39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Trellix сообщают о новых атаках связанной с Индией APT DoNot Team (APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger), нацеленных на структуры МИД Европы с помощью вредоносного ПО под названием LoptikMod с целью кибершпионажа.
DoNot APT действует с 2016 года и известна использованием вредоносного ПО для Windows, в том числе бэкдоров, таких как YTY и GEdit, которые часто распространяются через фишинговые письма или вредоносные документы.
Группа обычно таргетируется на государственные структуры, министерства иностранных дел, оборонные организации и НПО, преимущественно в Южной Азии и Европе.
Цепочка атак начинается с фишинговых писем, цель которых - заставить получателей нажать на ссылку Google Drive для загрузки RAR-архива, открывая путь для развертывания LoptikMod, которое использовалось группировкой с 2018 года.
По данным Trellix, для рассылки сообщении задействуются с адреса Gmail, мимикрирующие под должностных лиц министерства обороны, а в теме письма упоминается визит итальянского военного атташе в Дакку, Бангладеш.
Для повышения легитимности особое внимание уделяется к деталям: в одном из писем применялось форматирование HTML с кодировкой UTF-8 для правильного отображения специальных символов, таких как «é» в слове «Attaché».
Архив RAR, распространяемый по электронной почте, содержит вредоносный исполняемый файл, имитирующий PDF-документ, открытие которого приводит к запуску трояна удаленного доступа LoptikMod.
Закрепление на хосте реализуется с помощью запланированных задач.
Он подключается к удаленному серверу для отправки системной информации, получения дополнительных команд, загрузки модулей и кражи данных.
LoptikMod также использует обфускацию ASCII-кода, затрудняя выполнение в виртуальных средах и обеспечивая уклонение от анализа, что значительно осложняет определение назначения инструмента.
Более того, злоумышленник обеспечивает работу в скомпрометированной системе лишь одного экземпляра вредоносного ПО.
На момент исследования Trellix сервер C2, использовавшийся в этой кампании, был неактивен, в связи с чем изучить точный набор передаваемых команд на зараженные конечные точки и возвращаемых в качестве ответов данных не представилось возможным.
По всей видимости, инфраструктура либо временно отключена, либо злоумышленник переехал на совершенно иной сервер.
Тем не менее, APT-операции DoNot характеризуются долгосрочным доступом и кражей данных, а основная активность сфокусирована на Южной Азии, включая Пакистан, Шри-Ланка и Бангладеш.
Новый инцидент затрагивает теперь Европу, что свидетельствует о явном расширении их развединтересов на европейском направлении.
Хотя как отмечают в Trellix, DoNot APT в единичных случая нападал на европейцев: в 2016 году их жертвами становились ряд британских компаний и телеком-оператор в Норвегии.
Однако по результатам нового расследования можно констатировать эскалацию угрозы, о чем свидетельствует первое задокументированное использование LoptikMod в отношении европейского госсектора.
Как полагают исследователи, APT реализует переход от конъюнктурных атак к полноформатному сбору дипломатической информации, что указывает на расширение их оперативных возможностей и соответственно разведзадач со стороны кураторов.
Но будем посмотреть.
Команда исследователей из Технического университета Вены и Университета Байройта (Филипп Бир, Марко Скварчина, Себастьян Рот, Мартина Линдорфер) разработала новый метод tapjacking, который будет представлен на предстоящем симпозиуме USENIX.
В отличие от традиционного тапджекинга с использованием оверлея, атаки TapTrap задействуют анимацию пользовательского интерфейса для обхода системы разрешений Android, получения доступа к конфиденциальным данным или инициирования определенных действий.
TapTrap злоупотребляет способом обработки переходов активности Android с помощью специальных анимаций, создавая визуальное несоответствие между тем, что видит пользователь, и тем, что фактически регистрирует устройство.
Вредоносное приложение, установленное на целевом устройстве, запускает конфиденциальный системный экран (запрос на разрешение, системные настройки и т.д.) из другого приложения, используя startActivity() с пользовательской анимацией с низкой непрозрачностью.
Ключом к эффективности TapTrap является использование анимации, которая делает целевую активность практически невидимой.
Этого можно добиться, определив пользовательскую анимацию с начальной и конечной непрозрачностью (альфа), установленной на низкое значение, например 0,01, что делает вредоносную или опасную активность почти полностью прозрачной.
При желании можно применить анимацию масштабирования для увеличения масштаба определенного элемента пользовательского интерфейса (например, кнопки разрешения), чтобы он занимал весь экран и увеличивал вероятность того, что пользователь нажмет на него.
Несмотря на то, что запущенное приглашение получает все сенсорные события, пользователь видит только базовое приложение, отображающее собственные элементы пользовательского интерфейса, поскольку поверх него прозрачный экран, с которым он фактически взаимодействует.
Думая, что он взаимодействует с приложением, пользователь может нажимать на определенные позиции на экране, которые соответствуют определенным действиям, например, на кнопки «разрешить» или «авторизовать» на почти невидимых подсказках.
Исследователи проанализировали около 100 000 приложений из Play Store и обнаружили, что 76% из них уязвимы для TapTrap.
При этом в Android 15 анимация включена (пока пользователь не отключит ее в параметрах разработчика или настройках специальных возможностей), что делает устройства уязвимыми для атак TapTrap.
Тесты, проведенные исследователями, оказали, что в Android 16 проблема также остается нерешенной.
Разработчики GrapheneOS подтверждают, что последняя версия Android 16 уязвима для TapTrap, и заверили об исправлении проблемы в следующем выпуске.
Аналогичное заявление сделали представители Google.
Решения Ruckus Wireless Virtual SmartZone (vSZ) и Network Director (RND) подвержены многочисленным уязвимостям, которые могут позволить злоумышленникам скомпрометировать управляемые среды, оставаясь при этом неисправленными до настоящего времени.
Ruckus Wireless (Ruckus Networks) реализует широкую линейку сетевых устройств и программного обеспечения для операторов мобильной связи, поставщиков услуг широкополосного доступа и корпоративного сектора.
Программное обеспечение для управления vSZ поддерживает управление крупными сетями - до 10 000 точек доступа Ruckus, - а RND позволяет управлять несколькими кластерами vSZ.
Обеспокоенность высказали представители CERT Университета Карнеги-Меллона (CERT/CC) в своих недавних рекомендациях, обращая внимание на 9 недостатков, обнаруженных Claroty Team82, которые приводят к обходу аутентификации, произвольному чтению файлов и RCE.
Приложение vSZ содержит несколько жёстко запрограммированных данных, включая ключ подписи JWT и ключи API, что позволяет злоумышленникам получить доступ к устройству с высокими привилегиями. Проблема отслеживается как CVE-2025-44957.
Используя заголовки HTTP и действительный ключ API, можно логически обойти методы аутентификации, предоставив доступ на уровне администратора любому, кто это сделает.
Другая ошибка в vSZ, CVE-2025-44962, позволяет аутентифицированным пользователям перемещаться по путям каталогов и считывать конфиденциальные файлы.
Кроме того, vSZ хранит открытые и закрытые ключи RSA по умолчанию для встроенного пользователя с привилегиями root в каталоге SSH пользователя (CVE-2025-44954), предоставляя любому, кто знает ключи, права root через SSH, приводя к неаутентифицированному RCE.
Две другие RCE-уязвимости в vSZ обусловлены отсутствием очистки контролируемого пользователем параметра в маршруте API (CVE-2025-44960) и предоставленного пользователем IP в качестве аргумента, который может быть командой вместо адреса (CVE-2025-44961).
В свою очередь, RND также использует жёстко запрограммированные данные, включая токен JWT, для внутреннего веб-сервера, что позволяет злоумышленникам создавать действительный JWT, обходить аутентификацию и получать доступ с правами администратора (CVE-2025-4496).
Кроме того, RND содержит встроенный джейлбрейк, поддерживающий настройку устройства без доступа к командной оболочке базовой ОС. Жёстко запрограммированный пароль, отслеживаемый как CVE-2025-44955, обеспечивает доступ к серверу с правами root.
Платформа RND также имеет жестко запрограммированные ключи SSH (CVE-2025-6243) для встроенной учетной записи «sshuser», которая имеет привилегии root и использует жестко запрограммированный слабый секретный ключ (CVE-2025-44958) для шифрования паролей, возвращая при этом пароли в виде открытого текста.
Влияние всех этих уязвимостей варьируется от утечки информации до полного нарушения безопасности беспроводной среды, управляемой уязвимыми продуктами.
При этом ряд уязвимостей могут быть объединены в цепочку, позволяя злоумышленнику комбинировать атаки для обхода различных средств защиты.
По данным CERT/CC, попытки связаться с Ruckus Wireless или головной компанией Commscope остались без ответа, а исправлений для этих уязвимостей пока нет.
Пользователям следует ограничить доступ к уязвимым продуктам.
Более миллиона пользователей установили расширения для браузеров, которые фактически превращают их в прокси-серверы для ботнета, который задействуется для сбора данных в Интернете.
Все они включают библиотеку Mellowtel, которая ожидает перехода пользователей в состояние неактивности, отключает средства защиты страницы, а затем грузит удалённый сайт в скрытый iframe. После этого сайт отправляется на удалённый URL для анализа.
Исследователи SecureAnnex обнаружили библиотеку Mellowtel в 245 расширениях для Chrome, Edge и Firefox.
Некоторые разработчики начали удалять Mellowtel из своего кода после того, как разработчики браузеров приступили к исправлению проблемы.
Тем не менее на данный момент лишь 12 из 45 расширений Chrome удалили Mellowtel, 8 из 129 в Edge и 2 из 69 в Firefox.
Mellowtel обрела популярность, продвигая свой продукт среди разработчиков и предлагая монетизацию расширений путем продажи «неиспользованной пропускной способности» пользователей.
SecureAnnex также обнаружила связи между Mellowtel и Olostep - онлайн-сервисом, рекламирующим «рентабельный API для веб-скрапинга», который позволяет избегать обнаружения ботами и распараллеливать до 100 000 запросов.
Джон Такнер, основатель SecureAnnex, полагает, что библиотека служит бэкэндом для Olostep, позволяя компании направлять часть веб-скрапинга через расширения Mellowtel.
Исследователи полагают, что подобная практика в ряде случаев противоречит законам (когда пользователи должным образом не были проинформированы), но в любом случае потенциальная «передача» своего браузера в чужие руки - не есть хорошая идея.
Во-первых, Mellowtel удаляет заголовки безопасности с сайтов, на которых загружает скрытый iframe, чтобы обеспечить веб-скрейпинг.
Во-вторых, Mellowtel может легко запускать вредоносный код внутри Интранет-порталов и других корпоративных приложений, открывая компании (посредством утраты контроля над браузерами своих пользователей) для непредвиденных атак.
И, наконец, неясно, кому Olostep или команда Mellowtel будут реализуют свои услуги и как будет использоваться библиотека в будущем.
Возможно, сегодня - это парсинг страниц, а на завтра - запуском фишинга.
Grafana выпустила обновления для устранения четырех уязвимостей высокой степени серьезности в библиотеке Chromium, используемой в плагине Grafana Image Renderer и Synthetic Monitoring Agent.
Наиболее важной из этих проблем является CVE-2025-6554 - путаница типов в движке JavaScript V8 браузера Chrome, которая может быть использована удаленно для выполнения произвольных операций чтения/записи.
Проблема использовалась в качестве 0-day и в Google на прошлой неделе официально также подтверждали существование эксплойта для CVE-2025-6554. Устранена в Chrome 138.0.7204.96/.97 для Windows, 138.0.7204.92/.93 для macOS и 138.0.7204.96 для Linux.
Grafana также выпустила исправления для CVE-2025-5959 - ошибки путаницы типов в движке V8, которая может позволить удаленным злоумышленникам выполнять произвольный код в «песочнице» с помощью специально созданных HTML-страниц.
Google устранила проблему в версиях Chrome 137.0.7151.103/.104 для Windows и macOS, 137.0.7151.103 для Linux.
Кроме того, плагин Image Renderer и Synthetic Monitoring Agent получили исправления для CVE-2025-6191, дефекта целочисленного переполнения в движке Chrome V8, и CVE-2025-6192, ошибки использования после освобождения памяти в компоненте браузера Profiler.
Ошибки были устранены в версиях Chrome 137.0.7151.119/.120 для Windows и macOS, 137.0.7151.119 для Linux.
Она позволяют удаленным злоумышленникам потенциально выполнять доступ к памяти за пределами выделенного пространства и эксплуатировать повреждение кучи соответственно.
По данным Grafana, эти уязвимости затрагивают версии Grafana Image Renderer до 3.12.9 и Synthetic Monitoring Agent до 0.38.3, пользователям следует как можно скорее обновиться до исправленных версий.
Пользователям, которые используют плагин Grafana Image Renderer или имеют локальную установку Synthetic Monitoring Agent, рекомендуется обновить свои системы. При этом облачные развертывания были автоматически обновлены.
Исследователи выкатили PoC-эксплойты для критической уязвимости Citrix NetScaler, известной как CVE-2025-5777 и получившей название CitrixBleed2, которая поддается достаточно простой эксплуатации, позволяя красть токены сеансов пользователей.
CitrixBleed 2 затрагивает устройства Citrix NetScaler ADC и Gateway и приводит к извлечению содержимоего памяти посредством простой отправки искаженных запросов POST в процессе попыток входа в систему.
Название CitrixBleed2 обусловлено ее схожестью с оригинальной ошибкой CitrixBleed (CVE-2023-4966) 2023 года, которая использовалась бандами вымогателей в атаках на правительственные учреждения.
Ресерчеры watchTowr и Horizon3 представили свои отчеты [1 и 2], подтверждая возможность использования путем отправки запроса на вход в систему, в котором параметр login= изменен таким образом, что он отправляется без знака равенства или значения.
Как отмечает watchTowr, это заставляет устройство NetScaler отображать содержимое памяти до первого нулевого символа в разделе <InitialValue></InitialValue> ответа.
Ошибка вызвана использованием функции snprintf вместе со строкой формата, содержащей %.*s.
По данным Horizon3, каждый запрос приводит к утечке 127 байт данных, что позволяет злоумышленникам выполнять повторные HTTP-запросы для извлечения дополнительного содержимого памяти до тех пор, пока они не будут найдены нужные конфиденциальные данные.
В отличие от WatchTowr, Horizon3 смогли продемонстрировать в видео реализацию уязвимости для кражи токенов сеансов пользователей.
При этом Horizon3 утверждает, что помимо конечных точек NetScaler уязвимость может быть также использована в отношении утилит конфигурации, используемых администраторами.
Как бы то ни было, Citrix продолжает настаивать на том, что уязвимость активно не эксплуатируется и в настоящее время нет никаких доказательств, позволяющих предположить эксплуатацию CVE-2025-5777.
Однако в июньском отчете ReliaQuest прямо приведены артефакты, указывающие на задействование CVE-2025-5777 для проведения атак, а в компании уже фиксируют рост числа случаев перехвата сеансов пользователей.
Кроме того, исследователь Кевин Бомонт также оспаривает заявление Citrix, утверждая, что уязвимость активно эксплуатируется с середины июня, причем злоумышленники используют ее для сброса памяти и перехвата сеансов.
При этом он выделил следующие индикаторы в журналах Netscaler:
- повторяющиеся запросы POST к *doAuthentication* - каждый из них выдает 126 байт ОЗУ;
- запросы к doAuthentication.do с "Content-Length: 5»;
- строки с *LOGOFF* и user = "*#*" (т.е. символ # в имени пользователя). ОЗУ воспроизводится в неправильное поле.
Служба поддержки Citrix не раскрыла никаких IOC и до сих пор заявляет (опять же - как это было с CitrixBleed), что никаких эксплуатаций не было.
Так или иначе ожидаем присоединения к обсуждениям по части эксплуатации представителей киберподполья. Будем следить.
Ресерчеры из Лаборатории Касперского сообщают о новом ранее недокументированном шпионском ПО Batavia, которое задействуется в атаках на российские компании.
Начиная с июля 2024 года реализуется кампания, связанная с использованием однотипных файлов с именами наподобие договор-2025-5.vbe, приложение.vbe, dogovor.vbe и др.
Сама целевая атака начинается с рассылки с вредоносными ссылками под предлогом подписания договора.
Жертвами кампании со шпионским ПО стали российские промышленные предприятия.
По данным телеметрии ЛК, вредоносные письма получили свыше 100 пользователей из нескольких десятков организаций.
Основная цель - заражение организаций ранее неизвестным шпионом Batavia с последующей кражей внутренних документов.
Кроме того, Batavia выгружает также такие данные, как список установленных программ, драйверов и компонентов ОС.
Кликая на ссылки для скачивания якобы служебного документа, получатель загружает на устройство скрипт, который запускает трехэтапное заражение машины. Зловред состоит из VBA-скрипта и двух исполняемых файлов.
При переходе по ссылке на устройство пользователя загружается архив, в котором содержится лишь один файл: скрипт, зашифрованный проприетарным алгоритмом Microsoft.
Он представляет собой загрузчик, который получает по прописанному в коде URL-адресу специально сформированную строку из 12 параметров, разделенных запятыми. Это аргументы для различных вредоносных функций.
Обратившись к URL-адресу, скрипт скачивает WebView.exe, сохраняет его в директорию %TEMP% и а затем запускает. Если версию ОС получить не удалось или она не совпадает с версией, полученной с C2, загрузчик использует метод Navigate(), в противном случае — Run().
WebView.exe, в свою очередь, представляет собой исполняемый файл, написанный на Delphi, размером 3 235 328 байт. Он также по ссылке грузит файлы в директорию C:\Users\[username]\AppData\Local\Temp\WebView, после чего отображает скачанные данные в своем окне.
На момент исследования ссылка была уже неактивна, но в ЛК предполагают, что по этому адресу должен находиться текст поддельного договора, о котором шла речь в письме.
Одновременно с показом окна зловред начинает сбор информации с зараженного компьютера и отправляет ее на адрес с другим доменом, но с определенным идентификатором заражения.
Единственное отличие от идентификатора из VBS-скрипта - добавление цифры 1 в начало аргумента, что может говорить о следующем этапе заражения.
Зловред собирает несколько категорий файлов, включая различные системные журналы и офисные документы на компьютере и съемных носителях. Кроме того, вредоносный модуль с определенной периодичностью делает и отправляет снимки экрана.
Кроме того, webview.exe загружает исполняемый файл следующего этапа и сохраняет его в %programdata%\jre_22.3\javav.exe.
Для запуска этого файла зловред создает ярлык в автозагрузке, который запускается после первой перезагрузки, начиная следующий этап вредоносной активности.
Исполняемый файл javav.exe, в отличие от webview.exe, написан на С++. Вредоносная функциональность этих файлов достаточно схожа, однако в javav.exe были добавлены новые возможности.
Новые собранные данные отправляются по аналогичному адресу, но к идентификатору заражения была добавлена цифра 2.
Также в коде вредоносного компонента появились две команды: set для смены командного центра и exa/exb для загрузки и запуска дополнительных файлов.
Индикаторы компрометации - в отчете.
Исследователи QiAnXin сообщили об обнаружении новой действующей из Северной Америки APT-группы, нацеленной на высокотехнологичные секторы Китая.
PanGu и RedDrip из QiAnXin раскрыли свои выводы на конференции по безопасности CYDES в Малайзии на прошлой неделе, а также опубликовали технический отчет на GitHub в прошлую пятницу.
Исследователи описывают NightEagle (APT-Q-95 и APT-C-78) как чрезвычайно скрытную и очень сложную.
Группировка использует новое вредоносное ПО, уникальную серверную инфраструктуру для каждой жертвы и потенциально задействует в атаках 0-day для Microsoft Exchange.
Каким образом группа получает доступ к сети цели пока остается неясным, тем не менее, проникнув внутрь, они устанавливают модифицированную версию Chisel, которое каждые несколько часов отправляет запросы на домен С2.
Записи DNS для любого из доменов C2 недоступны в 99% случаев и настроены на указание на тупиковый IP-адрес, например 127.0.0.1, 0.0.0.0, 0.0.0.1, 1.0.0.0 и 114.114.114.114.
По-видимому, домены серверов C2 активируются и разрешаются для преобразования в реальный IP-адрес только тогда, когда операторы активны, и немедленно отключаются в ином случае.
По данным QiAnXin, когда домены C2 активны, NightEagle взаимодействует с локальными серверами Microsoft Exchange и размещает в памяти бесфайловые импланты.
Опять же исследователи еще не выяснили, но, по-видимому, это делается с помощью цепочки 0-day эксплойтов для Exchange.
NightEagle задействует встроенный в память вирус для кражи электронных писем из почтовых ящиков Exchange организации.
Помимо электронной почты, группа также нацеливается на репозитории исходного кода и системы резервного хранения данных.
Группировка действует с 2023 года, а ее целями обычно являются китайские компании в сфере высоких технологий, включая производитство микросхем, квантовые технологии, искусственный интеллект, а также ВПК КНР.
QiAnXin назвала группу NightEagle, поскольку она действует только в ночное время в Китае, с 21:00 до 6:00 по пекинскому времени.
Причем вне этого хронометража группа никогда не работает. Исследователи полагают, что строгий график позволяет группе действовать в часовом поясе западного побережья Северной Америки.
QiAnXin официально не связывала APT с какой-либо страной, однако упоминание в названии Eagle говорит о многом по части атрибуции.
Официальное расследование Predatorgate так ни к чему и не привело.
Все началось в декабре 2022 года после журналистских разоблачений Inside Story и ряда других СМИ в отношении скандала с прослушкой телефонных разговоров.
Тогда правительство Кириакоса Мицотакиса приняло закон 5002/2022, направленный на обеспечение прозрачности закупок шпионского ПО в интересах национальных спецслужб.
Для того чтобы использование шпионского ПО спецслужбами было законным и конституционным, регулятор ADAE должен иметь возможность контролировать его использование, как в случае с контролем каналов связи.
Закон предусматривает также создание списка шпионского ПО, которое правительство планирует закупить.
Полномочия по ведению такого перечня были возложены на вновь созданный Координационный комитет по вопросам кибербезопасности.
Для принятия регламента работы комитета понадобилось 15 месяцев, а его формирования состоялось еще через семь месяцев, только 10 сентября 2024 года.
Правда, в ответ на требования ADAE предоставить список генеральный секретарь национальной безопасности канцелярии премьер-министра Танос Докос и по совместительству глава комитета выдал общие формулировки функционала вместо наименований поставщиков spyware.
Фактически своими действиями чиновники полностью лишили новый закон какой-либо реальной юридической силы, что позволило им продолжать производить закупки.
В общем спустя почти три года не было сделано абсолютно ничего, что указывает на задействование spyware Национальной разведслужбой, службой по борьбе с терроризмом и полицией ровно в той же серой правовой зоне, как и было ранее вне надзора со стороны ADAE.
Причем, как отмечают в InsideStory, само ADAE и вовсе осталось обезглавленным после отставки «неугодного» для правительства Христоса Раммоса.
Кроме того, чиновникам удалось также избавиться и от некоторых других «назойливых» членов ADAE.
Таким образом, можно констатировать: расследование греческого правительства по факту использования им шпионского ПО Predator зашло в тупик и фактически провалилось.
Исследователи Stratascale Cyber Research Unit (CRU) обнаружили две уязвимости безопасности в утилите командной строки Sudo для Linux и Unix-подобных ОС, которые могут позволить локальным злоумышленникам повысить свои привилегии до уровня root на уязвимых компьютерах.
Одна из них CVE-2025-32463 (CVSS: 9,3) в Sudo до версии 1.9.17p1 позволяет локальным пользователям получать права root, поскольку /etc/nsswitch.conf из контролируемого пользователем каталога используется с опцией --chroot, вторая CVE-2025-32462 (CVSS: 2,8) - выполнять команды.
Sudo - это инструмент командной строки, который позволяет пользователям с низкими привилегиями выполнять команды от имени другого пользователя, например, суперпользователя.
Команда настраивается с помощью файла /etc/sudoers, который определяет, кто может запускать те или иные команды, как и какие пользователи, на каких компьютерах, а также может контролировать особые параметры, например, нужен ли вам пароль для определенных команд.
Как отмечают исследователи, CVE-2025-32462 ускользала из внимания более 12 лет.
Ошибка коренится в опции Sudo "-h" (хост), которая позволяет перечислять привилегии sudo пользователя для другого хоста.
Функция была включена в сентябре 2013 года.
Однако обнаруженная ошибка сделала возможным выполнение любой команды, разрешенной удаленным хостом для запуска на локальной машине, а также при запуске команды Sudo с параметром хоста, ссылающимся на несвязанный удаленный хост.
В руководстве проекта Sudo полагают, что это в первую очередь влияет на сайты, которые используют общий файл sudoers, распространяемый на несколько машин. Сайты, которые используют sudoers на основе LDAP (включая SSSD), также подвержены влиянию.
CVE-2025-32463, с другой стороны, использует опцию Sudo "-R" (chroot) для запуска произвольных команд от имени root, даже если они не перечислены в файле sudoers.
Уязвимость относится к категории критически важных.
Конфигурация Sudo по умолчанию уязвима и хотя ошибка связана с функцией Sudo chroot, она не требует определения каких-либо правил Sudo для пользователя.
В результате любой локальный непривилегированный пользователь может потенциально повысить привилегии до root, если установлена уязвимая версия.
Другими словами, уязвимость позволяет злоумышленнику обманом заставить sudo загрузить произвольную общую библиотеку, создав файл конфигурации /etc/nsswitch.conf в указанном пользователем корневом каталоге и запускать вредоносные команды с повышенными привилегиями.
Разработчики отмечают, что опция chroot будет полностью удалена из будущей версии Sudo, при этом поддержка указанного пользователем корневого каталога «подвержена ошибкам».
После ответственного раскрытия 1 апреля 2025 года уязвимости были устранены в версии Sudo 1.9.17p1, выпущенной в конце прошлого месяца.
Рекомендации также были выпущены для различных дистрибутивов Linux:
- CVE-2025-32462: AlmaLinux 8, AlmaLinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE и Ubuntu.
- CVE-2025-32463: Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE и Ubuntu.
Пользователям рекомендуется применить необходимые исправления и убедиться, что дистрибутивы Linux для настольных ПК обновлены до последних пакетов.
Исследователи SentinelOne сообщают о задействовании северокорейскими APT нового штамма вредоносного ПО для macOS под названием NimDoor в кампании, нацеленной на организации, работающие в сфере web3 и криптовалют.
Проанализировав полезную нагрузку, исследователи обнаружили, что хакеры использовали технику внедрения процесса и удаленную связь через wss, зашифрованную с помощью TLS версию протокола WebSocket.
Кроме того, новый механизм сохранения использует обработчики сигналов SIGINT/SIGTERM для сохранения после завершения работы вредоносной программы или перезагрузки системы
Цепочка атак включает в себя связь с жертвами через Telegram для побуждения их к запуску фейкового обновления SDK Zoom, которое доставляется через Calendly и по электронной почте.
Причем аналогичную схему благодаря Huntress недавно связали с BlueNoroff.
Согласно отчету, северокорейцы использовали двоичные файлы, скомпилированные с помощью C++ и Nim (совместно отслеживаемые как NimDoor), на macOS, что «является весьма необычным».
Один из скомпилированных Nim двоичных файлов, installer, отвечает за начальную настройку и подготовку, подготовку каталогов и путей конфигурации.
Он также сбрасывает два других двоичных файла - GoogIe LLC, CoreKitAgent, на систему жертвы.
GoogIe LLC берет на себя сбор данных об окружении и генерирует файл конфигурации в шестнадцатеричном коде, записывая его во временный путь.
Он настраивает macOS LaunchAgent (com.google.update.plist) для сохранения, который повторно запускает GoogIe LLC при входе в систему и сохраняет ключи аутентификации для последующих этапов.
Самым продвинутым компонентом, используемым в атаке, является CoreKitAgent, основная полезная нагрузка фреймворка NimDoor, который работает как управляемый событиями двоичный файл, использующий механизм kqueue macOS для асинхронного управления выполнением.
Он реализует 10-вариантный конечный автомат с жестко запрограммированной таблицей переходов состояний, что обеспечивает гибкий поток управления на основе условий выполнения.
Наиболее отличительной особенностью являются механизмы сохранения на основе сигналов, где он устанавливает специальные обработчики для SIGINT и SIGTERM.
Обычно это сигналы, используемые для завершения процессов, но при обнаружении любого из них CoreKitAgent запускает процедуру переустановки, которая повторно развертывает GoogIe LLC, восстанавливая цепочку сохранения.
Такое поведение гарантирует, что любое инициированное пользователем завершение работы вредоносного ПО приведет к развертыванию основных компонентов, что делает код устойчивым к базовым защитным действиям.
CoreKitAgent декодирует и запускает шестнадцатеричный код AppleScript, который каждые 30 секунд отправляет сигналы на инфраструктуру злоумышленника, извлекает системные данные и выполняет удаленные команды через osascript, обеспечивая легкий бэкдор.
Параллельно с выполнением NimDoor, zoom_sdk_support.scpt запускает вторую цепочку инъекций с участием trojan1_arm64, которая инициирует C2-коммуникации на основе WSS и загружает два скрипта (upl и tlgrm), облегчающие кражу данных.
В случае загрузчика zoom_sdk_support.scpt исследователи заметили, что он включает в себя более 10 000 пустых строк в целях запутывания кода.
Upl извлекает данные из веб-браузеров, захватывает Keychain, bash_history и zsh_history, а затем с помощью curl отправляет их в dataupload[.]store.
Tlgrm фокусируется на краже базы данных Telegram вместе с tempkeyEncrypted, вероятно, используя их для расшифровки сообщений, которыми жертва обменивалась на платформе.
В целом фреймворк NimDoor и остальные бэкдоры, проанализированные SentinelLABS, являются одними из самых сложных семейств вредоносных ПО для macOS, связанных с северокорейскими хакерами.
Cisco предупреждает, что Unified Communications Manager (CUCM) имеет жестко запрограммированные учетные данные root SSH, которые позволяют удаленным злоумышленникам входить в систему устройств без обновлений с правами root.
CUCM, ранее известный как Cisco CallManager, служит центральной системой управления для систем IP-телефонии Cisco, обеспечивая маршрутизацию вызовов, управление устройствами и функциями телефонии.
Уязвимость отслеживается как CVE-2025-20309 и имеет максимально серьезную оценку, в виду наличия статических учетных данных пользователя для учетной записи root, которые предназначались для использования во время разработки и тестирования.
Согласно рекомендациям Cisco, CVE-2025-20309 затрагивает версии Cisco Unified CM и Unified CM SME Engineering Special (ES) с 15.0.1.13010-1 по 15.0.1.13017-1, независимо от конфигурации устройства.
Компания отметила также, что обходных путей, устраняющих уязвимость, нет.
Администраторы могут исправить уязвимость и удалить учетную запись бэкдора, только обновив уязвимые устройства до Cisco Unified CM и Unified CM SME 15SU3 (июль 2025 г.) или применив файл исправления CSCwp27755 (доступный здесь).
После успешной эксплуатации злоумышленники могут получить доступ к уязвимым системам и выполнять произвольные команды с привилегиями root.
Несмотря на отсутствие у Cisco PSIRT данных о существовании доступного PoC-эксплойта или задействовании уязвимости в реальных атаках, компания представила индикаторы, которые помогут идентифицировать затронутые устройства.
Как заявила Cisco, эксплуатация CVE-2025-20309 приведет к записи журнала в /var/log/active/syslog/secure для пользователя с правами root.
Поскольку ведение журнала этого события включено по умолчанию, администраторы могут извлекать журналы для поиска попыток эксплуатации, выполнив следующую команду из командной строки: file get activelog syslog/secure
Исследователь mr.d0x представил подробности новой атаки FileFix, которая позволяет выполнять вредоносные скрипты, обходя защиту Mark of the Web (MoTW) в Windows, полагаясь на особенности обработки браузерами сохраненных веб-страниц HTML.
На прошлой неделе исследователь продемонстрировал, как изначальный метод FileFix работал в качестве альтернативы атакам ClickFix, обманывая пользователей и заставляя их вставлять замаскированную команду PowerShell в адресную строку Проводника.
Атака включает в себя фишинговую страницу, которая путем обмана жертвы заставить скопировать вредоносную команду PowerShell.
Как только она попадает в Проводник, Windows запускает PowerShell, что делает атаку очень тонкой.
С помощью нового варианта атаки FileFix злоумышленник использует социальную инженерию, обманом заставляя пользователя сохранить HTML-страницу (используя Ctrl+S) и переименовать ее в .HTA, что автоматически запускает встроенный JScript через mshta.exe.
HTML-приложения (.HTA) считаются устаревшей технологией. Тем не менее, этот тип файла Windows может использоваться для выполнения HTML и скриптового контента с использованием легитимного mshta.exe в контексте текущего пользователя.
Исследователь обнаружил, что в случае сохранения HTML-файлов как «Веб-страница, полностью» (с типом MIME text/html), тег MoTW не присваивается, что позволяет выполнять скрипты без предупреждений для пользователя.
Когда жертва открывает файл .HTA, встроенный вредоносный скрипт запускается мгновенно, без какого-либо предупреждения.
Наиболее сложной частью атаки является этап социнженерии, когда жертву нужно обманом заставить сохранить веб-страницу и затем ее переименовать.
Одним из способов решения этой проблемы является разработка более эффективной приманки, например вредоносного веб-сайта, предлагающего пользователям сохранять коды MFA для обеспечения последующего доступа к услуге.
На странице пользователю будет предложено нажать Ctrl+S (Сохранить как), выбрать «Веб-страница, Завершить» и сохранить файл как MfaBackupCodes2025.hta.
Безусловно, такой алгоритм требует взаимодействия, однако если пользователь не особо продвинут, а вредоносная веб-страница выглядит достаточно прилично - шанс на успех весьма высок.
В качестве одной из мер защиты от этого варианта атаки FileFix можно рассматривать изъятие mshta.exe из среды (располагается в C:\Windows\System32 и C:\Windows\SysWOW64).
Кроме того, целесообразно активировать видимость расширений файлов в Windows и заблокировать HTML-вложения в электронных письмах.
Вслед за Великобританией и США Scattered Spider, по всей видимости, нацелились на авиотрасль Австралии.
В начале этой недели австралийская авиакомпания Qantas сообщила об обнаружении кибератаки после того, как злоумышленники получили доступ к сторонней платформе с данныами ее клиентов.
Qantas - крупнейшая авиакомпания в Австралии, которая выполняет внутренние и международные рейсы на шести континентах и насчитывающая около 24 000 сотрудников.
Согласно пресс-релизу, авиакомпания заявляет, что атака была локализована, но был украден «значительный» объем данных. Инцидент произошел после того, как злоумышленник нацелился на колл-центр Qantas и получил доступ к сторонней платформе обслуживания клиентов.
Она содержала данные 6 миллионов клиентов с записями об услугах, включая сведения об именах, адресах электронной почты, номерах телефонов, датах рождений и идентификационных номерах часто летающих пассажиров.
Как утверждает Qantas, никакие данные по банковским картам или иные персональные финансовые данные не были раскрыты, как и пароли к аккаунтам часто летающих пассажиров, PIN-коды и данные для входа в систему.
После обнаружения нарушения Qantas уведомила Австралийский центр кибербезопасности, Офис австралийского комиссара по информации и Австралийскую федеральную полицию. Начато официаольное расследование.
Учитывая недавние предупреждения о таргетировании Scattered Spider на авиаперевозчиков и логистический сектор, атака на Qantas, по всей видимости, - проделки той же группы, что также подтверждают ряд источников в отрасли.
Исследователи OX Security выкатили отчет с результатами исследования интегрированных сред разработки (IDE), Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA и Cursor, который позволил выявить ряд серьезных проблем в процессах проверки расширений, приводящих к RCE.
Некорректные проверки верификации в Visual Studio Code позволяют издателям добавлять функциональность к расширениям, сохраняя при этом значок проверки, а это приводит к тому, что вредоносные расширения могут выглядеть проверенными и одобренными.
В частности, анализ показал, что Visual Studio Code отправляет HTTP-запрос POST на домен «marketplace.visualstudio[.]com», чтобы определить, проверено ли расширение или нет.
Метод эксплуатации по сути заключается в создании вредоносного расширения с теми же проверяемыми значениями, что и уже проверенное расширение, например, Microsoft, и обходе проверок доверия.
В результате это позволяет мошенническим расширениям выглядеть проверенными для ничего не подозревающих разработчиков, хотя они также содержат код, способный выполнять команды ОС.
С точки зрения безопасности это классический случай злоупотребления сторонними загрузками расширений, когда злоумышленники распространяют плагины за пределами официальной среды.
Без надлежащего обеспечения подписи кода или проверки доверенного издателя даже легитимные на вид расширения могут скрывать опасные скрипты.
Для злоумышленников это открывает простую точку входа для удаленного выполнения кода, что особенно критично в средах разработки, где часто доступны конфиденциальные учетные данные и исходный код.
Определяя значения, используемые в запросах на проверку и изменяя их, исследователям удалось подтвердить возможность создания файла пакета VSIX таким образом, чтобы вредоносное расширение выглядело как легитимное.
Кроме того, исследователи OX Security также смогли воспроизвести уязвимость в других IDE, таких как IntelliJ IDEA и Cursor, изменив значения, используемые для проверки, не теряя при этом их проверенный статус.
В ответ на отчет Microsoft заявила, что такое поведение является намеренным, а изменения не позволят опубликовать расширение VSIX в Marketplace из-за проверки подписи расширения, которая по умолчанию включена на всех платформах.
Тем не менее, уязвимость можно эксплуатировать, что было доказано OX Security уже позже раскрытия, 29 июня 2025 года.
Так что возможность внедрять вредоносный код в расширения, упаковывать их в VSIX/ZIP и устанавливать, сохраняя проверенные символы на нескольких основных платформах разработки, представляет все же несет в себе серьезные риски.
Исследователи Huntress предупреждают начале масштабной эксплуатации недавно обнаруженной критической уязвимости, затрагивающей FTP-сервер Wing.
Уязвимость отслеживается как CVE-2025-47812 и получила максимальную оценку CVSS: 10,0.
Ошибка связана с некорректной обработкой нулевых байтов ('\0') в веб-интерфейсе сервера, что реализует RCE. Устранена в версии 7.4.4.
Веб-интерфейсы пользователя и администратора неправильно обрабатывают байты '\0', что в конечном итоге позволяет внедрять произвольный код Lua в файлы сеансов пользователя, что может привести к выполнению произвольных системных команд с привилегиями FTP-сервиса (по умолчанию root или SYSTEM).
Ещё более тревожным является тот факт, что уязвимость можно эксплуатировать через анонимные FTP-аккаунты.
Подробный технический анализ уязвимости был опубликован в конце июня 2025 года исследователем RCE Security Джулиену Аренсу.
В свою очередь, исследователи Huntress обнаружили, что злоумышленники задействуют уязвимость для загрузки и выполнения вредоносных файлов Lua, проведения разведки и установки ПО для удаленного мониторинга и управления.
Поскольку CVE-2025-47812 связана с обработкой нулевых байтов в параметре имени пользователя (в частности, в loginok.html, отвечающим за аутентификацию), это позволяет удалённым злоумышленникам выполнить Lua-инъекцию после использования нулевого байта в параметре имени пользователя.
Воспользовавшись внедрением нулевого байта, злоумышленник нарушает ожидаемый ввод в файле Lua, в котором хранятся эти характеристики сеанса.
Артефакты активной эксплуатации были впервые обнаружены у одного из клиентов 1 июля 2025 года, всего через день после раскрытия подробностей об эксплойте.
Получив доступ, злоумышленники выполнили команды сканирования и разведки, создали новых пользователей для обеспечения персистентности и загрузили файлы Lua для установки ScreenConnect.
Атаку удалось оперативно вскрыть и нейтрализовать, избежав её дальнейшего развития.
Кто стоит за этой активностью пока неясно.
По данным Censys, в сети присутствует почти 8103 общедоступных устройств, использующих Wing FTP Server, из которых 5004 имеют открытый веб-интерфейс.
Большинство устройств расположены в США, Китае, Германии, Великобритании и Индии.
В связи с активной эксплуатацией уязвимости пользователям необходимо как можно скорее установить последние исправления и обновить свои FTP-серверы Wing до версии 7.4.4 или более поздней.
Пройдя успешную обкатку, схема легализации разведданых по типу TopSec и iSoon превращается в конвейер.
Подкатила очередная порция сливов про «всемогущую империю китайского кибершпионажа», по всей видимости, инициированная теми исполнителями при погонах.
На этот раз через DarkForums были легализованы две партии различных материалов, анализ которых приводят представители SpyCloud.
Первая партия посвящалась компании VenusTech, которая является крупным китайским поставщиком решений для информационной безопасности, ориентированным на госсектор.
Вторая якобы разоблачает ряд компаний, стоящих за атаками APT Salt Typhoon, и их государственных заказчиках.
Примечательно, что оба поста были опубликованы через вновь зарегистрированные аккаунты, которые, по-видимому, именно для этого и предназначались.
Формат и подача материалов реализованы так, чтобы четко был понятен источник их происхождения - объект 1 и объект 2.
Судя по результатам анализа материалов, на этот раз разведка отработала не так четко: представленные образцы, связанные с этими утечками, оказались далеко не так глубоки и обширны, как это было в случае с iSoon или TopSec.
Впрочем, для дальнейшей уже официальной копипасты в отчеты и расследования достаточно.
Microsoft анонсировала июльский PatchTuesday, который включает обновления безопасности для 137 уязвимостей, включая одну публично раскрытую 0-day.
В общей сложности исправлено 14 критических уязвимостей, 10 из которых представляют собой RCE-уязвимости, 1 - уязвимость раскрытия информации и 2 - атак по сторонним каналам AMD.
Общее распределение по категориям представлено следующим образом: 53 - уязвимости EoP, 8 - обхода функций безопасности, 41 - RCE, 18 - раскрытия информации, 6 - DoS, 4 - спуфинга.
В их число не вошли 4 проблемы Mariner и 3 проблемы в Microsoft Edge.
Публично раскрытая 0-day затрагивает Microsoft SQL Server и отслеживается как CVE-2025-49719. Она связана с раскрытием информации и позволяет удаленному неаутентифицированному злоумышленнику получить доступ к данным из неинициализированной памяти.
Неправильная проверка входных данных в SQL Server позволяет неавторизованному злоумышленнику раскрыть информацию по сети.
Администраторы могут устранить эту уязвимость, установив последнюю версию Microsoft SQL Server и драйвер Microsoft OLE DB 18 или 19.
Microsoft приписывает обнаружение этой уязвимости Владимиру Алексичу и не приводит подробностей ее раскрытия.
Microsoft также исправила многочисленные критические RCE-уязвимости в Microsoft Office, которые можно было использовать, просто открыв специально созданный документ или просматривая его через панель предварительного просмотра.
При этом, как отмечает Microsoft, обновления безопасности для устранения этих уязвимостей пока недоступны для Microsoft Office LTSC для Mac 2021 и 2024, но будут выпущены в ближайшее время.
Компания также исправила еще одну критическую RCE-уязвимость в Microsoft SharePoint, идентифицированную как VE-2025-49704, которую можно эксплуатировать удаленно, если у пользователя есть учетная запись на платформе.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
На прошлой неделе в Милане (Италия) был арестован гражданин Китая, которого местные спецслужбы подозревают в связях с APT Silk Typhoon, ответственной за кибератаки на американские организации и правительственные учреждения.
По данным итальянского издания ANSA, 33-летний Сюй Цзэвэй был арестован в миланском аэропорту Мальпенса 3 июля после прибытия рейсом из Китая.
Итальянская полиция действовала согласно международному ордеру, выданному правительством США.
ANSA поясняет, что Сюй выдвинули обвинения в связях с китайской Silk Typhoon, также известной как Hafnium, которая причастна к широкому спектру кибератак против США и других стран в целях кибершпионажа.
В частности, итальянские СМИ освещают связь Сюй с кибератаками Silk Typhoon 2020 года, жертвами которых стали исследователи в области инфекционных заболеваний и из числа организации здравоохранения, а главной целью - кража данных о вакцинах для COVID.
Тогда ФБР и CISA США выпустили совместное консультативное заключение по этому поводу, предупреждая об угрозах исследованиям, связанным с COVID-19.
Хакерская группа также была связана с более поздними кампаниями по кибершпионажу, в том числе в отношении Управления по контролю за иностранными активами (OFAC) Министерства финансов США и Комитета по иностранным инвестициям.
В марте Microsoft сообщала об атаках Silk Typhoon на цепочки поставок с помощью инструментов удаленного управления и облачных сервисов, получая таким образом доступ к сетям нижестоящих клиентов.
Возвращаясь к Сюй Цзэвэй, его поместили в тюрьмю Бусто-Арсицио в рамках начала иницииации процедуры экстрадиции в США, где он должен будет предстать перед судом после всестороннего уголовного расследования.
Будем следить.
🤔📂 По данным DarkEye, якобы полностью рабочий эксплойт 0-day RCE для последней и более ранних версий WinRAR предлагается на продажу за $80 000 на одном из 🎩околохакерских форумов.
🔍 Компания DarkEye обнаружила несколько случаев утечки данных, связанных с WinRAR (http://win-rar.com).
Исследователи Elastic Security Labs выкатили отчет, в котором отметили задействование инструмента пентестеров Shellter Elite v11.0 в кампаниях по распространению инфостилеров, включая Rhadamanthys, Lumma и Arechclient2.
Shellter Elite - это коммерческий загрузчик, используемый пентестерами для скрытного развертывания полезных нагрузок в легитимных двоичных файлах Windows и уклонения от инструментов EDR.
Разработчик инструмента, компания Shellter Project, подтвердил использование Shellter Elite для проведения реальных атак, полагая, что один из клиентов слил копию программного обеспечения.
Поставщик подчеркнул, что это первый известный случай неправомерного использования с момента введения строгой модели лицензирования в феврале 2023 года.
В свою очередь, исследователи Elastic выяснили, что активность началась как минимум с апреля, а метод распространения - через комментарии на YouTube и фишинговые письма.
На основании уникальных временных меток лицензий исследователи предположили, что злоумышленники использовали одну единственную утекшую копию, что впоследствии также официально подтвердила Shellter.
Elastic разработала средства обнаружения для образцов на основе версии 11.0, поэтому полезные нагрузки, созданные с помощью этой версии Shellter Elite, теперь можно обнаружить.
Для решения этой проблемы Shellter выпустила версию Elite 11.1, которую будет распространена исключительно среди проверенных клиентов.
Все бы ничего в этой истории, однако вместо открытых коммуникаций, исследователи до последнего не сообщали Shellter о выявленных злоупотреблениях, которые продолжались в течение нескольких месяцев.
Сам поставщик назвал отсутствие диалога со стороны Elastic Security Labs «безрассудным и непрофессиональным».
Как отметили в Shellter, вместо сотрудничества для смягчения угрозы, в Elastic Security Labs «решили скрывать информацию, отдав приоритет неожиданному разоблачению и публичности над общественной безопасностью».
По всей видимости, в реальности исследователи Elastic Security Labs как раз и преследовали именно эти интересы, и только после индентификации реального нарушителя вне контура разработчика - предоставили Shellter необходимые артефакты.
Последняя тем не менее извинилась перед клиентами и настоятельно заверила, что не сотрудничает с киберподпольем. Но, как говорится, дыма без огня не бывает.
Стремительно развивается расследование киберинцидента с ограблением бразильских банков на сумму в более 540 миллионов бразильских реалов (около 100 млн. долл.), о котором мы сообщали на прошлой неделе.
Атака затронула широко используемую в Бразилии систему мгновенных платежей, известную как PIX, которой пользуются 76,4% населения.
Она была реализована через C&M Software, компанию-разработчика ПО, обеспечивающего взаимодействие с Центробанком по части проведения транзакций PIX через финансовые учреждения.
Как отмечает в полиции Сан-Паулу, названные убытки в размере 100 мон. долл. относятся лишь к одному пострадавшему банку из числа клиентов C&M, а общие убытки могут быть еще выше.
По результатам проведенных мероприятий полицейским удалось выйти на 48-летнего программиста Жуан Назарено Роке, сотрудника C&M, который, предположительно, помог хакерам получить несанкционированный доступ к системам PIX.
По данным полиции, Роке продал доступ к своим рабочим аккаунтам за 900 долл., и затем получил еще 1800 долларов, выполнив запуск вредоносных команд в сети компании.
Хакерам удалось завербовать сотрудника C&M в баре в начале этого года, общение велось и координация осуществлялась по телефону и через Notion.
Хакеры получили таким образом доступ к резервным счетам финансовых учреждений для инициирования множества подставных переводов PIX через интеграционный шлюз C&M, подключённый к национальной инфраструктуре мгновенных расчётов.
Всю активную часть делюги хакеры провернули буквально за одну ночь и конвертировали средства в BTC, ETH и USDT через местные внебиржевые платформы.
Таким образом хакерам удалось выпотрошить шесть банков и похитить по разным оценкам около 185 млн. долл. При этом на средства клиентов банковских учреждений хакеры не посягались.
Полиция пытается идентифицировать других членов группы и полагает, что в кибератаке участвовало по меньшей мере еще четыре человека.
Отследив платежи, силовики совместно с Центробанком Бразилии сумели заморозить преступные транзакции на сумму в 270 млн. реалов (около 50 млн. долл.).
В общей сложности, хакеры смогли отмыть через крипту от 30 до 40 млн. долл. из общей суммы хищения.
На фоне выхода Call of Duty WWII в Game Pass для ПК разгорелся серьезный скандал, связанный с массовыми жалобами со стороны геймеров, которые столкнулись с RCE-атаками на свои системы.
Как сообщает Insider Gaming, злоумышленники, используя уязвимости многопользовательского режима, получают прямой контролья над системами жертв и выполняют произвольные команды на компьютерах пользователей во время игры и стриминга.
Десятки игроков сообщали о появлении на загадочных файлов, всплывающих окнах с выводом контента 18+, перезагрузках ПК и прочих девиациях прямо в ходе игры.
Дело в том, что задействованная в игре устаревшая P2P-архитектура (в отличие от современных игр с выделенными серверами) открывает доступ к IP адресам игроков, создавая предпосылки для подобных атак.
Узнав IP-адрес жертвы, злоумышленник может отправлять ей напрямую специально сформированные сетевые пакеты, мимикрирующие под легитимные игровые данные, но с вложением вредоносной нагрузки.
Так что речи о взломе серверов Activision не идет, хакеры реализуют атаки на клиентскую часть игры, что обусловлено проблемами в реализации механизмов для проверки и фильтрации таких данных.
В свою очередь, Activision отчиталась проведением плановых работ, но официально не подтвердила эксплуатацию RCE-уязвимости.
Впрочем, удивляться не стоит, ведь многие из ее прошлых Call of Duty уже сталкивались с подобными проблемами.
Виртуозную аферу провернули хакеры в Бразилии, сумев через подрядчика взломать и опустошить сразу шесть банков.
Как сообщает Reuters, Центральный банк Бразилии выступил в среду с заявлением, подтверждая инцидент, связанный с компрометацией C&M Software, обслуживающей почти два десятка финансовых учреждений страны, не имеющих собственной транзакционной инфраструктуры.
Подробностей относительно случившегося не разглашают, но всем клиентам C&M было приказано закрыть доступ к управляемой ей инфраструктуре.
В свою очередь, коммерческий директор C&M Software Камаль Зогейб заявил, что компания стала жертвой кибератаки, которая привела к злоупотреблениям учетными данными клиентов в целях доступа к их системам и услугам.
Проникнув в систему C&M, преступник получил доступ к нескольким счетам, включая - самое важное - счет BMP, поставщика банковских услуг, работающего с 1999 года.
При этом в C&M заявляют, что все критические системы остаются полностью работоспособными, инициировано расследование совместно со специалистами Центробанка и полицией штата Сан-Паулу.
По одним данным, убытки оцениваются в 185 миллионов долларов, а ряд источников сообщают, что клиенты не понесли никаких убытков.
Тем не менее Бразильский финансовый институт BMP реализует активную поддержку пострадавшим учреждениям. Клиенты BMP не понесут никаких потерь, поскольку учреждение внесло залог для покрытия украденной суммы.
Насколько критичен инцидент можно судить по прошлогодней валовой выручке BMP, которая составила 804 млн реалов, а чистая прибыль - 231 млн реалов (43 млн. долл.).
Банда вымогателей Hunters International официально объявила о закрытии своей RaaS и анонсировала публикацию бесплатных дешифраторов, которыми могут воспользоваться жертвы для восстановления своих данных без необходимости выплаты выкупа.
Как отмечают участники, решение было принято «в свете последних событий» и нелегко. Тем не менее Hunters International удалили все записи с портала DLS, предоставив жертвам возможность размещения запроса на получение дешифраторов и руководства по восстановлению.
Несмотря на отсылку в своем заявлении на «последние события» в качестве причины своего ухода, их суть так и не раскрывается, но речь по всей видимости идет про усиленное внимание со стороны спецслужб на фоне снижения рентабельности бизнеса.
Исследователи Group-IB в апреле также сообщали, что Hunters International проводит ребрендинг, планируя сосредоточиться исключительно на краже данных и вымогательстве в рамках новой операции, известной как World Leaks.
В отличие от схемы Hunters International с шифрованием и вымогательством, World Leaks действует исключительно в формате вымогательства, задействуя специально разработанный инструмент для эксфильтрации Storage Software.
Hunters International впервые появилась в конце 2023 года и выступала, по мнению исследователей, в качестве потенциального ребрендинга Hive, на что указывало сходство кода.
Вредоносное ПО группы вымогателей нацелено на широкий спектр платформ, включая Windows, Linux, FreeBSD, SunOS и ESXi (серверы VMware), а также поддерживает архитектуры x64, x86 и ARM.
За последние два года хакеры Hunters International атаковали компании различного калибра, требуя выкуп в размере от сотен тысяч до миллионов долларов в зависимости от финансовых показателей жертвы.
За время работы банда взяла на себя ответственность за почти 300 атак по всему миру, что делает ее одной из самых активных RaaS в последние годы.
Среди наиболее известных жертв Hunters International значится Служба маршалов США, японский гигант по производству оптики Hoya, Tata Technologies, AutoCanada, подрядчик ВМС США Austal USA и Integris Health, а также крупнейшая сеть здравоохранения Оклахомы.
В декабре 2024 года банда также взломала онкологический центр Фреда Хатча, угрожая раскрыть украденные данные более 800 000 онкологических больных.
Citrix продолжает бороться с чередой критических уязвимостей, навалившихся на NetScaler, но победить никак не может, страдают, как всегда, клиенты.
Разработанное исправление для недавно обнаруженных уязвимостей приводит к сбоям в работе авторизации на устройствах NetScaler ADC и Gateway.
Дело в том, что начиная с NetScaler 14.1.47.46 и 13.1.59.19 заголовок Content Security Policy (CSP), который снижает риски, связанные с XSS, внедрением кода и другими атаками на стороне клиента, включен по умолчанию.
Политика хоть и предназначена для блокировки выполнения несанкционированных скриптов и внешнего контента в браузере, она также непреднамеренно ограничивает легитимные скрипты или ресурсы, загружаемые конфигурацией DUO на основе аутентификации Radius, интеграций, пользовательских настроек SAML или других конфигураций IDP, не соответствующих строгим правилам CSP.
Как поясняет Citrix, после обновления NetScaler до сборки 14.1 47.46 или 13.1 59.19 клиенты могут заметить проблему, связанная с аутентификацией.
Она может проявляться в виде «сломанной» страницы входа, особенно при использовании методов аутентификации, таких как конфигурации DUO на основе аутентификации Radius, SAML или любого поставщика удостоверений (IDP), который полагается на пользовательские скрипты.
Такое поведение может быть связано с тем, что заголовок Content Security Policy (CSP) включен по умолчанию в этой сборке NetScaler, особенно если CSP не был включен до обновления.
Первая из двух уязвимостей безопасности (CVE-2025-5777 и названная Citrix Bleed 2) позволяет злоумышленникам обходить аутентификацию путем перехвата сеансов пользователей, тогда как вторая (CVE-2025-6543) в настоящее время активно эксплуатируется в DoS-атаках.
Для временного решения Citrix рекомендует администраторам отключить заголовок CSP по умолчанию на затронутых устройствах NetScaler (через пользовательский интерфейс или командную строку) и очистить кэш.
После отключения заголовка CSP администраторам также рекомендуется получить доступ к порталу аутентификации NetScaler Gateway, чтобы проверить, решена ли проблема.
В завершение трудового дня пробежимся по наиболее актуальным и серьезным уязвимостям, в числе которых отмечаем следующие:
1. CyberArk опубликовала подробности атаки, которая позволяет расшифровывать файлы cookie, зашифрованные с помощью нового алгоритма шифрования AppBound от Chromium, используемого браузерами для защиты файлов cookie от кражи.
2. XBOW представила технический анализ уязвимости XXE, обнаруженной в инструменте нагрузочного тестирования Akamai CloudTest.
3. Searchlight Cyber обнаружила и раскрыла XSS-уязвимость в Adobe Experience Manager CMS.
4. RCE Security расчехлила серьезные уязвимости в сервере Wind FTP.
Злоумышленники могут обойти аутентификацию на веб-интерфейсе сервера, просто добавив байт NULL к имени пользователя, за которым следует любая случайная строка.
Проблема может быть использована для получения прав root на сервере FTP и запуска вредоносного кода. Wind исправила только две из трех выявленных проблем.
5. Разработчики CentOS Web Panel устранили CVE-2025-48703, которая позволяла злоумышленникам захватывать серверы веб-хостинга, зная хотя бы одно имя пользователя на панели.
Атака обходит аутентификацию, а PoC доступен в киберподполье.
6. Исследователи Modzero обнаружили утечку учетных данных (CVE-2025-4679), которая открывала любому пользователю несанкционированный доступ ко всем клиентам Microsoft организаций, использующих Active Backup for Microsoft 365 (ABM) от Synology.
7. Pathlock выкатила отчет о двух ошибках, обнаруженных в функции истории ввода SAP Graphical User Interface (SAP GUI) (CVE-2025-0056 и CVE-2025-0055).
⚙️ Black Hat Tools.
• Держите очень крутой репозиторий, где собрали все инструменты, которые когда-либо были представлены на конференциях Black Hat.
• Инструменты аккуратно структурированы по странам, где проходила конференция, по годам и категориям:
➡Red Teaming;
➡Blue Teaming;
➡OSINT & Recon;
➡Exploit Development;
➡Malware Analysis;
➡DFIR & Forensics;
➡Threat Intelligence;
➡ICS/IoT/SCADA;
➡Application Security (AppSec).
➡️ https://github.com/UCYBERS/Awesome-Blackhat-Tools
• Не забывайте, что все презентации с выступлений, начиная с 2023 года, собраны вот тут:
➡️ https://github.com/onhexgroup/Conferences
S.E. ▪️ infosec.work ▪️ VT
Уязвимость плагина Forminator WordPress позволяет злоумышленникам удалять произвольные файлы и получить контроль потенциально над более чем 400 000 уязвимых веб-сайтами.
Forminator - популярный плагин для создания форм, имеющий более 600 000 активных установок. Он поддерживает различные типы форм, включая контактные и платежные, опросы и многое другое.
Упоминаемая CVE-2025-6463 (оценка CVSS 8,8) представляет собой ошибку произвольного удаления файлов, существующую из-за того, что пути к файлам недостаточно проверяются в функции, используемой для удаления загруженных файлов отправки формы.
Исследователь, обнаруживший ошибку и сообщивший о ней через Wordfence Bug Bounty Program, получил вознаграждение в размере 8100 долларов США.
По данным Defiant, функция, которую Forminator использует для сохранения полей ввода форм в базу данных, не выполняет надлежащую очистку значений в поле, что позволяет злоумышленникам отправлять массивы файлов в поля формы.
Кроме того, функция, отвечающая за удаление файлов, отправленных через форму, при удалении формы не выполняет необходимые проверки типа поля, расширения файла и ограничений каталога загрузки.
Уязвимость может быть использована неавторизованными злоумышленниками для указания произвольных файлов на сервере, которые будут удалены при удалении формы, вручную или автоматически, в зависимости от настроек установки.
Как отмечают в Defiant, злоумышленники могут указать файл wp-config.php для удаления, в результате чего сайт перейдет в состояние настройки, что позволит злоумышленнику получить контроль над ним.
Несмотря на то, что для эксплуатации уязвимости требуется этап пассивного или активного взаимодействия, исследователи полагают, что удаление отправленной формы является весьма вероятной ситуацией, что делает эту уязвимость весьма привлекательной для злоумышленников.
CVE-2025-6463 была устранена в версии Forminator 1.44.3 с добавлением проверки пути к файлу в функцию удаления, которая теперь удаляет только файлы, загруженные через поля формы, имеющие метку «загрузка» или «подпись» и помещенные в каталог загрузок WordPress.
Исправленная версия плагина была выпущена 30 июня.
При этом телеметрия WordPress показывают, что за последние два дня ее загрузили менее 200 000 раз, что говорит о том, что уязвимыми остаются более 400 000 сайтов.
Учитывая риск, который представляет CVE-2025-6463, пользователям рекомендуется как можно скорее обновить свои установки Forminator до последней версии.
CISA предупреждает о критических уязвимостях обхода аутентификации и удаленного выполнения, влияющих на NMP Web+ немецкой компании Microsens, которые могут быть использованы хакерами для проведения удаленных атак на организации.
Microsens реализует широкий спектр решений для автоматизации промышленных предприятий, включая коммутаторы, преобразователи, контроллеры и трансиверы.
Упоминаемый NMP Web+ обеспечивает пользователям управление, контроль и настройку промышленных коммутаторов и другого сетевого оборудования Microsens.
Критические уязвимости могут быть использованы неаутентифицированным злоумышленником для создания поддельных JSON Web Tokens и обхода аутентификации (CVE-2025-49151), а также для перезаписи файлов и выполнения произвольного кода (CVE-2025-49153).
Проблема высокой степени серьезности связана с тем, что JSON Web Tokens не имеют срока действия. Обнаружение приписывается исследователям из команды Team82 компании Claroty, которые полагают, что злоумышленник может объединить эти уязвимости в цепочку.
Одну уязвимость можно использовать для получения действительного токена аутентификации, который обеспечивает доступ к целевой системе, в то время как вторая ошибка позволяет перезаписывать критически важные файлы на сервере.
Обе уязвимости в совокупности позволяют злоумышленнику и получить полный контроль над системой на уровне ОС без необходимости иметь какие-либо предварительные учетные данные для доступа к серверу.
Исследователи Claroty отмечают, что для эксплуатации уязвимостей злоумышленнику необходим доступ к веб-серверу, связанному с целевым экземпляром Microsens NMP Web+.
При этом таковые, согласно результатам сканирования, имеются.
CISA не располагает данными о задействовании уязвимостей в реальных атаках.
Однако с учетом широкого распространения Microsens NMP Web+ по всему миру, в том числе в критически важном производственном секторе, следует накатить обновления (версия 3.3.0 для Windows и Linux).