39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Продолжаем отслеживать трендовые уязвимости:
1. Исследователь безопасности Чжовэй Чжан опубликовал PoC для CVE-2024-53104, уязвимости нулевого дня, используемой Cellebrite для разблокировки устройств Android.
Google исправила уязвимость в феврале, а Amnesty International утверждает, что 0-day использовалась сербскими правоохранителями для разблокировки телефонов оппозиции и журналистов.
2. Microsoft выделила более 1,6 млн долларов в качестве призов во время своего первого в истории хакерского конкурса Zero Day Quest.
Исследователи представили более 600 уязвимостей в облачных и ИИ-сервисах Microsoft.
Компания отмечает, что мероприятие Zero Day Quest прошло успешно, и планирует проводить его ежегодно.
3. Varonis разработала PoC-инструмент под названием Cookie-Bite, который использует мошенническое расширение браузера для кражи файлов cookie для Azure Entra и доступа к облачным ресурсам с помощью атаки с перехватом сеанса.
4. WinZIP выкатила исправление для нового обхода Mark-of-the-Web (CVE-2025-33028).
По-видимому, это патч для неполного исправления прошлогоднего обхода MotW (CVE-2024-8811).
5. Tenable обнаружила EoP-уязвимость в Google Cloud Platform (GCP).
Проблема, которую Tenable назвала ConfusedComposer, уже исправлена.
6. Исследователь sharon.brizinov/how-i-made-64k-from-deleted-files-a-bug-bounty-story-c5bd3a6f5f9b">Шарон Бризинов рассказал, как ему удалось заработать более 64 000 долл. в качестве вознаграждения за обнаружение ошибок, охотясь за секретами и токенами в ранее удаленных файлах GitHub.
Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.
На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.
Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.
Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.
Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.
Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.
Среди основных возможностей панели:
- генерация новых имплантов;
- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;
- передача команд развернутым имплантам;
- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;
- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;
- система сущностей с многоуровневой абстракцией;
- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;
- возможность создания заметок для целей и связанных с ними хостов.
Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.
Все подробности - в отчете.
🐺 От Buhtrap до Watch Wolf.
• На фоне кампаний крупных киберпреступных кластеров, приводящих, например, к масштабным утечкам и шифрованию всех данных в инфраструктуре, часто не видны действия небольших группировок. Про них практически ничего неслышно в инфополе, но их деятельность наносит большой ущерб бизнесу на территории РФ.
• Эксперты BI.ZONE вчера опубликовали новое исследование, где рассказали про одну из самых заметных хакерских группировок, которая прошла путь от небольшого объединения до целого кластера активности.
• Группировка Buhtrap с первых лет активности постоянно дробилась на более мелкие части, исходные коды инструментов утекали, а панели управления выставляли на продажу. С 2014 года под Buhtrap понимались различные группировки, которых объединяли инструменты, способы проведения атак и общая цель — кража денег. К 2023 году Buhtrap переросла в целый кластер активности, которая в конечном итоге получила название Watch Wolf.
• Данное исследование содержит подробное описание жизненного цикла атак, известные кампании, используемые инструменты и методы, которые применялись в ходе атак на малый и средний бизнес в России.
➡ Скачать можно отсюда: https://bi.zone/upload/Buhtrap
S.E. ▪️ infosec.work ▪️ VT
Исследователи Symantec в новом отчете сообщают о новой кампании китайской APT Lotus Panda, нацеленной на ряд компаний в неназванной стране Юго-Восточной Азии в период с августа 2024 года по февраль 2025 года.
Целями атак стали: министерство, организация управления воздушным движением, оператор связи и строительная компания.
Атаки включали использование новых специальных инструментов, включая загрузчики, стилеры и SSH-утилита.
Кроме того, одной из целей атаки выступало информационное агентство, расположенное в другой стране Юго-Восточной Азии, и организация, занимающаяся авиаперевозками, расположенная в другом соседнем государстве.
По оценкам ИБ-подразделения Broadcom, кластер угроз является продолжением кампании, о которой исследователи сообщали еще в декабре 2024 года как о широкомасштабном кластере атак в Юго-Восточной Азии, проводившихся по крайней мере с октября 2023 года.
В свою очередь, в прошлом месяце Cisco Talos связала Lotus Panda с атаками, нацеленными на правительственный, производственный, телекоммуникационный и медийный секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване, с помощью бэкдора, известного как Sagerunex.
Сама Lotus Panda (Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip) имеет богатый опыт организации кибератак в отношении правительственных и военных организаций в этом регионе.
Группа действует с 2009 года, но впервые оказалась в центре внимания в июне 2015 года, когда Palo Alto приписала ей кампанию целевого фишинга с использованием уязвимости Microsoft Office (CVE-2012-0158) для распространения бэкдора Elise (Trensil), предназначенного для выполнения команд и операций с файлами.
В последующих атаках APT задействовала уязвимость Microsoft Windows OLE (CVE-2014-6332) с помощью вредоносного вложения в фишинговом письме, нацеливаясь на сотрудников МИД Франции на Тайване, для развертывания еще одного трояна, связанного с Elise, с условным названием Emissary.
В последней волне атак, наблюдаемых Symantec, злоумышленники использовали легитимные исполняемые файлы Trend Micro (tmdbglog.exe) и Bitdefender (bds.exe) для загрузки вредоносных DLL, которые использовались в качестве загрузчиков для расшифровки и запуска полезной нагрузки следующего этапа, встроенной в локально сохраненный файл.
Двоичный файл Bitdefender также использовался для загрузки другой DLL, хотя точная природа файла неясна.
Другим неизвестным аспектом кампании является начальный вектор доступа.
Атаки проложили путь обновленной версии Sagerunex, инструмента, используемого исключительно Lotus Panda.
Он обладает возможностями сбора информации о целевом хосте, ее шифрования и передачи на внешний сервер злоумышленника.
В атаках также задействованы инструмент обратного SSH и два стилера ChromeKatz и CredentialKatz, которые способны перехватывать пароли и файлы cookie, хранящиеся в браузере Google Chrome.
Злоумышленники также разворачивали общедоступный инструмент Zrok, используя функцию совместного использования инструмента для предоставления удаленного доступа к службам, которые были раскрыты внутри.
Помимо этого в атаках применял и другой легитимный инструмент под названием datechanger.exe, который способен изменять временные метки файлов, предположительно, чтобы запутать аналитиков при расследовании инцидента.
Обновленные индикаторы компрометации - в отчете.
Прошло не так много времени с момента раскрытия, а критическая ошибка Erlang/OTP SSH RCE уже обзавелась общедоступными эксплойтами.
Упоминаемая проблема отслеживается как CVE-2025-32433 и позволяет неавторизованным злоумышленникам удаленно выполнять код на уязвимых устройствах.
Исследователи из Рурского университета в Бохуме (Германия) в среду раскрыли ее, предупреждая, что все устройства, на которых запущен этот демон, уязвимы.
Как отмечает OpenWall, проблема вызвана ошибкой в обработке сообщений протокола SSH, которая позволяет злоумышленнику отправлять сообщения протокола соединения до аутентификации.
Она была исправлена в версиях 25.3.2.10 и 26.2.4, но поскольку платформа широко используется в телекоммуникационной инфраструктуре, базах данных и системах высокой доступности, немедленное обновление устройств может оказаться непростой задачей.
Однако ситуация стала еще более серьезной, поскольку исследователи в частном порядке навали массово разрабатывать эксплойты, реализующие удаленное выполнение кода на уязвимых устройствах.
Среди них - Питер Гирнус из Zero Day Initiative и представители Horizon3, которые заявили, что уязвимость оказалась на удивление легко эксплуатируемой.
Вскоре после этого ProDefense опубликовала PoC на GitHub, затем еще один эксплойт был анонимно размещен на Pastebin, и оба быстро распространились через соцсети.
Так что теперь, когда эксплойты пошли в массы, злоумышленники достаточно быстро начнут сканировать уязвимые системы и эксплуатировать их.
Согласно данным Shodan, обнаружено более 600 000 IP-адресов, работающих под управлением Erlang/OTP.
Однако исследователи полагают, что большинство этих устройств работают под управлением CouchDB, который не подвержен уязвимости.
Представитель Apache CouchDB также подтверждает, что в CouchDB не используются функции SSH-сервера или клиента из Erlang/OTP, поэтому опасений по поводу CVE-2025-32433 нет.
Тем не менее, это не приуменьшает значимости угрозы и потенциально объемного числа атак. Будем следить.
Китайская APT-группа совершила ошибку, некорректно настроив на непродолжительное время один из серверов, а в Hunt Intelligence смогли оперативно ей воспользоваться и поглядеть на раскрытый таким образом инструментарии, задействованный в ее атаках.
Исследователи полагают, что сервер, вероятно, управлялся APT, отслеживаемой как RedGolf (которая пересекается с APT41), и был связан с вредоносным ПО KeyPlug.
Работавший менее суток сервер привел к утечке, предположительно, включающей скрипты эксплойтов для брандмауэров и VPN Fortinet, веб-оболочек PHP и скриптов сетевой разведки, нацеленных на крупную японскую компанию.
Как отмечают исследователи, помимо представления об инструментарии, найденные артефакты запечатлели логику работу группы: сканирование, фильтрацию, подготовку и постановку задач, все это отобразилось через рабочие скрипты.
В общем, достаточно редкая возможность увидеть, как APT-шники готовят доступ и задействуют инфраструктуру для проведения «тихой работы» в отрезке между первоначальным входом и реализацией долгосрочных целей.
Подробный разбор - в отчете.
Исследователи из Лаборатории Касперского сообщают об атаках китайской IronHusky на российские и монгольские правительственные учреждения с использованием обновленного RAT MysterySnail.
Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.
Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.
По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.
В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.
Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.
Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.
Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.
В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).
При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.
Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.
Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.
Исследователи Positive Technologies сообщают о новой волне атак APT Cloud Atlas, нацеленных на российские компании в сфере военно-промышленного комплекса.
Выявить их удалось в рамках расследования инцидента на одном из таких предприятий, что позволило своевременно обнаружить начало новой кибератаки, отследить миграцию С2-инфраструктуры и эволюцию вредоносных документов, а также проинформировать потенциальных будущих жертв.
При изучении попавшего в поле зрения документа было установлено, что при его открытии зараженный узел реализует соединение с управляющим центром APT Cloud Atlas officeconfirm.technoguides[.]org, который был идентифицирован в ноябре 2024 года.
Полагаем, что день и время отправки вредоносного документа - пятница, конец рабочего дня - были выбраны группировкой с расчетом на открытие документа невнимательным сотрудником, в спешке.
Вероятно, по замыслу атакующие намеревались комфортного перемещаться в зараженной инфраструктуре между невыключенными компьютерами в течение выходных дней.
Последующий детальный анализ вредоносного файла подтвердил сокрытие в нем информации об управляющей инфраструктуре в потоке 1Table документа Microsoft Office - характерная техника АРТ Cloud Atlas.
В январе 2025 года исследователи обнаружили другой вредоносный документ Microsoft Office, также содержавший информацию об указанном управляющем центре в потоке 1Table.
Он был отправлен в адрес опытно-конструкторского подразделения предприятия ОПК РФ. Целевое предприятие было незамедлительно проинформировано о готовящейся кибератаке.
Однако спустя несколько дней, в конце января 2025 года, внимание Позитивов привлек схожий по адресанту, тематике и структуре документ, отличавшийся управляющим центром, инкапсулированным в поток 1Table документа Microsoft Office, - cyberservice24[.]com.
Сбор и анализ сетевых артефактов, оставленных Cloud Atlas, позволил группе киберразведки установить вредоносную инфраструктуру, на которую мигрировали атакующие для проведения новой волны кибератак.
При исследовании новой инфраструктуры было обнаружено, что на сервере 45.140.169[.]16 на стандартном TCP-порте 993 был активирован протокол IMAP с TLS-сертификатом для домена block-monitor[.]net.
На начальных стадиях новой волны кибератак сервер, вероятно, использовался для рассылки вредоносных электронных писем.
Использование TLS-сертификата обеспечивало шифрование тела сообщений и вложений, что помогало группировке оставаться незамеченной для систем обнаружения и предотвращения вторжений на сетевом периметре атакуемых предприятий.
При этом MX-запись (DNS) для домена block-monitor[.]net отсутствовала, АРТ-группировка не планировала получать ответные письма и вступать в переписку с жертвами.
Наблюдение за вредоносной инфраструктурой позволило в режиме реального времени отследить весь масштаб новой киберактивности Cloud Atlas, вскрыть факты использования электронной почты ранее зараженных предприятий для отправки вредоносных документов Microsoft Office в адрес контрагентов (BEC-атаки).
Обнаруженные артефакты в совокупности указывают на то, что Cloud Atlas для формирования вредоносных файлов использует непубличные характерные для государственного сектора документы Microsoft Office, вероятнее всего, украденные у ранее зараженных предприятий.
Перед использованием в кибератаках из документов удаляются метаданные во избежание раскрытия информации, которая позволит идентифицировать скомпрометированные группировкой учреждения и предприятия.
Рекомендации, индикаторы и MITRE ATT&CK - в отчете.
Исследователи Лаборатории Касперского совместно со специалистами Т-Технологий в ходе расследования киберинцидента обнаружили новый сложный бэкдор, нацеленный на компьютеры, подключенные к сетям ViPNet.
Неизвестная APT-группа задействовала его в целевых атаках на десятки организаций в России, в том числе из госсектора, финансовой сферы и промышленности, преследуя цель кибершпионажа.
Бэкдор распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО.
Архивы включали следующие файлы: action.inf (текстовый файл), lumpdiag.exe (легитимный исполняемый файл), msinfo32.exe (вредоносный исполняемый файл небольшого размера) и зашифрованный файл с полезной нагрузкой.
Имя данного файла различается от архива к архиву.
Проанализировав содержимое архива, в ЛК установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива.
Затем запускается файл lumpdiag.exe с аргументом --msconfig. Несмотря на то, что файл является легитимным, он подвержен технике подмены пути исполнения, что позволяет злоумышленникам запустить вредоносный файл msinfo32.exe.
Файл msinfo32.exe - это загрузчик, который читает зашифрованный файл с полезной нагрузкой.
Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор.
Последний обладает довольно универсальными возможностями: может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты.
Защитные решения Лаборатории Касперского детектируют зловред как HEUR:Trojan.Win32.Loader.gen.
Последние инциденты зафиксированы в апреле 2025 года.
При этом исследователи до сих пор продолжают исследовать связанную с этим бэкдором атаку, так что ожидаем новых подробностей.
Исследователи Trend Micro выкатили отчет с разбором активности новой банды вымогателей CrazyHunter, которая проворачивает сложную кампанию, нацеленную на тайваньские организации, в основном в секторах здравоохранения, образования и промышленности.
Как отмечают исследователи, CrazyHunter зарекомендовала себя как серьезную угрозу, способную нарушить функционирование критических секторов.
CrazyHunter полагается на сложные TTPs, в частности задействует метод BYOVD, который позволяет им эффективно обходить меры безопасности.
Почти 80% инструментария банды состоит из инструментов с открытым исходным кодом.
При этом группа значительно расширила свой арсенал, интегрировав такие инструменты с открытым исходным кодом из GitHub, как: Prince Ransomware Builder и ZammoCide, для улучшения своих операционных возможностей.
Группа впервые отметилась в прошлом месяце, запустив свой сайт DLS, где размещено десять жертв - все из Тайваня.
Анализ телеметрии позволил выявить исследователям четкую схему целенаправленных нападений.
Как отмечает Trend Micro, наблюдения показывают, что CrazyHunter модифицируют свободно доступные исходные коды в соответствии со своими конкретными потребностями и значительно расширяют свои возможности.
Исследователи выявили и разобрали в отчете три инструмента с открытым исходным кодом, предоставленных GitHub, каждый из которых служит определенной цели.
Модифицированный вариант инструмента ZammoCide применяется в качестве AV/EDR-убийцы, способного завершать процессы EDR с помощью подхода BYOVD, использующего уязвимый драйвер zam64.sys.
Программа нацелена на определенные жестко закодированные имена процессов, в первую очередь, связанные с продуктами Trend Micro AV и EDR, а также процессы Microsoft Defender и Avira.
Банда также задействует SharpGPOAbuse для эксплуатации объектов групповой политики (GPO).
Используя права редактирования пользователя в GPO, они компрометируют объекты, контролируемые через GPO, и, таким образом, развертывают полезные нагрузки, добиваясь повышения привилегий и обеспечивая горизонтальное перемещение по сети жертвы.
И, наконец, основа атаки - вариант Prince ransomware, заказного вымогателя на основе Go.
Он использует шифрование ChaCha20 и ECIES для надежного шифрования файлов.
Злоумышленники настроили его, добавив расширение ".Hunter" к зашифрованным файлам.
Вымогатель сбрасывает записку с требованием выкупа под названием "Decryption Instructions.txt", изменяет обои рабочего стола жертвы и требует выплатить выкуп.
При этом атакующие не только полагались на инструменты с открытым исходным кодом, но и расширили свой арсенал дополнительным инструментарием и методами исполнения.
Технические подробности и IoCs - в отчете.
Apple выкатила экстренные обновления для исправления двух 0-day, которые использовались в «чрезвычайно сложной атаке» на iPhone ряда узко таргетированных целей.
Проблемы связаны с CoreAudio (CVE-2025-31200) и RPAC (CVE-2025-31201), затрагивая iOS, macOS, tvOS, iPadOS и visionOS.
CVE-2025-31200 была обнаружена Apple и Google Threat Analysis. Ее можно эксплуатировать, обрабатывая аудиопоток во вредоносном медиафайле для удаленного выполнения кода на устройстве.
Компания также исправила CVE-2025-31201, обнаруженную Apple.
Ошибка позволяет злоумышленникам с доступом на чтение или запись обходить Pointer Authentication (PAC), функцию безопасности iOS, которая помогает защититься от уязвимостей памяти.
Обе уязвимости были исправлены в iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 и visionOS 2.4.1.
Список затронутых устройств включает как старые, так и новые модели: iPhone XS и более поздние, iPad Pro 13 дюймов, iPad Pro 13,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения и новее, macOS Секвойя, Apple TV HD и Apple TV 4K (все модели), а также Apple Vision Pro.
Несмотря на то, что эти 0-day использовались в целенаправленных атаках, пользователям настоятельно рекомендуется установить их как можно скорее.
Apple традиционно не стала делиться подробностями о том, как именно уязвимости использовались в атаках. Но поглядим еще.
Инфосек вздрогнул после новостей про закрытие программы Common Vulnerabilities and Exposures (CVE), но на какой-то период можно расслабиться.
CISA экстренно отчислила пару тройку десятков миллионов зеленых для поддержания работоспособности проекта MITRE.
В агентстве признали, что «программа CVE бесценна для киберсообщества и является приоритетом CISA. Реализован опционный период по контракту, чтобы гарантировать отсутствие перерывов в критически важных услугах CVE».
По некоторым данным, контракт продлен на 11 месяцев.
Но есть в этой истории интересный момент.
Незадолго до сообщения CISA группа членов Совета CVE объявила о создании Фонда CVE - некоммерческой организации для обеспечения независимости программы CVE в свете предупреждения MITRE о приостановке финансирования.
В качестве мотивировки указывалось, в частности, что с момента своего создания инициатива CVE функционировала за государственный счет, что вызывало обеспокоенность среди членов совета относительно нейтральности всемирно используемого ресурса, полностью зависающего от решений своего спонсора.
Так что теперь, фонд CVE, конечно, планирует опубликовать дополнительную информацию по планам новой стратегии развития CVE в ближайшие дни, но с учетом возобновления контракта MITRE, эти намерения могут поменяться.
Но будем посмотреть.
Вице-президент MITRE Йосри Барсум объявил о приостановке финансирования со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE), что может негативно отразиться на всей глобальной индустрии кибербеза.
В связи с чем, MITRE прогнозирует ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков.
Система долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек-сообщества.
Она обеспечивала четкую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ.
Программа CVE, реализуемая некоммерческой организацией MITRE совместно с федеральными научно-исследовательскими центрами, финансируется по нескольким каналам, включая правительство США, отраслевые партнерства и международные организации.
В основном объеме поддерживается MITRE при финансировании со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).
В открытом письме к членам совета CVE Барсум заявил, что прекращение контракта (крайний срок - сегодня) затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.
Ранее в ожидании сокращения финансирования, MITRE уже инициировала увольнение более 400 сотрудников офиса в Вирджинии.
После того, как письмо было опубликовано, многие ИБ эксперты выразили обеспокоенность, опасаясь, что сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращен.
Как отмечает Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать уже завтра.
При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в NVD.
Представители NIST, Министерств внутренней безопасности и обороны США пока никак не комментируют ситуацию.
Исследователи Dr.Web сообщают о масштабной атаке на цепочки поставок ПО различных китайских производителей Android-смарфтонов, связанную с внедрением троянизированных приложений WhatsApp и Telegram, нацеленных на пользователей криптовалют с помощью клиппера.
Несмотря на то, что тему не новая, исследователи Dr.Web отмечают серьезную эскалацию, когда мошеннические приложения внедряются непосредственно в составе предустановленного на телефоне ПО.
Большинство скомпрометированных устройств являются бюджетными копиями известных премиальных моделей Samsung и Huawei, включая S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra.
По крайней мере четыре из затронутых моделей производятся под брендом SHOWJI.
Злоумышленники использовали приложение для визуального улучшения технических характеристик, отображаемых на странице «Об устройстве», а также утилиты для получения информации об оборудовании и софте, такие как AIDA64 и CPU-Z, создавая у пользователей ложное впечатление, что телефоны работают под управлением Android 14 и имеют улучшенное аппаратное обеспечение.
Вредоносные приложения Android созданы с использованием проекта с открытым исходным кодом LSPatch, который позволяет трояну, получившему название Shibai, внедряться в легитимное ПО.
По оценкам специалистов, в общей сложности около 40 различных приложений, таких как мессенджеры и сканеры QR-кодов, были модифицированы таким образом.
В изученных Dr.Web артефактах, приложение перехватывает процесс обновления приложения для получения APK-файла с подконтрольного злоумышленнику сервера, ищет строки в чатах, которые соответствуют шаблонам адресов криптокошельков Ethereum или Tron.
При нахождении итаковых, заменяются мошенническими адресами для перенаправления транзакций.
Помимо подмены адресов, вредоносная ПО также оснащена возможностями сбора информации об устройстве, переписки в WhatsApp, а также изображений .jpg, .png и .jpeg из папок DCIM, Pictures, Alarms, Downloads, Documents и Screenshots.
Данный функционал обеспечивает сканирование сохраненных файлов на предмет детектирования фраз для восстановления кошелька (т.н. мнемонических фраз), что позволит злоумышленникам получить доступ к кошелькам жертв и слить активы.
Неясно, кто стоит за этой кампанией, однако установлено, что злоумышленники используют около 30 доменов для распространения вредоносных приложений и используют более 60 серверов C2 для управления операцией.
Дальнейший анализ почти двух десятков криптокошельков, используемых злоумышленниками, показал, что за последние два года они получили более 1,6 млн. долл., что свидетельствует о том, что кейс в принципе окупился с лихвой.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы:
1. В ПО Apache Roller с открытым исходным кодом на основе Java обнаружена уязвимость максимальной степени серьезности.
Уязвимость отслеживается как CVE-2025-24859 и имеет CVSS 10,0.
Она затрагивает все версии Roller до 6.1.4 включительно и была раскрыта исследователем Хайнингом Мэном.
Уязвимость связана с тем, что активные сеансы пользователей не аннулируются должным образом после смены пароля.
Успешная эксплуатация позволяет злоумышленнику поддерживать постоянный доступ к приложению через старые сеансы даже после смены пароля.
2. SSD Disclosure обнаружила RCE-ошибку в маршрутизаторах Calix Gigacenter.
Устройства выставляют свой интерфейс управления CPE в Интернете на порту TCP 6998 и не обрабатывают должным образом предоставленные входные данные.
Затронутые модели были разработаны третьей стороной под брендом Calix и теперь EoL.
3. Checkmarx изучает недавнюю уязвимость RCE с рейтингом 9,8 (CVE-2025-27520) в BentoML, библиотеке Python для взаимодействия со службами ИИ.
Число затронутых версий намного меньше, чем указано в первоначальном сообщении, но серьезности проблемы не уменьшает: она может позволить злоумышленникам захватить серверы, обрабатывающие полезные нагрузки, связанные с ИИ.
4. Coinspect предупреждает об уязвимостях в кошельках Stellar Freighter, Frontier Wallet и Coin98, которые можно использовать для скрытой кражи средств пользователей.
5. Исследователи Praetorian адаптировали уязвимость, используемую в отношении сред DICOM на базе Windows, для работы в Linux. Cвой PoC они назвали атакой ELFDICOM.
6. Участник Red Team, известный как Vari.sh, представил подробности о Doppelganger, новом методе (и инструменте), предназначенном для клонирования LSASS и извлечения секретов без срабатывания обнаружений на оригинале.
7. Quarkslab опубликовала результаты недавнего аудита безопасности интерпретатора PHP, выявив при этом 17 проблем безопасности.
8. Исследователи Positive Technologies выкатили апрельскую подборку c наиболее опасными уязвимостями, куда вошли 11 проблем в Microsoft, VMware и Apache.
Ресерчеры из Лаборатории Касперского выкатили увесистый отчет по результатам исследования каналов распространения мегапопулряного в киберподполье стилера Lumma.
С развитием модели MaaS входной барьер для начинающих киберпреступников значительно снизился, а стилеры стали одним из самых доходных инструментов в арсенале злоумышленников.
Среди подобных предложений наиболее выделяется стилер Lumma, впервые представленный в 2022 году злоумышленником с ником Lumma.
Изначально он распространялся под названием LummaC2 со стартовой ценой 250 долл., но смог быстро набрать популярность в даркнете.
По состоянию на март 2025 года число связанных с ним предложений в даркнете и Telegram-каналах продолжает расти, а клиентская база стилера насчитывает более тысячи активных подписчиков.
Обычно доставка Lumma обычно требует взаимодействия с пользователем, который должен, например, перейти по ссылке или запустить выполнение вредоносных команд.
Недавно в ходе обработки одного из обращений команда реагирования на киберинциденты Лаборатории Касперского (GERT) обнаружила в системе клиента стилер Lumma.
Анализ показал, что причиной инцидента послужили действия пользователя: его обманом заставили запустить вредоносную команду через поддельную CAPTCHA.
Несмотря на то, что ЛК уже рассматривали этот метод распространения в одной из предыдущих статей, с тех пор удалось обнаружить новые детали этой кампании.
В новом отчете исследователи подробно изучили процесс заражения в сценарии с поддельной CAPTCHA, и представили индикаторы компрометации.
Исследователи Dr.Web раскрыли новую вредоносную кампанию с использованием шпионского ПО для Android, нацеленную на российских военнослужащих под видом картографического ПО Alpine Quest.
По всей видимости, основной целью кампании является контроль за перемещениями и позициями российских военных, прежде всего в зоне проведения СВО.
При этом шпионское ПО (отслеживается Dr.Web как Android.Spy.1292.origin) скрыто внутри легитимных версий Alpine Quest - мобильного приложения, которое используется российскими военными для координации войсковых операций.
Зараженные приложения распространяются в виде APK-файла через каналы в Telegram, рекламирующие пиратскую PRO-версию приложения, и даже через некоторые российские порталы приложений для Android.
Причем изначально злоумышленники размещали ссылки для загрузки приложения в одном из российских каталогов приложений через Telegram, однако позднее троянизированная версия распространялась напрямую в виде APK-файла в качестве обновления приложения.
После установки на устройство Android вредоносное приложение выглядит и функционирует так же, как оригинал, что позволяет ему оставаться незамеченным в течение длительного времени, собирая при этом конфиденциальные данные.
После заражения цели шпионское ПО собирает данные с устройства и отправляет их на удаленный сервер. В их числе: номер телефона жертвы, список контактов, данные геолокации и данные о локальных файлах.
По данным Dr.Web, злоумышленники особенно заинтересованы в поиске и извлечении «конфиденциальных документов», которые военнослужащие могли отправить через Telegram и WhatsApp.
Они также крадут locLog, файл AlpineQuest, который регистрирует данные о местоположении и может использоваться для воспроизведения перемещений жертвы во времени.
Кроме того, шпионская программа поддерживает возможность загрузки и запуска дополнительных модулей, значительно расширяющих ее функциональность.
Несмотря на то, что Dr.Web не называет источник атаки, атрибутировать угрозу в данном случае не составляет особого труда - это очевидно.
Исследователи Palo Alto Networks сообщают о пугающей простоте, с которой северокорейские «ИТ-шники» задействуют технологию deepfake в режиме реального времени для проникновения в организации через удаленные рабочие места.
В ходе экспериментов исследователям потребовалось чуть больше часа без какого-либо предварительного опыта, чтобы понять и освоить технологию создания deepfake в реальном времени, используя легкодоступные инструменты и бюджетное оборудование.
Такая доступность технологии позволяет злоумышленникам легко воссоздавать убедительные синтетические личности и действовать незамеченными, обходя при этом существующие ограничения.
Как отмечают в Palo Alto, в последнее время фиксируется настоящий всплеск инцидентов с использованием deepfakes в реальном времени в ходе собеседований.
Задокументировали случаи, когда соискатели представляли синтетические видеопотоки, используя идентичные виртуальные задние фоны для разных профилей кандидатов.
Кроме того, как отмечает Pragmatic Engineer, выявлен кейс, когда в ходе найма в польскую компанию по разработке ИИ собеседование проходил один и тот же кандидат, но под разными личностями.
Причем второй раз он уже имел более четкие ответы на задаваемые вопросы.
По мнению Palo Alto, указанные Pragmatic Engineer обстоятельства этого собеседования указывают на причастность к афере северокорейских ИТ-работников.
В целом, они постоянно демонстрируют значительный интерес к методам манипулирования личностью.
Убедиться в этом исследователи смогли, когда расследовали взлом Cutout.pro, сервиса обработки изображений с использованием ИИ.
Тогда им удалось выявить множество адресов электронной почты, вероятно, связанных с деятельностью ИТ-специалистов из КНДР.
Теперь же северокорейские хакеры усовершенствовали свою методологию проникновения, внедрив технологию deepfake в реальном времени, получая два операционных преимущества.
Во-первых, это позволяет одному оператору проводить собеседования на одну и ту же должность несколько раз, используя разные синтетические персоны.
Во-вторых, это помогает им избегать идентификации и попадания в розыскные сводки.
Так что угроза синтетической идентичности, типичная для северокорейских операций, представляет собой развивающуюся проблему и становится все более актуальной для организаций по всему миру.
Исследователи Лаборатории Касперского обращают внимание в новом отчете на фишинговые атаки с использованием HTML в SVG.
Традиционно злоумышленники совершенствуют фишинговые атаки, практикуя все более изощренные методы обмана пользователей и обхода защитных механизмов.
Для этих целей задействуют хитрые способы перенаправления пользователя в URL-адресах, добавляя адрес вредоносного сайта в аргументы к внешне безобидной ссылке, вставляют ссылки в PDF, рассылают HTML-вложения, размещая в них фишинговый сайт целиком или открывающий его JavaScript.
Недавно в ЛК заметили новый тренд, связанный с тем, что злоумышленники начали распространять вложения в формате Scalable Vector Graphics (SVG), который обычно используется для хранения изображений.
Если открыть такой файл в текстовом редакторе, можно увидеть XML-разметку, которую можно редактировать.
Поскольку в основе формата SVG лежит XML, в отличие от JPEG или PNG, он поддерживает JavaScript и HTML.
Благодаря этому дизайнерам удобнее работать с неграфическим контентом: текстом, формулами, интерактивными элементами и т.д.
Однако злоумышленники пользуются этим в своих целях, вставляя в файл с изображением скрипт со ссылкой на фишинговую страницу.
В начале 2025 года исследователи ЛК задетектили фишинговые письма, которые очень напоминали атаки с вложенным HTML, но при этом содержали SVG-файл.
Если открыть код письма, можно увидеть, что вложение относится к типу image.
При этом, открыв файл в текстовом редакторе, становится понятно, что он представляет собой, по сути, HTML-страницу, в которой нет даже упоминания векторной графики.
В браузере такой файл будет выглядеть как HTML-страница со ссылкой якобы на аудиофайл.
При переходе по ссылке пользователь попадает на фишинговую страницу, маскирующуюся под сервис Google Voice.
Аудиодорожка вверху страницы представляет собой некликабельную картинку.
При попытке прослушать сообщение, нажав на кнопку Play Audio, пользователь попадает на фейковую страницу ввода логина и пароля от корпоративной почты.
Эта страница тоже содержит упоминание Google Voice, а также лого атакуемой компании для усыпления бдительности пользователя.
В другом примере, отдаленно напоминающем уведомление от сервиса электронной подписи, злоумышленники выдают SVG-вложение за документ, который необходимо изучить и подписать.
В отличие от первого варианта, где SVG-файл выполнял роль HTML-страницы, в данном кейсе в него вставлен JavaScript, который при попытке открыть файл загружает браузер с фишинговым сайтом, содержащим фальшивую форму авторизации в сервисах Microsoft.
По данным телеметрии ЛК, в марте 2025 года количество рассылок с SVG-вложениями значительно выросло. Всего за первый квартал 2025 года было обнаружено 2825 таких писем.
В апреле тенденция к росту продолжилась: за первую половину месяца мы обнаружили 1324 письма с SVG-вложениями - более двух третей от мартовского показателя.
Несмотря на то, что пока подобные атаки выглядят сравнительно примитивно, использование SVG в качестве контейнера для вредоносного контента может применяться и в более сложных целевых атаках.
Исследователи из Positive Technologies связали активность группы Team46 (замеченную в прошлом году при атаке на российского оператора ж/д-перевозок) с хакерами TaxOff, отслеживая обе в качестве единой группы.
В марте 2025 года Позитивы расследователи атаку, в которой использовалась 0-day для браузера Chrome, атрибутировав инцидент к группировке TaxOff, ранее уже попадавшей в поле зрения.
В атаке использовалось фишинговое письмо со ссылкой, при переходе на которую жертва активировала 1-click exploit (CVE-2025-2783) и устанавливала бэкдор Trinper, которым традиционно орудовала группировка TaxOff.
В ходе исследования этого инцидента им удалось выйти на более раннюю атаку, совершенную в октябре 2024 года, которая начиналась с фишингового письма, по структуре и стилистике до боли похожего на письмо из новой атаки.
По ссылке https[://]mil-by[.]info/#/i?id=[REDACTED] из письма скачивается архив с ярлыком, запускающим powershell.exe с командой, которая ранее также фигурировала в атаках Team46.
Powershell-скрипт, который скачивался после ее выполнения, и скрипт после деобфускации также похожи на скрипты из арсенала Team46.
Для нейминга документа-приманки на компьютере жертвы обе группировки применяли один и тот же паттерн: umawbfez-bkw5-f85a-3idl-3z4ql69v8it0.pdf и 399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf.
В обоих случаях при скачивании файла использовался User-Agent Edge, а при скачивании полезной нагрузки - User‑Agent Яндекс Браузера.
Также в обоих случаях имя компьютера передавалось через параметр query.
Отличалась лишь полезная нагрузка.
Ранее атакующие для ее запуска применяли уязвимость DLL-Hijacking для Яндекс.Браузера (CVE-2024-6473) с подменой библиотеки Wldp.dll.
В новом кейсе использовался системный компонент rdpclip.exe, также уязвимый к DLL-Hijacking, с подменой системной библиотеки winsta.dll.
При этом библиотека winsta.dll представляет собой загрузчик бэкдора Trinper'a группировки TaxOff.
Бэкдор использовал управляющий сервер common-rdp-front.global.ssl.fastly.net.
В аналогичной атаке, зафиксированной в сентябре 2024 года, рассылался архив с ярлыком Ростелеком.pdf.lnk, который также запускал powershell.exe с характерной для Team46 командой.
Документ-приманка в данной атаке включал указание номера телефона в конце страницы, также выполнен в стиле Team46: некорректный, содержащий случайно набранный на клавиатуре набор цифр.
Полезной нагрузкой в данной атаке являлся файл AdobeARM.exe, представляющий собой загрузчик бэкдора из первой известной Позитивам атаки Team46, описанный исследователями из Dr.Web.
Причем ранее ПТ обнаружили этот бэкдор, также имеющий имя AdobeARM.exe, на одной системе с бэкдором Trinper во время одного из инцидентов, а анализ показал, что загрузчик TaxOff функционально идентичен загрузчику Trojan.Siggen27.11306 Team46.
Кроме того, обе группировки использовали синтаксически похожие домены с мимикрией под легитимные сервисы с дефисами в названии: ms‑appdata‑fonts.global.ssl.fastly[.]net (Team46) и fast‑telemetry‑api.global.ssl.fastly[.]net (TaxOff).
По итогу, исследователи заключили, что Team46 и TaxOff являются одной и той же APT-группой, для которой Позитивы теперь выбрали единое наименование - Team46.
Критическая уязвимость в устройствах XPort Lantronix может быть использована для удаленного взлома систем в критически важных секторах, прежде всего энергетической инфраструктуры.
Согласно сообщению CISA, в Lantronix XPort, продукте, который обеспечивает удаленное подключение и управление устройствами, была обнаружена серьезная ошибка, связанная с отсутствием аутентификации.
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к интерфейсу конфигурации устройства.
По данным CISA, XPort используется по всему миру в таких секторах, как производство, транспорт, водоснабжение и энергетика, а также в работе светофоров, промышленноости и систем наблюдения.
По словам исследователя Microsec Сувика Кандара, обнаружившего уязвимость, изученный продукт по большей части имеет широкое распространение в нефтегазовой отрасли.
Исследователь смог идентифицировать более 1400 экземпляров XPort, доступных через Интернет, в том числе более 300, развернутых в нефтегазовой инфраструктуре, в том числе, в системах управления топливом на АЗС.
Он предупредил, что злоумышленник может воспользоваться уязвимостью для получения полного удаленного контроля над целевым устройством, включая его конфигурацию и рабочие параметры.
Хакеры также смогут проникнуть в другие подключенные системы сети и вызвать серьезные проблемы в работе критической инфраструктуры.
Касаемо энергетической отрасли, в частности, заправочных станций, эксплуатация проблемы может повлиять на системы автоматического измерения уровня топлива в резервуарах (ATG), что может привести к сбоям в обслуживании и финансовым потерям.
Учитывая характер развертывания и количество выявленных экземпляров, уязвимость представляет значительную угрозу для кибербезопасности энергетического сектора, особенно систем подачи и распределения газа и ГСМ.
Lantronix был извещен о проблеме, но, судя по сообщениям CISA, так и не выпустил исправление.
Вместо этого поставщик посоветовал клиентам перейти на другой продукт - XPort Edge, который не подвержен уязвимости.
Представители Vx-underground решили потрепать нервишки разрабам Bubble io, платформы для создания функциональных приложений на основе ИИ без необходимости написания кода, угрожая слить 0-day эксплойт для обнаруженной критической баги.
Дело в том, что в 2024 году два исследователя обнаружили критическую уязвимость в решении, о чем незамедлительно уведомили поставщика, однако по какой-то причине отчет остался без внимания.
Впоследствии они даже выступали с докладом по уязвимости, опубликовали PoC и даже написали статью, но и после этого достучаться до поставщика не удалось.
Так что клиентов Bubble, в числе которых Danone, SeaGate, Unity, Shopify, Paramount Pictures, HubSpot, Amazon, PWC, Yamaha, L'Oreal, да и саму компанию, ожидают увлекательные выходные, судя по описанию уязвимости.
Но будем посмотреть.
Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.
Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.
Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.
После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.
Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).
При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).
Впервые эту технику применил Codefinger в кампании в декабре прошлого года.
Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.
Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.
Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.
Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.
Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.
У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.
Для обратно связи хакеры указывают awsdecrypt[@]techie.com.
Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.
В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.
Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.
Исследователи Cymulate сообщают о четырех уязвимостях в основном компоненте службы планирования задач Microsoft Windows, которые могут быть использованы локальными злоумышленниками для EoP и очистки журналов с целью сокрытия доказательств вредоносной деятельности.
Проблемы были обнаружены в двоичном файле schtasks.exe, который позволяет администратору создавать, удалять, запрашивать, изменять, запускать и завершать запланированные задачи на локальном или удаленном компьютере.
По сути уязвимость представляет собой обход запроса контроля учетных записей, что позволяет злоумышленнику выполнять команды с высоким уровнем привилегий (SYSTEM) без одобрения пользователя.
Используя эту уязвимость, злоумышленники могут повысить свои привилегии и запустить вредоносные ПО с правами администратора, что приведет к несанкционированному доступу, краже данных или дальнейшей компрометации системы.
По данным Cymulate, проблема возникает, когда злоумышленник создает запланированную задачу с использованием пакетного входа в систему (т.е. пароля) вместо интерактивного токена, в результате чего служба планировщика задач предоставляет запущенному процессу максимально допустимые права.
Однако для того, чтобы эта атака сработала, злоумышленнику необходимо получить пароль другими способами, например, взломав хэш NTLMv2 после аутентификации на сервере SMB или использовав уязвимости, такие как CVE-2023-21726.
Конечный результат этой проблемы приводит к тому, что пользователь с низкими привилегиями может использовать двоичный файл schtasks.exe и выдать себя за члена таких групп, как «Администраторы», «Операторы резервного копирования» и «Пользователи журнала производительности», с известным паролем, чтобы получить максимально допустимые привилегии.
Регистрация запланированной задачи с использованием метода аутентификации Batch Logon с помощью XML-файла также может открыть путь для двух методов обхода защиты, которые позволяют перезаписывать журнал событий, эффективно стирая аудиторские следы предыдущей активности, а также переполнять журналы безопасности.
Как отмечают исследователи, первая обнаруженная уязвимость - это не просто обход UAC: по сути, это способ выдать себя за любого пользователя с его паролем из CLI для получения максимально предоставленных привилегии в сеансе выполнения задачи с флагами /ru и /rp.
В реализации SSH на базе Erlang/Open Telecom Platform (OTP) обнаружена критическая уязвимость, которая позволяет злоумышленнику с сетевым доступом к SSH-серверу выполнить произвольный код без какой-либо аутентификации при определенных условиях.
CVE-2025-32433 присвоен максимальный балл CVSS 10,0.
Проблема возникает из-за неправильной обработки сообщений протокола SSH, которые по сути позволяют злоумышленнику отправлять сообщения протокола соединения до аутентификации.
Успешное использование недостатков может привести к выполнению произвольного кода в контексте демона SSH.
Риск еще больше усугубляется тем, что если процесс-демон запущен с правами root, то это позволяет злоумышленнику получить полный контроль над устройством, что, в свою очередь, открывает путь для неправомерного доступа, манипулирования конфиденциальными данными или DoS.
Все пользователи, использующие SSH-сервер на основе библиотеки Erlang/OTP SSH, вероятно, затронуты CVE-2025-32433.
Рекомендуется обновиться до версий OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
В качестве временных обходных путей доступ к уязвимым SSH-серверам можно запретить с помощью соответствующих правил брандмауэра.
Исследователи Qualys описывают уязвимость как чрезвычайно критическую, которая открывает злоумышленнику возможности для установки программ-вымогателей или кражи конфиденциальных данных.
Erlang часто устанавливается в системах высокой доступности из-за его надежной и параллельной поддержки обработки.
Причем большинство устройств Cisco и Ericsson работают на Erlang.
Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, используемую в устройствах OT/IoT, периферийных вычислительных устройствах, подвержена эксплуатации.
Обновление до исправленной версии Erlang/OTP или поддерживаемых производителем версий устранит уязвимость.
В качестве мер по смягчению следует ограничить доступ к порту SSH только для авторизованных пользователей.
Более 16 000 устройств Fortinet, подключенных к Интернету, оказались скомпрометированными с помощью нового бэкдора с символической ссылкой, который обеспечивает хакерам доступ с правами только для чтения к конфиденциальным файлам.
Неутешительную статистику представили исследователи The Shadowserver Foundation после того, как на прошлой неделе Fortinet предупреждала о клиентов об обнаружении нового механизма для сохранения удаленного доступа к файлам в корневой системе пропатченных устройств FortiGate, которые ранее были скомпрометированы.
По данным Fortinet, наблюдаемая кампания не связана с эксплуатацией новых уязвимостей, а является следствием атак, состоявшихся в период с 2023 по 2024 гг., когда злоумышленник применял 0-day для взлома устройств FortiOS.
Получив доступ к устройствам, атакующие создали символические ссылки в папке языковых файлов на корневую файловую систему устройств с включенным SSL-VPN.
Поскольку языковые файлы общедоступны на устройствах FortiGate с включенным SSL-VPN, злоумышленник может перейти в эту папку и получить постоянный доступ на чтение к корневой файловой системе (с конфигурациями) даже после устранения первоначальных уязвимостей.
Причем Fortinet начала уведомлять клиентов в частном порядке по электронной почте об устройствах FortiGate, детектированных FortiGuard в качестве скомпрометированных с помощью этого бэкдора с символической ссылкой.
Fortinet выпустила обновленную сигнатуру AV/IPS, которая позволяет обнаружить и удалить вредоносную символическую ссылку со скомпрометированных устройств.
Последняя версия прошивки также была оснащена таким функционалом. Обновление также предотвращает обслуживание неизвестных файлов и папок встроенным веб-сервером.
Наконец, если устройство было обнаружено как скомпрометированное, вполне возможно, что злоумышленники имели доступ к последним файлам конфигурации, включая учетные данные.
Поэтому все учетные данные следует сбросить, а администраторам следует выполнить остальные шаги, описанные в этом руководстве.
😟 Black Hat ASIA 2025.
• Официальный BlackHatOfficialYT/videos">YT-канал пока не опубликовал видео с выступлений, но в одном из репозиториев появились слайды с данной конференции, которые можно найти вот тут:
➡ https://github.com/onhexgroup/Conferences/BlackHat
• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:
➡Видео Black Hat Europe 2024;
➡Видео Black Hat Asia 2024;
➡Видео Black Hat USA 2024.
➡Видео Black Hat Europe 2023;
➡Видео Black Hat USA 2023;
➡Видео Black Hat Asia 2023.
➡Видео Black Hat Europe 2022;
➡Видео Black Hat USA 2022;
➡Видео Black Hat Asia 2022.
➡Black hat Europe 2024;
➡Презентации Black Hat USA 2024;
➡Презентации Black Hat Asia 2024.
➡Презентации Black Hat Europe 2023;
➡Презентации Black Hat USA 2023;
➡Презентации Black Hat Asia 2023.
➡Презентации Black Hat Europe 2022;
➡Презентации Black Hat USA 2022;
➡Презентации Black Hat Asia 2022.
S.E. ▪️ infosec.work ▪️ VT
Хакеры rebane2001/114341178486935903">взломали интернет-форум 4chan.
Злоумышленники слили часть исходного кода сайта и опубликовали изображения бэкэнда и страницы базы данных сайта.
4chan не подтвердил взлом, но сайт был недоступен весь день во вторник. О взломе стало известно в объявлении на форуме их конкурентов Soyjak Party.
Представленные пруфы позволяют констатировать, что это второй крупный взлом 4chan после аналогичного инцидента в 2014 году.
Google внедряет новый механизм безопасности на устройствах Android, который, по всей видимости, будет направлен на противодействие эксфильтрации данных с помощью современных криминалистических инструментов.
Новая функция автоматической перезагрузки была указана в последнем обновлении сервисов Google Play (v25.14) в разделе «Безопасность и конфиденциальность».
Согласно примечаниям к выпуску, благодаря этой функции устройство автоматически перезагрузится, если оно будет заблокировано в течение 3 дней подряд.
В январе 2024 года разработчики GrapheneOS предупредили об уязвимостях прошивки Android, которые криминалисты задействовали для извлечения данных без разрешения пользователя.
При первом запуске телефона Android он переходит в состояние Before First Unlock (BFU), в котором большинство пользовательских данных остаются зашифрованными и недоступными до первой разблокировки устройства.
Как только пользователь разблокирует его с помощью своего PIN-кода или биометрических данных, устройство переходит в состояние After First Unlock (AFU), в котором данные пользователя расшифровываются, что делает их доступными для извлечения или эксфильтрации.
Изъятые или украденные устройства, как правило, уже находятся в состоянии AFU, поэтому даже если экран заблокирован, криминалистические инструменты позволяют извлечь из них, по крайней мере, хоть какие-то пользовательские данные.
Для решения этой проблемы GrapheneOS для устройств Android представила механизм автоматической перезагрузки, который перезапускал систему после 18 часов бездействия, возвращая устройство в состояние BFU.
Google теперь анонсировала по сути ту же функцию в Android, но с немного более демократичным интервалом бездействия нежели, чем в Graphene.
Вместо этого устройство перезагружается после 72 часов, без возможности сократить этот срок.
Предполагается, такой временной интервал все равно должен быть достаточен для блокирования многих атак, предполагающих долгосрочный физический доступ, связанный с проведением уголовных расследований.
