39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Horizon3 выкатили технические подробности для максимально серьезной уязвимости произвольной загрузки файлов Cisco IOS XE WLC, отслеживаемой как CVE-2025-20188.
Несмотря на то, что в отчете исследователей не содержится готового к запуску сценария RCE-эксплойта, однако предоставленной информации вполне достаточно для его разработки опытным злоумышленником.
7 мая 2025 года Cisco раскрыла критическую уязвимость в IOS XE для контроллеров беспроводных локальных сетей, которая позволяет злоумышленнику получить контроль над устройствами.
Поставщик заявил, что проблема вызвана жестко запрограммированным JSON Web Token (JWT), который позволяет неаутентифицированному удаленному злоумышленнику загружать файлы, выполнять обход пути и выполнять произвольные команды с привилегиями root.
В бюллетене отмечается, что уязвимость CVE-2025-20188 опасна только в том случае, если на устройстве включена функция «Загрузка образа точки доступа по внешнему каналу».
Она затрагивает Catalyst 9800-CL Wireless Controllers for Cloud, Catalyst 9800 Embedded Wireless Controller для коммутаторов серий 9300, 9400, and 9500 Series Switches, Catalyst 9800 Series Wireless Controllers и Embedded Wireless Controller на Catalyst APs.
Как отмечают в Horizon3, уязвимость существует из-за жестко запрограммированного резервного секретного ключа JWT («notfound»), используемого внутренними скриптами Lua для конечных точек загрузки, в сочетании с недостаточной проверкой пути.
В частности, бэкэнд использует скрипты OpenResty (Lua + Nginx) для проверки токенов JWT и обработки загрузок файлов, но если файл '/tmp/nginx_jwt_key' отсутствует, скрипт возвращается к строке "notfound" в качестве секрета для проверки JWT.
По сути, это позволяет злоумышленникам генерировать действительные токены, не зная никаких секретов, просто используя «HS256» и «notfound».
Horizon3 представили пример с отправкой HTTP-запроса POST с загрузкой файла на конечную точку «/ap_spec_rec/upload/» через порт 8443 и использованием обхода пути имени файла, чтобы поместить безобидный файл (foo.txt) за пределы предполагаемого каталога.
Для расширения уязвимости загрузки файлов до уровня RCE, злоумышленник может перезаписать файлы конфигурации, загруженные внутренними службами, сбросить веб-оболочки или использовать отслеживаемые файлы для запуска несанкционированных действий.
В случае с Horizon3, реализовано злоупотребление службой «pvp.sh», которая отслеживает определенные каталоги, перезаписывает файлы конфигурации, от которых она зависит, и запускает перезагрузку даже для запуска команд злоумышленника.
Учитывая повышенный риск эксплуатации уязвимости, пользователям рекомендуется как можно скорее обновиться до исправленной версии (17.12.04 или более новой).
В качестве временного решения администраторы могут отключить функцию загрузки образа точки доступа по внешнему каналу, чтобы закрыть уязвимую службу.
Исследователи из Лаборатории Касперского в своем новом отчете отслеживают активную эволюцию банковского трояна Zanubis для Android.
С момента своего появления в середине 2022 года Zanubis был нацелен на банки и финансовые организации в Перу, добавив затем к числу своих целей виртуальные карты и криптокошельки.
Основной вектор заражения Zanubis - мимикрирование под легитимные перуанские приложения для Android с последующим получением обманным путем различных разрешений.
После их получения вредоносная ПО реализует обширные возможности, которые позволяют ее операторам красть банковские данные и учетные данные пользователя, а также выполнять удаленные действия, в том числе управлению устройством без ведома пользователя.
При этом Zanubis постоянно эволюционирует, превратившись из простого банковского трояна в очень сложную и многогранную угрозу.
Новейшие замеченные образцы имеют значительно расширенный функционал по эксфильтрации данных и удаленного управления, а также поддерживают новые методы обфускации и приемы социнженерии.
Операторы продолжают на постоянно основе оттачивать его код, добавляя новые функции, переключаясь между алгоритмами шифрования, меняя цели и настраивая методы социнженерии для ускорения темпов заражений, что коррелирует с хронологией их кампаний.
На основе всестороннего анализа Zanubis и ряда индикаторов в ЛК полагают, что субъекты угрозы, стоящие за вредоносным ПО, могут действовать из Перу.
К таким индикаторам относятся, прежде всего, постоянное использование латиноамериканского испанского в коде, знание специфики перуанских банковских и госучреждений, данные телеметрии ЛК и VirusTotal, а также таргетирование на перуанском сегменте.
Как полагают исследователи, постоянное совершенствование показывает, что Zanubis - устойчивая угроза, способная к дальнейшим мутациям для достижения финансовых целей в интересах своих операторов.
В двух словах глубину исследования не передать, и не будем. Разбор всех этапов разработки Zanubis и соответствующих им вредоносных кампаний - в отчете.
Но был один, который не стрелял (с)
Трое отважных (и мы нисколько не шутим) еврейских исследователей из Университета Тель-Авива пошли против трендов и выпустили статью, посвященную отчетам западных инфосек компаний о прогосударственных хакерских группах (aka APT), в которой пришли к выводу, что в этих отчетах в последнее время все данные о западных же APT замалчиваются.
В результате анализа материалов за период с 2010 по 2022 годы (а сейчас, скажем по секрету, и все еще хуже), эксперты пришли к выводу, что западные компании из отрасли информационной безопасности все больше интегрируют свои геополитические пристрастия в процессы принятия решений и публикации информации о расследованиях.
Что "вносит систематически предубеждения в ландшафт отчетности об угрозах, включая политические искажения, которые влияют на общественное мнение и широкое понимание динамики киберконфликтов".
Говоря простым языком, западные инфосек исследователи ездят по ушам широкой публике рассказывая о том, какие страшные киберпреступления совершают прогосударственные хакерские группы из России, Китая, Ирана и КНДР, тотально замалчивая активность прозападных APT, в первую очередь американских и британских.
Что формирует гротескно искаженное представление ширнармасс, что есть "кибер ось зла", которая ломает всех подряд, и есть белые и пушистые западные демократии, которые даже компьютер выключать из розетки боятся, вдруг там файлик не сохранится, пичаль, беда. Видимо Stuxnet и Regin от сырости завелись.
Мы про такое положение вещей говорим давно, однако израильтяне подвели под него определенное научное основание и проиллюстрировали очевидные тенденции, за что им спасибо.
Ведь и в самом деле, представить что западные инфосек кампании сегодня способны активно разбирать кибероперации западных же спецслужб, как, например, Symantec в далеком 2010 году, совершенно невозможно.
Осталось смотреть только на Касперских, Позитивов, Бизонов, бывших Грибов и Qihoo 360. Спасибо, что есть.
Исследователи F6 выкатили новый отчет, в котором затронули проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – «песочницы».
Безусловно, такие онлайн-песочницы, как VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок.
Однако, у использования этих сервисов есть и обратная сторона: отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников, которые могут могут отслеживать загрузку инструментов и корректировать методы, если атака была обнаружена.
Кроме того, загружаемые файлы зачастую содержат персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты.
И, наконец, загруженные в публичные «песочницы» файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.
Для исследования эксперты F6 сфокусировали на публичной онлайн-песочнице Any.Run.
Это достаточно популярная интерактивная платформа, которая позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя.
В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 год с территории России, эксперты выделили 3 основных типа файлов, которые представлять интерес для потенциальных злоумышленников:
- Персональные данные физических лиц. Обнаружены были не только факты распространения данных одного субъекта ПДН, но и целые списки с данными работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц.
Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или реализации популярных мошеннических схем с использованием социнженерии - FakeBoss или Мамонт.
- Коммерческая тайна различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорная информация.
- Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.
Точные объемы утекающей информации исследователи затрудняются назвать, но лидер – это персональные данные физических лиц.
По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе.
Показатель в годом исчислении может варьироваться от сотен до нескольких тысяч уникальных записей.
Так, только в одном документе нашлось почти 1300 записей.
И это при том, что с 30 мая 2025 года вступили в силу ФЗ от 30.11.2024 № 420-ФЗ и от 30.11.2024 № 421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных.
Так что подобные инциденты теперь несут для допустивших нарушения риски серьезных штрафов за утечку персональных данных, а в некоторых случаях и уголовное наказание.
Подробный отчет с примерами выявленных утечек - в блоге F6.
А исследователи Darktrace задетектили другой вредоносный ботнет на основе Go под названием PumaBot, который нацелен на устройства Linux IoT для кражи учетных данных SSH и майнинга криптовалют.
Примечательной особенностью нового ботнета является то, что PumaBot реализует попытки входа методом подбора на порт 22 для открытого доступа по протоколу SSH по спискам IP, полученным с C2 (ssh.ddos-cc[.]org), вместо широкого сканирования глобальной сети.
В ходе этого процесса он проверяет наличие строки «Pumatronix», которая, по мнению Darktrace, может соответствовать целям в сфере систем видеонаблюдения и камер слежения за дорожным движением.
После того, как цели определены, вредоносная ПО получает учетные данные для брута. В случае успеха запускает «uname -a» для получения информации об окружении и проверки того, что целевое устройство не является приманкой.
Затем PumaBot записывает свой основной двоичный файл (jierui) в /lib/redis и устанавливает службу systemd (redis.service) для обеспечения сохранения работоспособности при перезагрузках устройства.
Наконец, внедряет свой собственный SSH в файл authorized_keys для сохранения доступа даже в случае очистки, которая удаляет первичное заражение.
Если заражение остается активным, PumaBot может получать команды на извлечение данных, внедрение новых полезных нагрузок или кражи данных для горизонтального перемещения.
Примерами полезных нагрузок, обнаруженных Darktrace, являются самообновляющиеся скрипты, руткиты PAM, которые заменяют легитимный pam_unix.so, и демоны (двоичный файл «1»).
Вредоносный модуль PAM собирает локальные и удаленные данные входа SSH и сохраняет их в текстовом файле (con.txt). Двоичный файл watcher (1) реализует постоянный поиск этого текстового файла, а затем высылает его на C2, после эксфильтрации он стирается с зараженного хоста.
Кроме того, поддерживает networkxm, инструмент для взлома SSH, который функционирует аналогично начальной стадии ботнета, извлекая список паролей с сервера C2 и пытаясь подключиться через SSH через список целевых IP-адресов.
Масштабы кампании и эффективность PumaBot в настоящее время Darktrace затрудняется оценить, как и объемы списков целевых IP-адресов.
В целом, ботнет похожим на червя и представляет собой постоянную угрозу SSH на основе Go, которая использует автоматизацию, подбор учетных данных и собственные инструменты Linux для получения и сохранения контроля над скомпрометированными системами
Как полагают исследователи, новый вредоносный ботнет выделяется тем, что реализует целевые атаки, открывающие путь к более глубокому проникновению в корпоративные сети, вместо прямого использования зараженных IoT-устройств для менее серьезных DDoS или прокси.
Но будем посмотреть.
Исследователи Oasis сообщают об обнаружении уязвимости в OneDrive от Microsoft, которая при успешной эксплуатации может позволить сторонним веб-сайтам получить доступ ко всему содержимому облачного хранилища даже при загрузке всего одного файла.
По словам Oasis, проблема является результатом чрезмерных разрешений, запрашиваемых средством выбора файлов OneDrive, которое пытается получить доступ на чтение ко всему диску, даже в тех случаях, когда загружен только один файл из-за отсутствия детальных областей OAuth для OneDrive.
Как отмечают в Oasis, обнаруженная опасная комбинация подвергает риску как индивидуальных, так и корпоративных пользователей, может иметь серьезные последствия, включая утечку данных клиентов и нарушение правил соответствия.
Предполагается, что затронуты несколько приложений, включая ChatGPT, Slack, Trello и ClickUp, учитывая их интеграцию с облачным сервисом Microsoft.
Еще больше усугубляет ситуацию то, что запрос согласия, который предлагается пользователям перед загрузкой файла, является расплывчатым и не отражает должным образом уровень предоставляемого доступа, тем самым подвергая пользователей неожиданным рискам безопасности.
Отсутствие детализированных областей действия не позволяет пользователям различать вредоносные приложения, нацеленные на все файлы, и легитимные приложения, запрашивающие чрезмерные разрешения, просто потому, что другой безопасный вариант отсутствует.
При этом токены OAuth, используемые для авторизации доступа, часто хранятся небезопасно, в том числе сохраняются в хранилище сеансов браузера в открытом текстовом формате.
Еще одна потенциальная ловушка заключается в том, что рабочие процессы авторизации могут также включать выпуск токена обновления, предоставляя приложению постоянный доступ к пользовательским данным, позволяя получать новые токены доступа без необходимости повторного входе пользователем в систему по истечении срока действия текущего токена.
После ответственного раскрытия Microsoft признала наличие проблемы, но пока никак ее не разрешила, предлагая рассмотреть возможность временного удаления загрузки файлов с помощью OneDrive через OAuth, пока не появится безопасная альтернатива.
В качестве альтернативы рекомендуется избегать использования токенов обновления и хранить токены доступа безопасным способом и избавляться от них, когда необходимость отпадает.
В Oasis призывают к проявлению постоянной бдительности в управлении областями OAuth, регулярным оценкам безопасности и проактивному мониторингу для защиты пользовательских данных.
АНБ США совсем недавно рассекретила внутреннее исследование 1988 года под названием: «Пятьдесят лет математического криптоанализа (1937-1987)».
Желающие ознакомиться тем, как выглядит типичный рассекреченный американский документ в оригинале, могут найти его здесь, приятного чтения.
Исследователи BI.ZONE Threat Intelligence в ТГ сообщили об обнаружении масштабной кампании с использованием нового стилера MarkerStealer, который в течение года «путешествовал» по стране.
По данным BI.ZONE, кампания активна с 2024 года и с тех пор скомпрометировано: 30+ компаний с капитализацией от 10 миллионов до 1,2 миллиарда рублей, 100+ государственных организаций и образовательных учреждений, а также 20+ региональных администраций.
Злоумышленники маскировали вредоносное ПО под судебные документы, используя имена: pretenziya.vbs и Претензия_о_нарушении_договорных_обязательств_и_требование_возмещения_ущерба_по_договору_№1234_от_28_марта (1).exe
В некоторых случаях атакующие использовали взломанные административные ресурсы. Например, рассылали загрузчик, который скачивал нагрузку с сайта омбудсмена одного из регионов.
Стилер был упакован через PyInstaller и на зараженной машине собирал учетные данные и куки из браузеров Yandex, Google Chrome, Microsoft Edge, Opera, Brave.
Как отмечают Бизоны, MarkerStealer создавал в папке %TEMP% файл script_executed.marker (в старых версиях) или script_executeeeedd.marker (в новых версиях), чтобы собирать данные раз в сутки. Украденные данные упаковывал в ZIP-архив с именем capture_data_*.zip.
Для эксфильтрации MarkerStealer использовал возможности мессенджера Telegram.
Подробного отчета, к сожалению, Бизоны не представили, но поверим, как говориться, на слово.
Дорогие друзья!
Совершенно случайно обнаружили на просторах сети сайт secator[.]com, который ведется на русском языке и содержит гиперссылку на наш канал (хотя прямо и не заявляет об аффилированности с нами).
Поэтому официально сообщаем - канал SecAtor не имеет аккаунтов на других площадках, включая Web, мессенджеры и социальные сети. Мы присутствуем в Телеграме и только тут.
Если вдруг решим расшириться - то сразу вам об этом расскажем.
Have a nice day!
Исследователи из TrendMicro сообщают о активности APT-группы Earth Lamia, которая как минимум с 2023 года нацелена на ряд отраслей в Бразилии, Индии и странах Юго-Восточной Азии с использованием уязвимости в веб-приложениях для кражи данных.
Первоначально сосредоточившись на сфере финансовых услуг, группа переключилась на логистику и онлайн-торговлю, а в последнее время сосредоточилась на ИТ-компаниях, университетах и госорганизациях.
Злоумышленник в основном нацелен с помощью sqlmap на различные известные уязвимости SQL-инъекций в веб-приложениях, включая Apache Struts2, GitLab, WordPress File Upload, JetBrains TeamCity, CyberPanel, SAP NetWeaver Visual Composer и Craft CMS для получения доступа к серверам целевых организаций.
На этапе горизонтального перемещения задействовались certutil.exe или powershell.exe для загрузки дополнительных инструментов, GodPotato и JuicyPotato для повышения привилегий, Fscan и Kscan для сканирования сети, rakshasa и Stowaway для создания прокси-туннелей.
Кроме того, Earth Lamia развертывала веб-оболочки в веб-приложениях, производила сбор информации о контроллере домена и учетных данных, добавляя helpdesk в локальную группу администраторов, а также реализовывала выполнение бэкдоров на основе фреймворков Vshell, Cobalt Strike и Brute Ratel.
Агрессивные операции APT-группы также упоминаются в различных исследовательских отчетах (REF0657, STAC6451 и CL-STA-0048), однако в TrendMicro собрали артефакты, указывающие на причастность группы к китайской стороне.
Как отмечают исследователи, Earth Lamia постоянно разрабатывает индивидуальные хакерские инструменты и бэкдоры для совершенствования своих атак и уклонения от обнаружения, упаковывает свои хакерские инструменты в файлы DLL для их запуска через DLL sideloading.
Кроме того, Earth Lamia также создала свои бэкдор-загрузчики, приняв DLL sideloading, предпочитая использовать легитимные двоичные файлы, предоставляемые поставщиками безопасности, для боковой загрузки своих вредоносных DLL-файлов.
При этом хакеры полагаются, прежде всего, на опенсорсные решения, но реализуют их кастомизацию, нивелируя таким образом риски обнаружения защитным ПО.
Earth Lamia отметилась тем, что смогла разработать ранее недокументированный модульный бэкдор .NET, который получил название PULSEPACK.
Каждая вредоносная функция разрабатывается как отдельный плагин. Плагины будут загружаться с сервера C2 только при необходимости.
Первая версия PULSEPACK была обнаружена в атаках Earth Lamia в августе 2024 года.
В 2025 году задетектировалась его обновленная версия, которая использует WebSocket для связи C2 вместо TCP, что демонстрируя ведущуюся группой активную разработку.
При этом замеченный образец PULSEPACK загружал подключаемый DLL-модуль под названием TKRun.dll, который используется для сохранения выполнения бэкдора путем создания запланированной задачи для запуска исполняемого файла после перезагрузки системы.
К сожалению, обнаружить дополнительные подключаемые модули, используемые PULSEPACK, исследователям не удалось, тем не менее представили весьма интересные технические моменты по части атрибуции.
Подробности - в отчете.
Одного из крупнейших индонезийских операторов, Telkomsel, по ходу основательно подломили, выставив на продажу в формате «только одному покупателю» в киберподполье доступ к панели управления услугами TELKOMSEL CENTER PANEL.
Учитывая его известность оператора, любая компрометация его систем может иметь широкомасштабные последствия для миллионов пользователей и потенциально повлиять на безопасность национальной связи.
Представленная панель, которая, по-видимому, является интерфейсом управления SIM-картами в реальном времени, предположительно предоставляет возможности просмотра, активации, приостановки или тестирования SIM-карт, мониторинга статусов выставления счетов и доступа к комплексным обзорам данных SIM-карт.
Также открывает доступ к подробной клиентской информации, включая ICCID, IMSI, MSISDN, PIN, тарифные планы и группы APN.
Исследователи BI.ZONE Threat Intelligence обнаружили новые кампании кластера Silent Werewolf, нацеленные на организации в России и Молдове.
В обоих случаях злоумышленники использовали два варианта загрузчиков, предназначенных для получения с сервера атакующих вредоносной нагрузки.
К сожалению, на момент исследования нагрузка была недоступна, но ретроспективный анализ аналогичных атак Silent Werewolf показал, что, вероятнее всего, в качестве ВПО использовалось XDigo.
Киберпреступники задействуют фишинговые рассылки от имени крупных и известных организаций или ссылаются на них в письмах, используя их айдентику: узнаваемые логотипы и прочие элементы фирменного стиля.
В ходе исследования Бизоны задектили две волны атак: первая была нацелена исключительно на российские организации в сфере энергетики (атомной промышленности), приборостроения, авиастроения, машиностроения.
Атакующие рассылали ранее неизвестный обфусцированный загрузчик, написанный на C#, который был замаскирован под досудебную претензию и под проект строительства жилого помещения.
Для доставки вредоносных файлов злоумышленники использовали фишинговые письма, в которых содержалась ссылка на загрузку ZIP-архива.
В ZIP-архиве находилось два файла: LNK и еще один ZIP-архив с легитимным EXE-файлом, вредоносной библиотекой (С#-загрузчик) и отвлекающим PDF-документом.
Загрузчик реализован в виде динамически подключаемой библиотеки d3d9.dll, которая запускается с помощью легитимного исполняемого файла H5GDXM70NJ.exe (DeviceMetadataWizard.exe), используя технику DLL Side-Loading.
Загрузчик предназначен для скачивания вредоносной нагрузки с сервера атакующих, закрепления ее на хосте в автозагрузке системы, а также открытия отвлекающего PDF-документа.
Его код обфусцирован, а строки закодированы Base64 и зашифрованы XOR с ключом в виде строки UTF-8. XOR-ключ для каждого экземпляра загрузчика уникальный.
Предположительно, на стороне атакующих производится проверка целевой системы.
В свою очередь, вторая волна атак была таргетирована, преимущественно, на молдавские компании, с возможным распространением на российские.
Новый вариант загрузчика распространялся под видом графика обмена служебных отпусков, рекомендаций по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-вымогателей.
Как и в предыдущей кампании, вредоносная рассылка, предположительно, осуществлялась посредством фишинговых писем, содержащих ссылку для загрузки архива.
Широкое применение легитимных средств и обфускации вредоносного кода позволяет Silent Werewolf оставаться незамеченными продолжительное время и достигать цели кибератаки.
Подробный технический разобрали сценариев атак и индикаторы - в отчете.
Исследователи из Лаборатории Касперского в своем новом отчете обращают внимание на актуальность проблем, связанных с защитой контейнеризованной инфраструктуры.
Несмотря на то, что атаки на контейнеры происходят не так часто, как на другие системы, но это не делает их менее опасными.
В новой раскрытой ЛК кампании контейнеризованные среды были скомпрометированы комбинацией ранее известного майнера и нового вредоносного ПО под названием nginx.
Причем один зараженный контейнер сканирует интернет в поисках открытых API Docker, эксплуатирует их, создавая новые вредоносные контейнеры и заражая существующие.
Новые «зомби» приступают к добыче криптовалюты Dero и распространяют инфекцию дальше.
Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
Как показал анализ, злоумышленники получили начальный доступ к активной контейнеризованной инфраструктуре через открытый API Docker, не защищенный должным образом.
В результате были скомпрометированы существующие контейнеры и развернуты новые - не только для майнинга криптовалюты на ресурсах жертвы, но и для проведения внешних атак с целью распространения в других сетях.
Согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375, что дает представление о разрушительном потенциале описанной угрозы и подчеркивает необходимость адежной защиты контейнеров.
Технические подробности цепочки заражения и индикаторы компрометации - в отчете.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозами. В новой подборке:
1. Pentestpartners нашли способ обойти ограниченный просмотр и считать защищенные файлы, хранящиеся на серверах Microsoft SharePoint, включая обман агента ИИ.
2. Исследователи Project Discovery обнаружили три уязвимости в платформе оркестровки сети Versa Concerto, которые можно объединить в цепочку для атаки и захвата экземпляров Concerto.
Одна из них - обход аутентификации (CVE-2025-34027) с оценкой серьезности 10/10. Исследователи уведомили Versa Networks о трех проблемах в феврале, но неясно, были ли выпущены исправления.
3. Омер Майраз из Legit Security представил сценарий, согласно которому злоумышленники могут внедрить вредоносные подсказки в комментарии исходного кода и атаковать помощника GitLab Duo AI, чтобы украсть исходный код или выполнить другие вредоносные действия.
4. Исследователи Horizon3 опубликовали технический анализ CVE-2025-32756, активно эксплуатируемой уязвимости нулевого дня в телефонных системах FortiVoice.
5. Profero опубликовала технический анализ двух 0-day Ivanti, эксплуатируемых в реальных условиях (CVE-2025-4427 и CVE-2025-4428) связанной с КНР UNC5221, которая ранее также атаковала устройства Palo Alto Networks и SAP для развертывания маяков KrustyLoader и Sliver.
6. Rhino Security выкатила описание для CVE-2025-26147, уязвимости RCE после аутентификации в Denode Scheduler.
7. 8Com опубликовала подробности CVE-2025-26817, уязвимости RCE после аутентификации в Netwrix Password Secure, корпоративном менеджере паролей.
8. Разработчики библиотеки аутентификации Samlify Node.js выпустили исправления для устранения атаки с использованием упаковки подписей, которая могла использоваться для обхода аутентификации SAML SSO (CVE-2025-47949).
9. CISA предупреждает компании о широкомасштабной кампании, направленной на использование уязвимости Commvault (CVE-2025-3928 с CVSS 8,7) с целью взлома сред Azure.
Commvault исправила ошибку в конце февраля, но в начале мая обновила рекомендации, предупредив, что злоумышленники могли получить доступ к подмножеству учетных данных приложений, которые некоторые клиенты Commvault используют для аутентификации своих сред M365.
10. Более 100 устройств AutomationDirect MB-Gateway могут быть уязвимы для удаленных атак из Интернета из-за CVE-2025-36535 (CVSS 10). При этом уязвимый шлюз Modbus используется по всему миру, в том числе в критически важной инфраструктуре.
11. Atlassian опубликовала восемь рекомендаций, в которых подробно описаны шесть серьезных уязвимостей в Bamboo, Confluence, Fisheye/Crucible и Jira. Все дефекты были выявлены в сторонних зависимостях, их эксплуатация позволяет вызвать DoS или EoP в уязвимой системе.
12. GitLab объявил об исправлении 10 ошибок, влияющих на GitLab Community Edition (CE) и Enterprise Edition (EE). Наиболее важная CVE-2025-0993 высокой степени серьезности, которую могут использовать аутентифицированные злоумышленники для вызова состояния DoS.
13. Cisco опубликовала десять рекомендаций по безопасности, в которых подробно описаны более десятка уязвимостей, включая две критически важные уязвимости в Identity Services Engine (ISE) и Unified Intelligence Center - CVE-2025-20152 и CVE-2025-20113.
Силовики продолжают пылесосить киберподполье, реализуя масштабные международные скоординированные операции в отношении инфраструктуры и связанных с ними лиц, причастных к ransomware и популярным вредоносным ПО.
В рамках последней итерации запущенной еще в мае 2024 «Операции «Эндшпиль» коалиция правоохранителей отключила около 300 серверов по всему миру, нейтрализовала 650 доменов и выдала ордера на арест 20 киберпрестпуников в период с 19 по 22 мая 2025 года.
Как отмечают представители Европола, она нацелена на новые варианты вредоносного ПО и их преемников, которые вновь появились после предыдущих облав. В их числе: Bumblebee, Lactrodectus, QakBot, DanaBot, TrickBot и WARMCOOKIE.
В ходе операции было изъято 3,5 млн евро в криптовалюте, в результате чего общая сумма, изъятая в ходе операции, составила более 21,2 млн евро.
Помимо этого, Минюст США также предъявил обвинения 16 лицам, предположительно, являющимся частью российской киберпреступной группировки, которая контролировала операцию по созданию вредоносного ПО DanaBot.
Согласно материалам, ботнет задействовался для развертывания дополнительных вредоносных ПО, включая ransomware, и заразил более 300 000 компьютеров по всему миру, нанеся ущерб более чем на 50 миллионов долларов.
Вредоносное ПО DanaBot активно с 2018 года, работает по модели MaaS. Способно перехватывать банковские сеансы, красть данные браузера, а также предоставлять полный удаленный доступ к скомпрометированным системам и контролировать действия пользователей.
Министерство выразило признательность специаоситам Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru и Zscaler за предоставление «ценной помощи».
Кроме того, Европол раскрыл подробности другой международной операции под названием RapTor, нацеленной на пресечение каналов продажи оружия, наркотиков и контрафакта.
По результатам арестовано 270 селлеров и участников даркнет-ресурсов в 10 странах: США (130), Германия (42), Великобритания (37), Франция (29), Южная Корея (19), Австрия (4), Нидерланды (4), Бразилия (3), Швейцария (1) и Испания (1).
Подозреваемые, отметил Европол, были идентифицированы на основе разведданных, собранных в ходе прошлых операции в отношении Nemesis, Tor2Door, Bohemia и Kingdom Markets.
Наряду с арестами правоохранители изъяли €184 млн наличными и криптовалютой, 2 тонны наркотиков, 180 единиц огнестрельного оружия, 12 500 контрафактных товаров, включая более 4 тонн табака.
Так что, не одной Lumma досталось.
Правоохранительные органы Финляндии, Нидерландов (1) и США (2) нейтрализовали инфраструктуру AVCheck, подпольного сервиса, популярного в среде киберпреступности.
AVCheck функционирует уже более десяти лет и позволяет разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.
Он запускал их в изолированных облачных средах, отключая телеметрию и не уведомляя инфосек-компании об обнаружении вредоносного ПО.
Злоумышленники закупали подписки на AVCheck, загружали свои полезные нагрузки, дорабатывали код до тех пор, пока он не переставал выдавать детекты, а затем использовали его в реальных атаках, зная, что он не будет обнаружен.
Сайт, который специалисты по безопасности называют Counter AntiVirus (CAV), является одним из нескольких подобных сервисов, существующих в сети и являющихся важной частью подпольной экосистемы киберпреступности.
Под арест в итоге попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.
Последние два также управлялись администраторами AVCheck, позволяли разработчикам вредоносного ПО шифровать и скрывать исходный код полезной нагрузки, чтобы повысить шансы уклонения от обнаружения.
В своем ТГ-канале администраторы AVCheck заявили, что сервисы были отключены «из-за непредвиденных обстоятельств».
В свою очередь, голландская полиция утверждает, что перед блокировкой им удалось запустить фейковую страницу входа на AVCheck для сбора данных о пользователях, предупреждая затем их об опасности использования сервиса.
Ликвидация AVCheck стала частью правоохранительной операции Endgame, которая стартовала в прошлом году и была нацелена на основные сервисы киберподполья.
К настоящему моменту жертвами силовой операции стали семь вредоносных ботнетов, использовавшихся для первоначального доступа к корпоративным и государственным системам, а также теперь и AVCheck.
Компания-разработчик ПО из Флориды ConnectWise стала жертвой APT-атаки, которая затронула среду и ограниченное количество клиентов ScreenConnect.
ConnectWise реализует решения по управлению ИТ, удаленному мониторингу, кибербезопасности и автоматизации для поставщиков управляемых услуг (MSP) и ИТ-структур.
Одним из ее продуктов является ScreenConnect - инструмент удаленного доступа и поддержки, позволяющий техническим специалистам безопасно подключаться к клиентским системам для устранения неполадок, установки исправлений и обслуживания системы.
К расследованию оперативно привлекли специалистов Mandiant и силовой блок.
По некоторым сведениям, нарушение произошло в августе 2024 года, а ConnectWise обнаружили подозрительную активность только в мае 2025 года, а в результате инцидента пострадали только облачные экземпляры ScreenConnect.
Позже Джейсон Слэгл, руководитель CNWR, заявил, что пострадало ограниченное число клиентов, что указывает на вероятную целевую атаку в отношении конкретных организаций.
На Reddit клиенты поделились дополнительной информацией, заявляя о том, что инцидент связан с уязвимостью ScreenConnect, отлеживаемой как CVE-2025-3935, которая была исправлена 24 апреля.
CVE-2025-3935 представляет собой серьезную ошибку внедрения кода ViewState, вызванную небезопасной десериализацией ASP.NET ViewState в ScreenConnect версии 25.2.3 и более ранних.
Злоумышленник с привилегированным доступом на системном уровне может красть секретные машинные ключи, используемые сервером ScreenConnect, и использовать их для создания вредоносных полезных нагрузок, которые запускают удаленное выполнение кода на сервере.
ConnectWise не указывала на эксплуатацию именной этой уязвимости, однако присвоила ей «высокий» приоритет, что свидетельствует о ее активном использовании, либо значительных рисках использования.
Компания отметила, что уязвимость была устранена на ее облачных платформах ScreenConnect по адресам «screenconnect.com» и «hostedrmm.com» до того, как она была публично раскрыта клиентам.
Поскольку нарушение затронуло только размещенные в облаке экземпляры ScreenConnect, вполне возможно, что злоумышленники сначала взломали системы ConnectWise и похитили ключи машины.
Используя их, злоумышленники смогли бы осуществить удаленное выполнение кода на серверах ScreenConnect компании и потенциально получить доступ к средам клиентов.
Однако ConnectWise не подтвердила, были ли взломаны экземпляры клиентов именно таким образом.
Более того, компания даже не поделилась IOC и любой другой информацией о произошедшем.
Причем в прошлый раз годом ранее другая CVE-2024-1709 в ScreenConnect также использовалась бандами вымогателей и северокорейской APT для запуска вредоносного ПО.
Так что будем следить за развитием ситуации.
🔐 С чего начать? Схема карьерных треков в кибербезопасности.
• На интерактивной схеме показаны рабочие роли (трудовые функции) в области кибербезопасности, сформированные на основе анализа текущих вакансий.
• Если вы задаетесь вопросом "как развиваться в кибербезопасности и куда расти? Какие задачи вы сможете решать через несколько лет? Сможете ли вы изменить свой карьерный путь, если поймете, что вам становится скучно?", то эта карта вам обязательно поможет:
➡ https://cybersecurity-roadmap.ru
• На схеме показаны девять направлений (ролей) развития специалиста по кибербезопасности:
➡Безопасность объектов критической информационной инфраструктуры;
➡Исследование безопасности;
➡Управление уязвимостями;
➡Администрирование средств защиты информации;
➡Аналитик SOC;
➡Комплаенс-аналитика;
➡Аналитика ИБ;
➡Безопасная разработка приложений.
• В процессе движения по карьерному пути специалист по кибербезопасности пробует себя в различных ролях и, как следствие, может претендовать на новые должности в компании, подразумевающие более сложные и интересные задачи.
• Специалист также может расти как эксперт в одной роли, например накапливать знания и навыки в области анализа защищенности или реверс-инжиниринга различных систем.
• В общем и целом, добавляйте ссылку в закладку и изучайте.
S.E. ▪️ infosec.work ▪️ VT
Группа Google Threat Intelligence Group (GTIG) выявила новое вредоносное ПО под названием ToughProgress в арсенале китайской APT41, которое задействует инфраструктуру Google Calendar и Workspace для C2, скрывая вредоносную активность за доверенным облачным сервисом.
Использование Google Calendar в качестве механизма C2 не является новинкой, не так давно Veracode сообщила о вредоносном пакете в Node Package Manager (NPM), использовавшем похожую тактику.
Кроме того, ранее APT41 также злоупотребляла сервисами Google, в том числе Google Таблицы и Google Диск во рамках проведения вредоносной кампании Voldemort в апреле 2023 года.
Обнаруженная в конце 2024 года новая цепочка заражения начинается с отправки вредоносного электронного письма, содержащего ссылку на ZIP-архив, размещенный на ранее взломанном правительственном веб-сайте.
Архив содержит файл Windows LNK, выдающий себя за документ PDF, основную полезную нагрузку, замаскированную под файл изображения JPG, и файл DLL, используемый для расшифровки и запуска полезной нагрузки, также замаскированный под файл изображения.
DLL - это PlusDrop, компонент, который расшифровывает и выполняет следующий этап, PlusInject, полностью в памяти. Затем последний выполняет очистку легитимного процесса Windows svhost.exe и внедряет финальную стадию ToughProgress.
Вредоносная ПО подключается к жестко запрограммированной конечной точке Google Calendar и опрашивает определенные даты событий для команд, которые APT41 добавляет в поле описания скрытых событий.
После их выполнения ToughProgress возвращает результаты в новые события календаря, чтобы злоумышленник мог соответствующим образом скорректировать свои дальнейшие действия.
Поскольку полезные данные выполняются в памяти, а связь с C2 осуществляется через легитимный облачный сервис, вероятность обнаружения вредоносным ПО на зараженном хосте минимальна.
Тем не менее Google выявила подконтрольные злоумышленникам экземпляры Google Calendar и удалила все связанные с ними учетные записи Workspace и соответствующие события Calendar.
В отчете не названы конкретные скомпрометированные организации или жертвы, но Google утверждает, что уведомила их напрямую в сотрудничестве с Mandiant.
Google также поделилась образцами ToughProgress и журналами трафика с жертвами, чтобы помочь им выявить заражения в своих средах.
Более 9000 маршрутизаторов ASUS скомпрометированы новым ботнетом, получившим название AyySSHush, который также нацелен на маршрутизаторы SOHO от Cisco, D-Link и Linksys.
Кампания была обнаружена исследователями GreyNoise в середине марта 2025 года, которые полагают, что за вредоносной активностью может стоять неназванная APT.
Атаки сочетают в себе подбор учетных данных для входа, обход аутентификации и эксплуатацию старых уязвимостей для взлома маршрутизаторов ASUS, включая модели RT-AC3100, RT-AC3200 и RT-AX55.
В частности, злоумышленники используют старую уязвимость внедрения команд CVE-2023-39780, чтобы добавить свой собственный открытый ключ SSH и разрешить демону SSH прослушивать нестандартный TCP-порт 53282, обеспечивая бэкдор-доступ к устройству даже между перезагрузками и обновлениями прошивки.
Поскольку этот ключ добавляется с использованием официальных функций ASUS, обновление прошивки не удалит SSH-бэкдор.
Атака особенно скрытна и не задействует вредоносное ПО, при этом злоумышленники также отключают ведение журнала и функцию Trend Micro AiProtection, чтобы избежать обнаружения.
GreyNoise сообщает о регистрации всего 30 вредоносных запросов, связанных с этой кампанией, за последние три месяца, тем не менее к настоящему времени сообщается о 9000 зараженных маршрутизатоах ASUS.
Также отмечается, что текущая кампания, по всей видимости, пересекается с деятельностью, которую Sekoia отслеживает как Vicious Trap, однако в данном случае злоумышленники использовали CVE-2021-32030 для взлома маршрутизаторов ASUS.
В ходе кампании злоумышленники нацелились на маршрутизаторы SOHO, SSL VPN, DVR и контроллеры BMC от D-Link, Linksys, QNAP и Araknis Networks.
Точная цель работы AyySSHush остается неясной, поскольку нет никаких признаков DDoS или использования устройств для проксирования вредоносного трафика через маршрутизаторы ASUS.
Однако в ходе взломов маршрутизаторов, за которыми наблюдала Sekoia, был загружен и запущен вредоносный скрипт для перенаправления сетевого трафика из скомпрометированной системы на сторонние устройства, контролируемые злоумышленником.
Исследователи полагают, что в настоящее время, судя по всему, операторы незаметно создают сеть маршрутизаторов со скрытыми входами, закладывая основу для будущего ботнета.
В свою очередь, ASUS выпустила обновления, устраняющие уязвимость CVE-2023-39780 для затронутых маршрутизаторов, хотя точное время доступности зависит от модели.
Пользователям рекомендуется как можно скорее обновить прошивку и проверить наличие подозрительных файлов и добавление SSH-ключа злоумышленника (IoCs здесь) в файле authorized_keys.
Кроме того, GreyNoise указала четыре IP-адреса, связанных с этой активностью, которые следует добавить в черный список: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 и 111.90.146[.]237.
Исследователи Patchstack раскрыли критическую неисправленную уязвимость, влияющую на плагин TI WooCommerce Wishlist для WordPress, которую могут использовать неавторизованные злоумышленники для загрузки произвольных файлов.
TI WooCommerce Wishlist, имеющий более 100 000 активных установок, представляет собой инструмент, позволяющий пользователям сайтов сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.
Плагин подвержен уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2025-47577 и имеет оценку CVSS 10,0.
Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года.
В настоящее время нет доступного исправления.
Исследователи отмечают, что проблема кроется в функции под названием tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую собственную функцию WordPress wp_handle_upload для выполнения проверки, но устанавливает для параметров переопределения test_form и test_type значение «false».
Переопределение test_type используется для проверки того, соответствует ли тип файла MIME ожидаемому, тогда как test_form проверяет, соответствует ли параметр $_POST['action'] ожидаемому.
Установка test_type в значение false позволяет эффективно обойти проверку типа файла, тем самым позволяя загружать файлы любого типа.
При этом уязвимая функция доступна через tinvwl_meta_wc_fields_factory или tinvwl_cart_meta_wc_fields_factory, которые доступны только при активном плагине WC Fields Factory.
Это также означает, что успешная эксплуатация возможна только в том случае, если плагин WC Fields Factory установлен и активирован на сайте WordPress, а интеграция включена в плагине TI WooCommerce Wishlist.
В гипотетическом сценарии атаки злоумышленник может загрузить вредоносный PHP-файл и осуществить удаленное выполнение кода, напрямую получив доступ к загруженному файлу.
Разработчикам рекомендуется удалить и избегать установки 'test_type' => false при использовании wp_handle_upload().
При отсутствии патча пользователям плагина настоятельно рекомендуется деактивировать его и удалить со своих сайтов.
Китайская инфосек-компания QiAnXin обращают внимание зарубежных партнеров на необходимость более обдуманного использования термина CN-Nexus, когда речь заходит «китайскоязычных злоумышленниках».
Как отмечают исследователи, на самом деле, китайскоязычные злоумышленники присутствуют по всей Восточной и Юго-Восточной Азии.
Среди них представлены и восточноазиатские «аутсорсинговые» игроки, в числе которых исследователи выделяют Operation EviLoong и Operation Giant, которые на высоком уровне реализуют кибершпионскую деятельность, преследуя, прежде всего, собственные интересы.
Кроме того, есть и другие профессиональные команды, одной из которых и посвящен их новых отчет, - UTG-Q-015.
Группа базируется в Юго-Восточной Азии и предоставляющей услуги проникновения и разведки местным компаниям и учреждениям.
Причем эти две категории акторов никак не взаимосвязаны и более того даже нацелены друг на друга.
Этим QiAnXin объясняет, в частности, вторжение UTG-Q-015 на форумы разработчиков в прошлом году, включая крупный инцидент с CSDN для реализации атаки watering hole.
Взлом крупнейшего в Китае IT-портала был частью явной «войны аутсорсинга» и проводился в качестве контратаки из соображений мести.
Причем сайт был одним из немногих аналогичных порталов, взломанных группой.
Помимо этого UTG-Q-015 отметилась задействованием 0day/Nday для вторжения на правительственные и корпоративные веб-сайты, а также нацеливанием финансовый сектор и ИИ.
Подробно останавливаться на этих кампаниях не будем, технический разбор инструментария и TTPs UTG-Q-015 описан в отчете.
Банда вымогателей DragonForce успешно препарировала SimpleHelp в рамках атаки на цепочку поставок MSP, используя платформу удаленного мониторинга и управления (RMM) для кражи данных и развертывания шифровальщиков в системах клиентов.
SimpleHelp - это коммерческий инструмент удаленной поддержки и доступа, который обычно используется поставщиками управляемых услуг для управления системами и развертывания ПО в сетях клиентов.
К расследованию были привлечены исследователи Sophos, которые отметили задействование вымогателями цепочки старых уязвимостей SimpleHelp, отслеживаемых как CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726, для взлома системы.
Злоумышленники сначала использовали SimpleHelp для проведения разведывательной работы в клиентских системах и сбора информации о клиентах MSP, включая имена и конфигурацию устройств, пользователей и сетевые подключения.
Затем злоумышленники попытались украсть данные и развернуть ransomware в сетях клиентов, которые были заблокированы в одной из сетей с помощью защиты конечных точек Sophos.
Однако не всем так повезло, часть клиентов столкнулась с инцидентами: их устройства были зашифрованы, а данные украдены в рамках проведения атак с двойным вымогательством.
Замеченные индикаторы, связанные с этой атакой, - отчете Sophos.
Вообще же, MSP всегда время были заветной целью банд вымогателей, которая потенциально могла их привести к атакам сразу на несколько компаний.
Операторы особенно трепетно относятся к SimpleHelp, ConnectWise ScreenConnect и Kaseya.
Как мы помним, в случае с последней REvil провернула масштабную атаку, затронувшую более 1000 компаний.
Возвращаясь с DragonForce, стоит отметить их незаурядную активность, наблюдаемую в последнее время, в том числе связанную с серией резонансных взломов розничных сетей, прежде всего, британских Marks & Spencer и Co-op, а также инфраструктуры и других банд.
Кроме того, ранее DragonForce объявила о создании картели вымогателей, предлагая свою RaaS в качестве white label, позволяя операторам и другим бандам развертывать брендированные под собственный стиль версии своего шифровальщика.
Тут подъехала отраслевая самодеятельность, посвященная "таланту" Fortinet плодить уязвимости в своих продуктах.
Fighting with Ivanti for who's the worst (с)
Категорически одобряем!
(мы ведь и сами творим, по мере сил 🤔)
🥷Эксперты F6 проанализировали криминальные сделки в дарквебе
Компания F6 представила результаты исследования 🕷дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ.
По данным специалистов:
🔼 Дороже всего — доступы в партнерские программы вымогателей — до $100 000, а также 0-day — уязвимости нулевого дня — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000.
🔽 Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт.
📲 В Telegram-каналах активно работают сервисы 📱пробива, предоставляющие данные по запросу: от 📄паспортных данных и телефонов до списка недвижимости и остатков на счетах. Стоимость — от пары тысяч рублей. Такие данные активно используются для целевых атак, шантажа, корпоративного шпионажа.
Исследователи Sekoia раскрыли масштабную кампанию, связанную со взломом почти 5300 уникальных сетевых устройств в 84 странах, которые были объединены в сеть, похожую на набор ханипотов.
Компания отслеживает причастного к инциденту злоумышленника как ViciousTrap. Для реализации им задействовалась критическая уязвимость в маршрутизаторах Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325 (CVE-2023-20118).
Большинство заражений произошло в Макао, где было скомпрометировано 850 устройств.
Цепочка заражения включает в себя выполнение скрипта оболочки, NetGhost, который перенаправляет входящий трафик с определенных портов взломанного маршрутизатора в инфраструктуру, похожую на приманку, находящуюся под контролем злоумышленника, что позволяет перехватывать сетевые потоки.
Ранее Sekoia приписывала эксплуатацию CVE-2023-20118 другому ботнету, получившему название PolarEdge. Однако данных, связывающих эти два кластера активности пока нет.
Как отмечают исследователи, ViciousTrap, вероятно, создает инфраструктуру приманок, взламывая широкий спектр подключенного к Интернету оборудования, включая маршрутизаторы SOHO, SSL VPN, цифровые видеорегистраторы и контроллеры BMC более чем 50 брендов: Araknis Networks, ASUS, D-Link, Linksys и QNAP.
Реализация замысла позволит злоумышленнику наблюдать за попытками эксплуатации в нескольких средах и потенциально собирать непубличные или уязвимые места, а также повторно использовать доступ, полученный другими злоумышленниками.
Цепочка атак включает в себя нацеливание на CVE-2023-20118 для загрузки и выполнения скрипта bash через ftpget, который затем связывается с внешним сервером для извлечения двоичного файла wget.
На следующем этапе уязвимость Cisco эксплуатируется во второй раз, используя ее для выполнения второго скрипта, полученного с помощью ранее сброшенного wget.
Скрипт оболочки второго этапа NetGhost настроен на перенаправление сетевого трафика из скомпрометированной системы в стороннюю инфраструктуру, контролируемую злоумышленником, тем самым облегчая атаки типа AitM.
При этом он также располагает возможностями удаления себя из скомпрометированного хоста для уклонения от криминалистического анализа.
Sekoia заметила, что все попытки эксплуатации исходили с одного IP-адреса («101.99.91[.]151»), а самая ранняя активность датируется мартом 2025 года.
Кроме того, злоумышленники ViciousTrap также повторно использовали недокументированную веб-оболочку, ранее использовавшуюся в атаках ботнета PolarEdge, для своих собственных операций.
Ранее, в этом месяце, попытки эксплуатации также были направлены на маршрутизаторы ASUS, но с другого IP-адреса ("101.99.91[.]239"), хотя злоумышленники не были замечены в создании каких-либо ханипотов на зараженных устройствах.
Все IP-адреса, активно используемые в кампании, находятся в Малайзии и являются частью автономной системы (AS45839), управляемой хостинг-провайдером Shinjiru.
Предполагается, что злоумышленник имеет китайскоязычное происхождение, исходя из совпадения с инфраструктурой GobRAT, а также учитывая, что трафик перенаправляется на многочисленные активы на Тайване и в США.
Конечная цель ViciousTrap остается неясной, хотя Sekoia с высокой степенью уверенности оцениваем ее как сеть-приманку.
Исследователи ASEC AhnLab представили техническое описание нового типа вредоносного бэкдора, который использует протокол Bitmessage P2P для связи с C2 и был разверн вместе с криптомайнером на взломанных серверах.
Шифрование содержимого связи между конечными точками вместо использования традиционных методов HTTP-связи и IP-подключения позволяет вредоносному ПО скрывать следы своей активности.
Протокол Bitmessage - это система обмена сообщениями, разработанная с учетом анонимности и децентрализации, реализует предотвращение перехвата и анонимизацию отправителей и получателей сообщений.
Злоумышленники использовали модуль PyBitmessage, который поддерживает этот протокол в среде Python, для обмена зашифрованными пакетами в формате, похожем на обычный веб-трафик.
В частности, команды C2 и управляющие сообщения скрыты в сообщениях от реальных пользователей в сети Bitmessage, что делает очень сложным для продуктов обнаружения классификацию этого общения как вредоносного поведения.
Атака начинается с зашифрованной полезной нагрузки, которая после выполнения расшифровывает с помощью XOR и развертывает как компонент майнинга Monero, так и функциональность бэкдора.
Три файла (config.json, WinRing0x64.sys, idle_maintenance.exe), необходимые для реализации функции майнинга, создаются по пути «%Temp%\3048491484896530841649».
Вредоносный бэкдор, созданный с помощью PowerShell, устанавливает файл PyBitmessage для обработки POST-запросов, поступающих на локальный порт 8442 при первоначальном запуске.
Вредоносная ПО пытается загрузить эти файлы со страницы релизов GitHub или, в случае неудачи, с предполагаемого сайта-хостинга файлов (spcs.bio).
Бэкдор также пытается скрыться, исправляя определенные смещения в легитимных файлах, таких как QtGui4.dll, эффективно нейтрализуя их обычную функциональность, сохраняя при этом их видимость как легитимных системных компонентов.
После этого он создает несколько файлов и путей, необходимых для работы функции, затем ожидает команд от оператора, которые сохраняются и выполняются как скрипт PowerShell.
Безусловно, в текущих реалиях такой подход можно назвать инновационным, однако все новое - это хорошо забытое старое.
Почти 10 лет назад исследователи Dell SonicWALL уже рассказывали про PyBitmessage, реализованный в операциях по вымогательству с использованием трояна Chimera malware.
Подкатили интересные подробности недавней международной операции по нейтрализации Lumma Stealer.
Как сообщают админы Lumma Stealer, правоохранители предпринимали попытки физического захвата инфраструктуры в начале этого месяца, после безуспешных попыток - попросту взломали внутренние серверы.
При этом, как они утверждают, что сотрудники ФБР США задействовали эксплойт для Dell iDRAC, который позволил им произвести сбор данных и дважды зачистить имевшиеся резервные серверы.
Кроме того, спецслужбы разместили на портале фишинговую страницу для сбора данных о клиентов.
Все это произошло примерно за неделю до того, как власти официально прикрыли Lumma Stealer.
Практика наработана, подобные трюки американские спецслужбы проворачивали уже не раз.
Исследователи Cisco Talos раскрывают причастность китайской APT, которую они отслеживают как UAT-6382, к атакам на органы местного самоуправления в США с использованием 0-day в Trimble Cityworks.
CVE-2025-0994 (CVSS 8,6) была исправлена в конце января и представляет собой уязвимость десериализации, приводящую к удаленному выполнению кода (RCE) на веб-серверах Microsoft Internet Information Services (IIS) клиентов.
Cityworks - это ГИС-ориентированное решение, которое используется на критически важных объектах, включая местные органы власти и коммунальные службы, для управления и обслуживания инфраструктуры.
В феврале CISA добавила уязвимость CVE-2025-0994 в свой каталог KEV и выпустила рекомендацию по промышленным системам управления (ICS), отметив, что для эксплуатации этой ошибки требуется аутентификация.
В свою очередь, Trimble опубликовала IoC, согласно которым уязвимость использовалась для внедрения имплантов Cobalt Strike и различных семейств вредоносных ПО, но ни Trimble, ни CISA не поделились подробностями о том, кто несет ответственность за наблюдаемые атаки.
Теперь же исследователи Cisco Talos приписали активность к китайской UAT-6382, которая эксплуатирует 0-day с января 2025 года, нацеливаясь на корпоративные сети местных органов власти в США.
Выявленные IoC совпадают с теми, которыми поделилась Trimble.
Хакеры были замечены в проведении разведки, развертывании веб-оболочек и вредоносного ПО для обеспечения устойчивости, а также в попытках проникнуть в системы, связанные с управлением коммунальными услугами.
В рамках атак злоумышленники задействовали несколько вариантов веб-шелла AntSword, а также Chinatso, Behinder и различные универсальные загрузчики файлов.
Они сосканили определенные папки, идентифицировав файлы, представляющие интерес для извлечения, а также задействовали несколько бэкдоров через PowerShell.
UAT-6382 использовал загрузчик на основе Rust, получивший название TetraLoader, для загрузки и выполнения маяков Cobalt Strike, а также стейджер для развертывания VShell - импланта на основе GoLang, который обеспечивает возможности удаленного доступа, включая управление файлами, выполнение команд, захват экрана и установку прокси-сервера.
По данным Talos, китайский след объясняется сообщениями в веб-шеллах, использованием китайского конструктора вредоносного ПО MaLoader для создания TetraLoader, ручными операциями и виктимологией наряду с другими артефактами.
Исследователи из Лаборатории Касперского сообщают об атаках на российские организации с использованием вредоносного ПО Pure.
Штамм впервые обнаружен в середине 2022 года и распространяется по модели Malware-as-a-Service. Кампания, нацеленная на российский бизнес, стартовала еще в марте 2023, однако в первом квартале 2025 число атак выросло в четыре раза по сравнению с годом ранее.
Основной механизм распространения Pure в рамках этой кампании - спам с вредоносным вложением в виде RAR-архива или ссылкой на архив, маскирующемся под PDF-документ.
При этом в именах файлов используются характерные слова - в основном, сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой: «doc», «akt», «акт», «sverka», «сверка», «buh», «oplata», «оплата» и другие, а также двойное расширение .pdf.rar.
При запуске файл из архива копирует себя в %AppData% под именем Task.exe, создает в папке Startup VBS-скрипт Task.vbs для автозапуска и извлекает из ресурсов исполняемый файл StilKrip.exe, который реализует компонент PureLogs базового модуля для кражи данных.
После этого троянец извлекает и расшифровывает еще один исполняемый файл, Ckcfb.exe, запускает системную утилиту InstallUtil.exe и внедряет в ее процесс расшифрованный модуль.
Ckcfb.exe, в свою очередь, извлекает из ресурсов и расшифровывает библиотеку Spydgozoi.dll, которая и содержит основной модуль бэкдора PureRAT.
Для общения с командным сервером PureRAT устанавливает SSL-соединения и передает сообщения в формате protobuf, упакованные в gzip, указывая: идентификатор зараженного устройства, имя установленного антивируса, версию ОС, имя пользователя и компьютера, версию трояна, IP-адрес и порт С2, путь до исполняемого модуля и время, прошедшее с момента старта системы.
В ответ от С2 приходит несколько сообщений, содержащих дополнительные модули (плагины) и конфигурацию к ним. PureRAT может подгружать несколько десятков дополнительных модулей, но в текущей кампании исследователи получили и изучили только три.
Первый, PluginPcOption, способен выполнять команды на самоудаление, перезапуск текущего исполняемого файла, а также выключать или перезагружать компьютер.
Модуль PluginWindowNotify постоянно проверяет имя активного окна на наличие интересующих строк, которые получает в файле конфигурации. При обнаружении таких окон он делает скриншот. Полное имя окна, найденная в нем ключевая строка и скриншот отправляются на С2.
PluginClipper - плагин постоянно проверяет буфер обмена на наличие текста, похожего на адрес криптокошелька. Обнаружив подходящие данные, он подменяет содержимое буфера обмена и делает скриншот. Информация об адресах вместе со скриншотом отправляется на С2.
Несмотря на то что в рамках текущего исследования нам удалось получить ограниченное количество плагинов PureRAT, полный набор позволяет злоумышленникам получить полный контроль над зараженной системой.
В состав троянца входят модули для скачивания и запуска произвольных файлов, которые предоставляют полный доступ к файловой системе, реестру, процессам, камере и микрофону, реализуют функциональность кейлоггера и скрытного управления компьютером по принципу RDP.
Более подробный технический разбор, включая функционала PureLogs - в отчете.
