется для корректной работы игры, библиотека загружается сразу после ее запуска.
При запуске зараженные игры устанавливают на компьютер пользователя новый, ранее неизвестный вредоносный имплант.
Выждав несколько дней, он скачивает и запускает троянец, что приводит к полной компрометации системы и дает злоумышленникам широкие возможности удаленного управления устройством жертвы. В ЛК назвали это семейство вредоносного ПО Argamal.
В более ранних версиях командным сервером по умолчанию выступает asper1[.]freeddns[.]org, а в последних версиях — Winst0[.]kozow[.]com. Оба домена указывают на IP-адрес 186[.]158.223.35.
Для закрепления в системе Argamal использует технику перехвата COM-объектов (COM hijacking), подменяя значение InprocServer32 для DLL компонента Windows Color System Calibration Loader.
Поскольку соответствующая задача запускается при входе пользователя в систему, вредоносное ПО получает возможность автоматически запускаться при старте ОС.
В зависимости от команды с С2 вредоносное ПО может выполнять произвольные команды на зараженной машине, перезагружать систему и завершать работу, управлять курсором, делать скрины, упаковывать файлы в архивы, отправлять их на указанные серверы и, по сути, полностью контролировать машину.
В ходе исследования также фиксировались альтернативные методы доставки RAT. Вместо модификации FFmpeg и скачивания вредоносной нагрузки с GitHub злоумышленники внедряли ее в виде libpython64.dat или другого файла с похожим именем в директорию игры lib\py3-windows-x86_64. Этот файл использовался одной из библиотек игры, модифицированной соответствующим образом.
В другом случае злоумышленники разместили вредоносный DLL-файл, скачивающий вредоносную нагрузку, на игровом форуме под видом чита.
Согласно данным телеметрии ЛК, зафиксированы сотни заражений на устройствах, принадлежащих частным лицам, причем большинство жертв находится в России, Бразилии, Германии и Вьетнаме.
На основании языка комментариев в коде, данных об инфраструктуре и других факторов мы с умеренной степенью уверенности предполагаем, что разработчики этой вредоносной цепочки говорят на испанском языке.
За время анализа в ЛК наблюдали поток регулярных обновлений вредоносной нагрузки - появлялись новые функции, исправлялись ошибки, изменялась инфраструктура. Так что злоумышленники, стоящие за этим вредоносным ПО, продолжат его развивать и совершенствовать.
Все технические подробности и IOCs - в отчете.
Атака на цепочку поставок затронула ShapedPlugin, разработчика плагинов для WordPress, имеющего более 400 000 активных установок своих общедоступных решениях. Внедрение плагинов с бэкдором осуществлялось через официальную инфраструктуру обновлений.
Вредоносная ПО предоставляла злоумышленникам постоянный доступ к сайтам, похищала учетные данные администратора и секреты 2FA, а также использовала множество механизмов удаленного доступа.
Атаку заметили исследователи Wordfence после получения уведомления о подозрительной активности 11 июня 2026 года.
В ходе расследования обнаружили, что злоумышленники скомпрометировали конвейер сборки и распространения ShapedPlugin, внедряя вредоносный код в пакеты платных плагинов, распространяемые через систему обновлений Easy Digital Downloads (EDD) поставщика.
ShapedPlugin незамедлительно начала расследование после получения уведомления и готовит проверенные версии плагина после проведения проверок безопасности и валидационного тестирования.
Wordfence подтвердила, что скомпрометированные копии Real Testimonials Pro версии 3.2.5 распространялись через официальную точку обновления ShapedPlugin еще 12 июня. Исследователи также связали атаку с Product Slider Pro для WooCommerce и Smart Post Pro.
Вредоносные пакеты содержали файл LicenseLoader.php, который автоматически загружался в административной панели WordPress. Загрузчик связывался с C2 по адресу 194.76.217.28:2871, загружал полезную нагрузку второго этапа, устанавливал её как фейковый плагин, сообщал злоумышленникам домен жертвы, а затем удалял себя, чтобы затруднить криминалистический анализ.
Вредоносная ПО маскировалась под плагины с названиями woocommerce-subscription или woocommerce-notification, имитируя легитимные расширения WooCommerce.
Она включала в себя несколько инструментов для злоумышленников, в том числе Tiny File Manager 2.6, Adminer 5.2.1, веб-оболочку, бэкдор для REST API, компоненты для кражи учетных данных и механизм обхода авторизации.
Вредоносная ПО перехватывала события аутентификации WordPress для сбора имен пользователей, паролей, сессионных файлов cookie, IP-адресов, сведений о браузере и прав доступа пользователей.
Также целью атаки были секретные TOTP-коды, хранящиеся в нескольких популярных плагинах двухфакторной аутентификации WordPress, включая WP 2FA, Wordfence Login Security, Really Simple SSL 2FA и Two-Factor. Украденная информация передавалась на generate.2faplugin.org.
Wordfence утверждает, что имеющиеся доказательства указывают на компрометацию конвейера сборки ShapedPlugin, а не на простое изменение пакетов.
Анализ временных меток показал, что за двухчасовой промежуток 21 мая 2026 года было изменено всего четыре файла, что указывает на автоматизированный процесс внедрения.
Исследователи также обнаружили ссылки на частные репозитории Git в метаданных плагина и заметили изменения в схемах развертывания, связанные с рабочим процессом выпуска ShapedPlugin.
По всей видимости, злоумышленники имели доступ как к бесплатным, так и к коммерческим каналам распространения, но выборочно внедряли бэкдоры в платные плагины, вероятно, чтобы избежать обнаружения и нацелиться на более ценных жертв.
Более масштабная уязвимость отслеживается как CVE-2026-10735, в то время как Product Slider Pro ранее был обозначен как CVE-2026-49777.
Wordfence рекомендует всем пользователям платных плагинов ShapedPlugin в период с апреля по июнь 2026 года, исходить из того, что их сайт мог быть взломан.
Следует выполнить сканирование на наличие вредоносных ПО, проверить наличие подозрительных плагинов, удалить несанкционированные учетные записи, обновить учетные данные WordPress, базы данных, SMTP и API, а также сгенерировать заново все секреты 2Fa.
Недавно обнаруженная масштабная утечка данных FortiBleed раскрывает учетные данные VPN-серверов Fortinet и FortiGate для 73 932 URL-адресов межсетевых экранов в организациях по всему миру.
Утекшие данные были впервые обнаружены исследователем Бобом Дьяченко, который утверждает, что обнаружил сервер, содержащий, по всей видимости, валидные учетные данные для VPN Fortinet, включая имена пользователей, адреса электронной почты и пароли в открытом виде.
При этом база данных содержит записи о компаниях Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid и многих других.
В найденных файлах указаны тысячи экземпляров оборудования ведущих поставщиков. Только один из экземпляров содержит 21 634 доменных имени - от Chevron до самой Fortinet. И все они - с потенциально рабочими паролями к устройствам FortiGate, полученными различными способами.
В раскрытые данные также вошли комментарии, содержащие информацию об отрасли, доходах и количестве сотрудников каждой организации, предположительно, для планирования атак.
Согласно расследованию, злоумышленники предположительно совершили около 1,16 млрд. попыток взлома учетных данных 320 777 целевых устройств FortiGate и еще 2,1 млрд. попыток в отношении 163 650 систем Microsoft SQL Server.
Дьяченко также отметил, что злоумышленники перехватили хеши аутентификации SSL VPN, взломали их с помощью кластера из 45 графических процессоров, управляемого через Hashtopolis, и использовали полученные учетные данные для проникновения во внутренние среды Active Directory.
Диаченко рассказал, что хакеры случайно оставили в сети открытую директорию с артефактами, строками подключения, инструментами, скриптами и данными. Аналитические данные были полученные через их задания cron, историю команд bash, журналы и т.д.
Исследователь также заявил, что различные организации в Японии, Тайване, Вьетнаме, Ираке и Турции были полностью скомпрометированы, включая турецкого подрядчика НАТО по оборонным закупкам, у которого, предположительно, были украдены секретные документы.
В свою очередь, Hudson Rock представила собственный анализ скомпрометированных данных, охарактеризовав эту коллекцию как один из крупнейших известных массивов скомпрометированных учетных данных, связанных с Fortinet.
По данным Hudson Rock, набор данных содержит 73 932 уникальных URL-адреса межсетевых экранов в 194 странах и затрагивает 21 632 уникальных домена.
Злоумышленники вели подробные журналы успешных взломов и создали базу данных, содержащую проверенные учетные данные организаций практически во всех основных отраслях экономики.
В них вошили данные такие организации, как Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, а также многочисленные правительственные учреждения и операторы критической инфраструктуры.
Компания также опубликовала статистику, показывающую, что наибольшее количество затронутых устройств было зафиксировано в Индии, США, Тайване, Мексике, Турции, Таиланде, Колумбии, Малайзии, Чили и ОАЭ.
Одна из странных особенностей утечки заключается в том, что многие из раскрытых учетных данных представляли собой длинные, сложные пароли, которые обычно считаются трудновзламываемыми.
Исследователи JFrog, SafeDep, Socket и StepSecurity сообщают об атаке на цепочку поставок программного обеспечения под кодовым названием easy-day -js, в результате которой были скомпрометированы до 144 пакетов npm, связанных с Mastra, популярным фреймворком с открытым исходным кодом на JavaScript и TypeScript для создания ИИ-приложений.
Один аккаунт npm (ehindero) за короткий промежуток времени 17 июня 2026 года массово опубликовал более 140 вредоносных пакетов в рамках сети Mastra.
Сами зараженные пакеты не содержат вредоносного кода. Вместо этого он внедряется с помощью сторонней библиотеки easy-day-js, которая добавляется в список зависимостей каждого пакета в рамках автоматизированной кампании по распространению вредоносного кода, длившейся 88 минут.
В своем анализе SafeDep описала easy-day-js как клон библиотеки для работы с датами dayjs, который загружает и запускает троян удаленного доступа, предназначенный для кражи криптовалюты.
Библиотека JavaScript была опубликована пользователем npm под ником sergey2016 16 июня 2026 года в 7:05 утра по UTC как чистая, полностью функциональная копия, а вредоносные изменения были внесены 17 июня 2026 года в 1:01 утра по UTC.
Поскольку Mastra находится на стыке разработки ИИ и облачной инфраструктуры, ее пакеты регулярно устанавливаются в средах, содержащих одни из самых конфиденциальных учетных данных в современной разработке ПО, что делает ее исключительно ценной целью.
Пакет easy-day-js запускает обфусцированную полезную нагрузку, которая срабатывает во время выполнения postinstall-хука и действует как загрузчик или дроппер для полезной нагрузки второго этапа из 23.254.164[.]92 после отключения проверки TLS-сертификатов.
Затем полезная нагрузка выполняется как отдельный фоновый процесс, после чего загрузчик предпринимает шаги для самоуничтожения, чтобы минимизировать следы, которые могли бы быть использованы для анализа.
Финальный этап - это кроссплатформенный стилер, способный собирать историю браузера, данные из более чем 160 расширений, использующих криптокошельки, устанавливать постоянное присутствие в Windows, macOS и Linux, а также передавать информацию на C2 (23.254.164[.]123).
Вредоносная ПО также способна опрашивать сервер C2 для получения команд, включая загрузку модуля по предоставленному злоумышленником URL-адресу и его выполнение в системах Windows, Linux и macOS.
Вредоносная ПО сочетала в себе знакомые методы управления цепочками поставок с практической скрытностью: чистую версию-приманку, обфусцированный загрузчик после установки, загрузку полезной нагрузки во время выполнения, отсоединенное выполнение, самоудаление, сохранение активности в стиле Node и систему удаленных модулей.
Даже если пакет первого этапа будет удален после установки, процесс второго этапа может продолжаться и, возможно, уже установил средства обеспечения постоянного доступа.
Злоумышленники, стоящие за этой кампанией, взломали аккаунт ehindero, принадлежащий законному бывшему участнику проекта Mastra, чьи права доступа не были отозваны. С тех пор Npm удалил вредоносные версии из наиболее известных пакетов и вернул им прежний тег.
Mastra распространяет свои реальные релизы из CI через механизм доверенных издателей npm, и каждый из них содержит подтверждения происхождения SLSA. Злоумышленник распространил вредоносные версии, используя личный токен, и скрыл подтверждение происхождения.
Mastra генерировала подтверждение происхождения при публикации в CI, но не требовала его, поэтому стандартный токен npm мог публиковать файлы без аттестаций. Установка с проверкой подписи (подписи npm audit или политика, требующая аттестаций) отклонила бы каждый пакет в этой волне.
Любая рабочая станция, среда непрерывной интеграции или среда сборки, на которых установлены затронутые версии, должны рассматриваться как потенциально скомпрометированные. Рекомендуется откатиться к безопасной версии, сменить учетные данные и провести аудит хостов на наличие любых артефактов, связанных с кампанией.
Китайские силовики арестовали 67 подозреваемых, связанных с Silver Fox, крупнейшей и наиболее активной киберпреступной группировкой страны, нацеленной на ее внутреннюю аудиторию.
Аресты были произведены в пяти провинциях и затронули всех - от разработчиков до операторов фишинговых сайтов и различных других причастных лиц.
Властям удалось установить личность некоего Цзи Моуфэй, который был главным разработчиком и селлером вредоносного ПО группировки, получившего название трояна Silver Fox. Цзи и четверо его сообщников были арестованы в провинции Чжэцзян.
Также в провинции Цзилинь были арестованы еще 28 человек, в том числе мужчина по имени Чен, у которого, как сообщается, был обнаружен вариант троянской программы этой группировки.
Сообщается также о других арестах в провинции Шаньдун, где был задержан человек некий Ян и 15 подозреваемых за создание фишинговых сайтов, которые заманивали пользователей к загрузке файлов, зараженных трояном Silver Fox.
В провинции Гуандун был задержан еще один подозреваемый по имени Ли, а также 13 других лиц, предположительно использовавших троян для доступа к системам и кражи онлайн-активов и средств жертв.
И наконец, в провинции Чжэцзян был арестован подозреваемый по имени Чжоу и двое его сообщников за разработку фейковых сайтов для скачивания приложений, содержащих троянскую ПО этой группы.
Silver Fox начала свою деятельность в середине 2024 года и ориентировалась исключительно на пользователей, говорящих на китайском языке и проживающих как в Китае, так и за рубежом.
Позже группа расширила свою деятельность, включив в нее и другие страны, однако основная часть ее работы по-прежнему была направлена в отношении Китая.
Как оказалось впоследствии, силовая операция в отношении этой группировки была ожидаема, поскольку в конце мая китайский CERT выпустил предупреждение, касающееся ее деятельности.
Основной метод работы Silver Fox включал рассылку вредоносного спама и создание поддельных сайтов для скачивания, призванных заманить жертв к установке трояна на их системы.
Группа использовала этот первоначальный троян для развертывания других, более мощных инструментов, таких как различные семейства программ для кражи информации, а также разработанные внутри компании трояны удаленного доступа под названиями AtlasRAT и ValleyRAT.
Silver Fox также известна под названиями Void Arachne, YouSnake, UTG-Q-1000 и TA4922, а его основной троян отслеживается как Winos.
В киберподполье сегодня жарко: одни злоумышленники затребовали от Nintendo 2 млн. долл. за утечку корпоративных данных за десятилетний период, а другие реализуют большой массив данных в отношении более 5,5 млн. граждан Швеции (примерно половину населения). Отметились также и другие известные акторы.
Называющий себя ShadowByte$ утверждает, что украл около 859 МБ корпоративных данных Nintendo и требует выкуп в размере 2 миллионов долларов, дабы предотвратить публикацию данных.
Утекшие образцы данных предположительно содержат конфиденциальную внутреннюю документацию, включая имена сотрудников, корпоративные адреса электронной почты, результаты опросов отдела кадров, отзывы сотрудников, показатели эффективности работы организации, внутренние отчеты и плановую документацию.
Исследователи, изучившие образцы, обнаружили доказательства, свидетельствующие о том, что по крайней мере часть данных может быть подлинной, включая опросы вовлеченности сотрудников, датируемые 2016 годом, и упоминания лиц, которые, судя по всему, до сих пор работают в Nintendo.
Остается неясным, была ли реально взломана сама компания Nintendo или же злоумышленники получили доступ через стороннюю HR-платформу, при этом в качестве примера приводится программное обеспечение для повышения вовлеченности сотрудников TinyPulse.
Другой злоумышленник утверждает, что данные по гражданам Швеции были получены с сайтов ilait.se и adressfakta.se, которые распространяют контактную и адресную информацию в коммерческих целях.
Согласно утверждениям, набор данных включает в себя как персональные данные, так и информацию о географическом местоположении и данные, связанные с недвижимостью.
Однако вопрос о том, насколько деликатна эта ситуация, остается без ответа. Кроме того, в наборе данных лишь 18 образцов записей четко идентифицируемы и согласуются друг с другом. Поэтому проверить весь масштаб предполагаемого нарушения невозможно.
Кроме того, подкатила новая группа жертв ShinyHunters: хакерская группа разместила на своем DLS список новых жертв. В настоящее время группа пытается шантажировать Совет Европы, модных гигантов Ralph Lauren и JCPenney, а также Nexstar, крупнейшую телекомпанию США.
Большинство компаний, перечисленных на странице утечек ShinyHunters, подтвердили факт взлома. За последние две недели группа использовала уязвимость нулевого дня в ERP-системе Oracle PeopleSoft.
А в Австралии атака банды вымогателей The Gentlemen парализовала работу заводов второго по величине производителя нерафинированного сахара Mackay Sugar.
Компания управляет тремя сахарными заводами в Квинсленде. По всей видимости, кибератака затронула двух из них, которые были вынуждены остановить работу.
Cal Water, одна из крупнейших водопроводных компаний в США, инциировала расследование после заявления связанной с Ираном группировки Handala, которая опубликовала несколько гигов данных, предположительно, украденных из систем водоснабжения и водоотведения предприятия.
Исследователи ESET обнаружили два ранее не описанных варианта SprySOCKS для Windows - бэкдора, ранее известного только для Linux и связанного с китайской FishMonger.
Недавно обнаруженные варианты вредоносного ПО значительно расширяют возможности группы, внедряя механизмы обеспечения постоянного присутствия в Windows и, в одной из версий, руткит на уровне ядра, предназначенный для сокрытия активности от средств безопасности.
По данным ESET, вредоносная ПО для Windows была первоначально обнаружена в файлах, загруженных на VirusTotal, но телеметрия показала реальную активность в период с 2023 по 2024 год.
Атаки были направлены в основном на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане. Исследователи с высокой степенью уверенности отнесли вредоносную ПО к FishMonger на основе сходства кода, операционных характеристик и пересечения инфраструктуры.
Считается, что FishMonger (Earth Lusca, TAG-22, Aquatic Panda и Red Dev 10), действует из Чэнду, Китай, под эгидой Winnti Group. Ранее группа была замечена в кибершпионских кампаниях и известна использованием ShadowPad, Spyder, FunnySwitch, BIOPASS RAT и Cobalt Strike.
Недавно обнаруженная вредоносная программа SprySOCKS для Windows существует в двух вариантах: WIN_DRV и WIN_PLUS. Оба поддерживают связь по протоколам TCP, UDP и WebSocket и поддерживают более 30 команд C2 для разведки системы, управления процессами, контроля служб, файловых операций и удаленного выполнения команд.
Наиболее сложная версия, WIN_DRV, включает в себя драйвер ядра под названием RawWNPF, который функционирует как руткит.
Драйвер может скрывать активные сетевые соединения, запущенные процессы, вредоносные файлы и ключи реестра от администраторов и средств безопасности.
Он также включает в себя скрытый пассивный механизм бэкдора, который перенаправляет специально сформированный сетевой трафик с любого открытого TCP-порта на скрытый порт прослушивания вредоносной ПО, позволяя операторам взаимодействовать с имплантатом, не раскрывая его фактическую сетевую точку.
ESET заметила, что злоумышленники используют несколько методов для обеспечения постоянного присутствия в системе и избежания обнаружения.
В цепочке WIN_DRV вредоносное ПО использует загрузку DLL-файлов через легитимное подписанное ПО, запланированные задачи, запускаемые с правами SYSTEM, зашифрованные контейнеры полезной нагрузки, подмену процессов и пользовательские драйверы ядра.
Руткит защищает файлы, хранящиеся в каталоге шрифтов Windows, и скрывает ключи реестра, связанные с механизмами обеспечения постоянного присутствия в системе.
Второй вариант, WIN_PLUS, не имеет драйвера ядра, но по-прежнему использует сложные механизмы загрузки.
Исследователи наблюдали, как он использует вредоносный обработчик печати под названием VSPMsg.dll для обеспечения постоянного присутствия в системе.
Вредоносная ПО хранит зашифрованные данные в каталогах диспетчера печати Windows и внедряет финальный бэкдор в процессы svchost.exe, используя методы двойников процессов.
Оба варианта включают дополнительные функции слежки. При включении через конфигурационный файл вредоносное ПО может регистрировать нажатия клавиш, собирать содержимое буфера обмена и записывать заголовки активных окон. Собранные данные сохраняются в зашифрованных файлах перед передачей операторам.
Одно из наиболее тревожных наблюдений ESET - некоторые вторжения SprySOCKS могли быть связаны с компонентом загрузчика UEFI, потенциально использующим уязвимость CVE-2023-24932.
Хотя исследователям не удалось полностью подтвердить развертывание загрузчика, они отметили, что эта возможность требует тщательного мониторинга, учитывая продолжающиеся наработки FishMonger в части технологии скрытности и обеспечения постоянного присутствия в сети.
Исследователи Defused сообщают об эксплуатации ряда критических уязвимостей в платформе обнаружения киберугроз FortiSandbox от Fortinet.
14 апреля Fortinet выпустила обновления для трех критически важных уязвимостей: CVE-2026-39813, CVE-2026-39808 и CVE-2026-25089.
Они позволяют неавторизованным злоумышленникам повышать привилегии и удаленно выполнять несанкционированный код посредством простых атак с внедрением команд, не требующих взаимодействия с пользователем.
Для решения этих проблем и блокировки входящих атак администраторам необходимо обновить затронутые развертывания до последних выпущенных версий.
Как предупреждают в Defused, за последние 24 часа наблюдается эксплуатация множества уязвимостей Fortinet FortiSandbox, включая: CVE-2026-39813 (ранее не зафиксировано случаев эксплуатации), CVE-2026-39808, CVE-2026-25089 (эксплойт, вероятно, некорректный).
При этом рабочий эксплойт для последней еще не был публично представлен. В свою очередь, Fortinet пока никак не отреагировала на сообщения об активной эксплуатации уязвимости.
Тем не менее, уязвимости в системе безопасности Fortinet часто использовались в атаках с применением ransowmare (зачастую в виде нулей) и в кампаниях кибершпионажа для взлома сетей жертв.
В общей сложности на карандаше в CISA сейчас 26 уязвимостей Fortinet, которые были использованы в атаках в последние годы, 13 из которых были использованы группировками, занимающимися вымогательством.
В результате атаки на цепочку поставок, нацеленной на плагины WordPress OptinMonster, TrustPulse и PushEngage, более 1,2 млн. сайтов оказались потенциально уязвимы для взлома после того, как злоумышленники внедрили вредоносный JavaScript в файлы, распространяемые через официальную инфраструктуру CDN.
Вредоносная ПО создавала скрытые учетные записи администраторов и устанавливала незаметные бэкдоры на зараженных сайтах при посещении их авторизованными администраторами WordPress.
Кампания обнаружена Sansec, сообщившей 13 июня о распространении вредоносного кода через размещенные на CDN-сетях JavaScript-файлы, используемые плагинами OptinMonster, TrustPulse и PushEngage.
Атака использовала ресурсы доверенных плагинов, а не напрямую компрометировала отдельные веб-сайты, что позволило вредоносному коду проникнуть в большое количество установок WordPress.
Awesome Motive, владеющая OptinMonster и TrustPulse, подтвердила инцидент, объяснив его компрометацией ключа API CDN.
Согласно расследованию, злоумышленники использовали известную уязвимость в стороннем плагине UpdraftPlus, работающем на сервере маркетингового сайта, получили доступ к серверу и обнаружили учетные данные для учетной записи CDN компании.
Используя эти учетные данные, они модифицировали файлы JavaScript, предоставляемые сайтам клиентов, не нарушая инфраструктуру приложения OptinMonster.
При этом серверы приложений, репозитории исходного кода и системы, хранящие данные учетных записей клиентов, размещались отдельно и не содержали признаков несанкционированного доступа.
Компания полагает, что период реализации уязвимости длился всего несколько часов 12 июня, но тем не менее продолжает проверять точную хронологию с помощью журналов CDN.
Анализ Sansec показал, что внедренный JavaScript выполнялся только тогда, когда авторизованный администратор WordPress посещал зараженный веб-сайт.
После активации вредоносное ПО собирало токены безопасности WordPress, пыталось создать учетные записи администратора и устанавливало скрытый плагин, предоставляющий злоумышленникам постоянный удаленный доступ.
Исследователи обнаружили, что вредоносная программа создавала фиксированную учетную запись администратора с именем developer_api1, связанную с customer1usx@gmail.com, а также случайные учетные записи администратора dev_xxxxxx.
Затем информация о сайте и украденные учетные данные передавались на контролируемый злоумышленником домен tidio.cc, похожий на легитимную платформу поддержки клиентов Tidio.
Установленный плагин-бэкдор был разработан для того, чтобы избежать обнаружения, скрываясь в списках плагинов WordPress, пользовательских интерфейсах, проверках обновлений и ответах API.
Sansec выявила два способа маскировки, использованных во время кампании: Content Delivery Helper и Database Optimizer. Плагин также предоставлял доступ к неаутентифицированной веб-оболочке и функциям выполнения кода, фактически предоставляя полный контроль над сайтами.
Первые признаки вредоносной активности были зафиксированы 12 июня, после чего зараженный код был удален из ресурсов OptinMonster и TrustPulse. Однако некоторые узлы CDN PushEngage продолжали распространять вредоносный код до 14 июня.
Awesome Motive отозвала и заменила скомпрометированные учетные данные CDN, восстановила работоспособность и перенесла затронутый маркетинговый сервер, удалила вредоносные файлы из CDN и начала более широкую проверку безопасности.
Администраторам следует проверить наличие несанкционированных учетных записей, изучить каталог wp-content/plugins на наличие скрытых плагинов с именами content-delivery-helper или database-optimizer.
При обнаружении каких-либо признаков компрометации администраторам следует удалить бэкдор, сменить все пароли, ключи API, учетные данные базы данных и ключи безопасности WordPress, полагая, что злоумышленники получили полный административный доступ к сайту.
🖥❗️Масштабная атака на цепочку поставок в Arch Linux привела к ⚠️заражению более 1500 пакетов в AUR
Инфраструктура пользовательского репозитория Arch User Repository (AUR) подверглась хакерской атаке. Неизвестные злоумышленники внедрили вредоносный код в сотни пакетов. Целью хакеров стала кража конфиденциальных данных и скрытая установка руткита на базе технологии eBPF.
Правила AUR позволяют любому пользователю взять на себя поддержку пакета при долгом отсутствии активности со стороны его изначального создателя. Злоумышленники автоматизировали процесс поиска таких заброшенных программ. Они массово регистрировали новые аккаунты и подделывали профили известных мейнтейнеров для получения контроля над чужими репозиториями.
Хакеры вносили изменения в установочные скрипты файлов PKGBUILD. Вредоносный код использовал пакетные менеджеры npm или bun для тихой загрузки сторонних зависимостей во время сборки программы на компьютере конечного пользователя.
Вредоносная программа, распространяемая через зараженные npm-модули atomic-lockfile и js-digest, представляет собой написанный на Rust мощный инфостилер, дополнительно оснащенный eBPF-руткитом для скрытия своей активности в операционной системе. Автоматически запускаясь в процессе сборки пакета, зловред целенаправленно атакует рабочие станции разработчиков с целью кражи критически важных конфиденциальных данных. Он агрессивно собирает файлы cookie и данные локальных хранилищ из Chromium-браузеров, перехватывает активные сессии из популярных приложений (Slack, Discord, Microsoft Teams, Telegram) и похищает токены доступа GitHub, npm и HashiCorp Vault. Кроме того, стилер извлекает SSH-ключи, файлы known_hosts, историю командной оболочки, профили VPN, учетные данные Docker и Podman, а также материалы OpenAI/ChatGPT, после чего скрытно выгружает этот массив секретов через сеть Tor и временные текстовые сервисы для последующей компрометации корпоративной IT-инфраструктуры жертв.
В результате первой атаки удалось обнаружить около 400 зараженных пакетов. Через несколько часов это число выросло примерно до 900 пакетов. Позже в почтовой рассылке разработчики опубликовали финальное обновление статуса расследования. Разработчики Arch Linux объединили все имеющиеся данные и опубликовали итоговый перечень, в котором оказалось ровно 1579 скомпрометированных пакетов [🖥cписок обновляется]. Более того, администраторы подчеркнули, что даже этот внушительный список может быть неполным.
Стоит отметить, что большинство зараженных пакетов представляли собой устаревшие темы оформления или крайне специфические и редко используемые утилиты.
Команда безопасности Arch Linux оперативно вмешалась в ситуацию. Модераторы полностью заблокировали вредоносные учетные записи и откатили опасные коммиты до безопасных версий. Администрация временно ограничила функционал свободной передачи прав на пакеты для предотвращения аналогичных инцидентов в ближайшем будущем.
💡 Разработчики подготовили перечень рекомендаций для конечных пользователей.
🔐Необходимо проверить логи установок и просканировать систему опубликованными в сообществе bash-скриптами для поиска индикаторов компрометации.
🔐При обнаружении следов взлома требуется немедленно сменить все пароли и отозвать активные токены сессий.
🔐Полная переустановка операционной системы является единственным надежным выходом в случае заражения.
🔐Глубокое внедрение eBPF-руткита делает невозможным полное очищение и восстановление доверия к зараженной программной среде.
В киберподполье анонсировали утечку данных 2,4 миллиарда пользователей TikTok.
Хакер опубликовал 10 образцов в подтверждение своих утверждений. Образцы содержат адреса электронной почты, номера телефонов, даты рождения, имена пользователей, а в некоторых случаях и полные имена и данные о местоположении.
Вероятнее всего, данные получены посредством стилеров, а не в результате инцидента в TikTok. Исследователи не обнаружили каких-либо конкретных признаков, связывающих образцы исключительно с TikTok, предполагая, что данные были собраны с зараженных устройств.
С другой стороны, если заявления злоумышленников подтвердятся, то утечка затронет почти всех пользователей TikTok. К настоящему времени исследователи не смогли подтвердить подлинность представленных данных.
Впрочем, это уже не первый случай появления в сети предполагаемого набора данных TikTok. Почти одновременно другой селлер также заявил о продаже данных TikTok в объеме 3000 записей, включая имена пользователей, электронные адреса и пароли.
• Яндекс опубликовал новый отчет, в котором показал, как ИИ становится основой проактивной защиты пользователей:
➡На этапе проектирования собственный инструмент компании – NeuroSecReview – анализирует архитектуру сервисов. Скорость проверки выросла в 3 раза.
➡В SOC ИИ‑суммаризатор помогает команде сосредоточиться на реальных угрозах: около 74% предлагаемых им правил внедряют в работу.
➡«Антиробот» отразил 866 крупных DDoS-атак за год, 99,99% – автоматически.
• Яндекс одна из первых компаний в России, получивших ISO 42001 для ИИ‑продуктов – стандарт, который подтверждает безопасность, этичность и прозрачность нейросетей на всех этапах разработки и тестирования.
• Что касается Bug Bounty программы, то тут появилось направление по поиску уязвимостей в генеративных нейросетях для обеспечения пользовательской безопасности, а ИИ‑помощник группирует дубликаты в отчетах.
• Для ИБ специалистов это пример того, как ИИ превращается из вспомогательного инструмента в основу системной защиты на всех этапах – от архитектуры до эксплуатации – и делает сервисы безопаснее для пользователей.
➡ https://habr.com/ru/news/1046249/
S.E. ▪️ infosec.work ▪️ VT
Продолжаем отслеживать наиболее трендовые уязвимости, среди которых отметим следующие:
1. Fortinet опубликовала три уведомления, описывающие уязвимости в FortiSandbox, FortiOS, FortiProxy и FortiPortal.
Наиболее серьезной из трех ошибок является CVE-2026-25089 (CVSS 9,8), представляющая собой проблему внедрения команд операционной системы, затрагивающую FortiSandbox, FortiSandbox Cloud и веб-интерфейс FortiSandbox PaaS.
Две другие уязвимости - это уязвимости средней степени серьезности в FortiOS и FortiProxy, а также в API FortiPortal соответственно.
2. Ivanti выпустила Sentry 10.5.2, 10.6.2 и 10.7.1, а также Endpoint Manager Mobile (EPMM) 12.9.0.1, 12.8.0.3 и 12.7.0.2, в каждой из которых исправлены две уязвимости.
Обновление Sentry устраняет две критические ошибки, включая CVE-2026-10520 (CVSS 10), уязвимость внедрения команд операционной системы, которую можно было использовать удаленно, без аутентификации, для выполнения произвольного кода с правами root.
Вторая CVE-2026-10523 (CVSS 9,9), представляет собой обход аутентификации, который может позволить удаленным неаутентифицированным злоумышленникам создавать учетные записи пользователей с ролью администратора и получать полный доступ к уязвимым устройствам.
В EPMM устранены две серьезные CVE-2026-6973 и CVE-2026-10727, которые могли позволить авторизованным злоумышленникам удаленно выполнять код с помощью произвольных директив Apache и выполнять произвольные команды с правами root соответственно.
3. Хакеры активно используют уязвимость в расширяемой Arista (EOS) как 0-day, которая не будет исправлена. CVE-2026-7473 (CVSS 6,9), обусловлена тем, что в некоторых конфигурациях тип протокола туннеля не проверяется, что может привести к обработке неконфигурированного трафика.
Уязвимость может быть вызвана только на устройствах под управлением Arista EOS, настроенных как туннельные конечные точки с IP-адресом декапсуляции, например, группами декапсуляции, туннельным интерфейсом GRE (Generic Routing Encapsulation) или VXLAN (Virtual Extensible LAN).
По данным компании, уязвимость в системе безопасности затрагивает продукты серий 7020R, 7280R/R2 и 7500R/R2. Некоторые сценарии IP-in-IPv6 и GUE IPV6 decap group применимы к устройствам серий 7280R3, 7500R3 и 7800R3.
4. ServiceNow информирует клиентов о том, что ей удалось устранить уязвимость, которая, по всей видимости, была использована злоумышленниками.
Компания не обнародовала никакой информации об инциденте, но уведомление, доступное авторизованным клиентам (копия которого была опубликована на Reddit), указывает на то, что размещенные на серверах клиентские экземпляры получили обновление безопасности 5 июня.
Причем поставщик знал об этой проблеме с 7 апреля, но не считал её опасной. Пока неясно, сколько клиентов пострадало и кто может стоять за попытками эксплуатации уязвимости.
5. Злоумышленники используют уязвимость в Microsoft Exchange для рассылки спама в виде поддельных электронных писем. Уязвимы Exchange Online и почтовые серверы Exchange в гибридных конфигурациях.
По данным Microsoft, эксплуатация уязвимости происходит с конца апреля. В апреле был выпущен патч против подделки писем, но через пять дней он был отменен. Проблема до сих пор не устранена.
6. Поскольку ИИ сейчас в тренде, на серверах Langflow AI используется новая уязвимость - CVE-2026-5027, которая была исправлена ещё в марте.
7. Anthropic утверждает, что её модель в сфере кибербезопасности Mythos теперь способна создавать эксплойты для недавно обнаруженных уязвимостей менее чем за час.
В закрытых тестах Mythos смогла создать эксплойты как для уязвимостей Firefox, так и для уязвимостей Windows. Более простые модели компании, Claude Opus и Sonnet, также смогли разработать рабочие эксплойты, но с меньшей скоростью.