41023
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
📖💻Итоги работы платформы Standoff Bug Bounty за 2025 год
По данным Positive Technologies, около двух третей организаций запускают программы багбаунти именно как превентивную меру — инвестицию в устойчивость и зрелость ИБ-процессов.
При этом ожидания бизнеса в подавляющем числе случаев оправдываются: выявляются критически опасные уязвимости, повышается видимость поверхности атаки, улучшается взаимодействие между ИБ и разработкой, а уровень рисков снижается.
Ключевая ценность багбаунти для бизнеса заключается в сочетании 3 факторов:
1️⃣ Реалистичность тестирования, максимально приближенного к действиям реальных атакующих;
2️⃣ Гибкость и масштабируемость, позволяющие фокусировать усилия на приоритетных активах и сценариях;
3️⃣ Оплата за результат, а не за формальный процесс.
Эффективность программы напрямую зависит от того, насколько она продумана, спроектирована и встроена в процессы компании.
➡️ Каждый третий выявленный недостаток в целом оценивался как высокий или критический с точки зрения уровня опасности.
➡️ В 2025 году на платформе Standoff Bug Bounty было представлено 233 программы — в 2,2 раза больше, чем годом ранее.
➡️ Офлайн-бизнес стал рекордсменом по критичности находок: в этом секторе 37% принятых отчетов содержали баги с наибольшим уровнем риска.
➡️ 43 багхантера на платформе Standoff Bug Bounty стали миллионерами в прошлом году – 6 из них заработали больше 5 млн рублей за год
✋ @Russian_OSINT
Pwn2Own Automotive 2026 завершился: исследователи заработали 1 047 000 долл., продемонстрировав 76 0-day.
Соревнования по хакингу в автомобильной сфере Pwn2Own Automotive, посвященные автомобильным технологиям, прошли в период 21 по 23 января в Токио, Япония, в рамках автомобильной конференции Automotive World.
В ходе конкурса хакеры атаковали полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные операционные системы (например, Automotive Grade Linux).
Традиционно, согласно правилам, прежде чем информация будет раскрыта Trend Micro у поставщиков есть 90 дней на разработку и выпуск исправлений для 0-day, которые были реализованы в ходе конкурса Pwn2Own.
Команда Fuzzware.io одержала победу на Pwn2Own Automotive 2026, получив денежный приз в размере 215 000 долларов, за ней следуют DDOS с 100 750 долл. и Synactiv с 85 000 долл.
Fuzzware.io заработала 118 000 долл., взломав в первый день зарядную станцию Alpitronic HYC50, зарядное устройство Autel и навигационный приемник Kenwood DNR1007XR.
Они также урвали еще 95 000 долл. после демонстрации нескольких нулей в контроллере зарядки Phoenix Contact CHARX SEC-3150, зарядном устройстве ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV на второй день.
Кроме того, дополнительно 2500 зеленых они вложили в свой гонорар после обнаружения уязвимости при попытке получить root-права на мультимедийном ресивере Alpine iLX-F511 в последний день соревнований.
Команда Synacktiv получила 35 000 долл., используя уязвимость записи за пределы допустимого диапазона и утечку информации для взлома информационно-развлекательной системы Tesla с помощью USB-атаки в первый день Pwn2Own.
Полное расписание третьего дня и результаты каждого задания - здесь, полное расписание Pwn2Own Automotive 2026 - здесь.
В общем зачете, в этом году исследователям удалось препарировать на порядок большей нулей, однако поставить рекорд по части призовых не удалось, ведь годом ранее он составил 1 323 750 долл.
Солары обнаружили следы как минимум трех APT-групп в сети российской организации - Erudite Mogwai (Space Pirates), Obstinate Mogwai и GOFFEE.
Весной 2025 года исследователи выявили компрометацию инфраструктуры одной из организаций госсектора азиатской группировкой Erudite Mogwai (aka Space Pirates).
Приступив к расследованию, было обнаружено несколько зараженных систем, где среди прочего нашелся новый модульный бэкдор Shadowpad Light (aka Deed RAT).
Он позволяет загружать разные по функциональности плагины, а его устройство говорит о высокой подготовке атакующих.
Источником их заражения выступил почтовый сервер Exchange.
Как оказалось его взломали еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Что не удивительно, ведь уязвимый Exchange нередко становится лакомым кусочком для атакующих.
Несмотря на то, что данная уязвимость из 2021-го, тем не менее практика показывает, что все еще является актуальной. Другой вопрос, как уязвимый почтовый сервер оставался незамеченным так долго.
Все оказалось достаточно прозаично, ведь его установили тем же летом 2024 года и уже спустя несколько недель он попал в поле зрения сразу нескольких хакерских группировок.
В частности, при исследовании системы были обнаружены различные файлы вредоносного ПО: оригинальный ShadowPad (азиатские группы), Shadowpad Light (Erudite Mogwai), Donnect (Obstinate Mogwai) и Mythic Agent (GOFFEE).
Также кроме инструментов данных групп Солары обнаружили и IOCs, и TTPs, которые полностью соответствовали профилям атакующих.
Помимо уже известных инструментов, при исследовании системы был обнаружен новый образец модульного вредоносного ПО ShadowRelay.
Несмотря на то, что бэкдор был загружен в атакованную инфраструктуру в то же самое время, когда там присутствовала группировка Obstinate Mogwai, у Соларов пока нет достаточных свидетельств, что ShadowRelay является частью арсенала именно этой группы.
Вредоносное ПО позволяет атакующим скрытно подгружать плагины, которые реализуют необходимую в конкретной атаке функциональность, позволяя укрывать полезную нагрузку от внимания аналитиков вредоносного ПО.
Также бэкдор может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету, что позволяет ему скрытно шпионить в защищенных сегментах сети организации, общаясь через сеть зараженных машин.
Сам бэкдор не содержит полезной нагрузки для кибершпионажа или удаленного управления, но позволяет ее загрузить.
Но исследователям пока не удалось найти плагины для данного вредоносного ПО, поэтому сценарий атакующих и их цели не ясны до конца.
Имплант имеет множество функций сокрытия себя в системе. Одной из таких является инъекция себя в другие процессы.
В дополнение к этому у бэкдора есть функциональность переиспользования портов.
Все это указывает на относительно высокий уровень подготовки атакующих, а также на то, что их основная цель - длительное скрытное присутствие в атакованной инфраструктуре и шпионаж.
Подробный технический разбор новинки и IOCs - в отчете.
Киберподполье приступило к активной эксплуатации уязвимости обхода аутентификации в SmarterMail от SmarterTools, которая позволяет неавторизованным злоумышленникам сбросить пароль системного администратора и получить полные привилегии.
SmarterMail - это платформа совместной работы под управлением Windows, которая обеспечивает доступ к электронной почте по протоколам SMTP/IMAP/POP, веб-почте, календарям, контактам и базовым функциям групповой работы.
Обычно решение используется поставщиками MSP, малыми и средними предприятиями, а также хостинг-провайдерами, предоставляющими услуги электронной почты. По данным SmarterTools, ее продуктами пользуются 15 миллионов человек в 120 странах.
Исследователи watchTowr сообщили об этой проблеме 8 января, а SmarterMail выпустила исправление 15 января, присвоив CVE-2026-23760 и оценку CVSS: 9,3.
После устранения проблемы исследователи обнаружили доказательства того, что злоумышленники начали использовать её всего через два дня. По всей видимости, хакеры отреверсили патч и нашли способ реализовать уязвимость.
Уязвимость обусловлена тем, что конечная точка API force-reset-password принимает JSON-входные данные, контролируемые злоумышленником, включая логическое свойство типа IsSysAdmin, которое, если установлено в значение true, заставляет бэкэнд выполнить логику сброса пароля системного администратора.
Однако, как выяснили исследователи watchTowr, этот механизм не выполняет никаких проверок безопасности и не проверяет старый пароль, несмотря на наличие поля OldPassword в запросе.
В результате любой, кто знает или угадает имя пользователя администратора, может установить новый пароль и взломать учетную запись.
При этом проблема затрагивает только учетные записи администраторов, а не обычных пользователей.
Имея доступ уровня администратора, злоумышленники могут выполнять команды операционной системы, получая таким образом полный доступ к удаленному выполнению кода на хосте.
Исследователи watchTowr также разработали PoC-эксплойт, демонстрирующий доступ к командной оболочке на уровне SYSTEM.
Узнать об активной эксплуатации удалось благодаря анонимному пользователю, который заметил, что кто-то сбрасывает пароли администратора.
В подтверждение своих слов информатор указал исследователям watchTowr на аналогичную ситуацию, которую описывали на форуме.
Анализ общих журналов показал, что эти атаки были направлены на конечную точку force-reset-password, что подтверждает вывод об активной эксплуатации уязвимости в дикой природе.
В свою очередь, исследователи Huntress также представили отчет со своими наблюдениями за деятельностью по эксплуатации в дикой природе.
Причем двумя неделями ранее watchTowr обнаружила другую критическую RCE-уязвимость на этапе предварительной аутентификации в SmarterMail, отслеживаемую как CVE-2025-52691, что в конечно счете привело к обнаружению последней проблемы.
Пользователям SmarterMail рекомендуется обновить ПО до последней версии Build 9511, в которой устранены обе проблемы.
Исследователи F6 сообщают об обнаружении новой волны вредоносных рассылок от группировки PhantomCore, которую им удалось задетектить 19 и 21 января 2026 года.
Целями новой кампании стали российские организации в сфере ЖКХ, финансов, электронной коммерции, B2C, муниципальных услуг, в аэрокосмической, химической, строительной, производственной отраслях, а также маркетплейсы.
PhantomCore атакует российские и белорусские компании с 2022 года, впервые была обнаружена F6 в 2024 году.
Название обусловлено сочетанием слов Phantom (в .NET инструменте был неймспейс у классов «Phantom») + Core (в запланированных задачах использовали имя MicrosoftStatisticCore).
В рассылке на тему «ТЗ на согласование» используется вложение «ТЗ на согласование сб 54 от 19.01.26.zip» с двумя файлами, мимикрирующими под офисные документы.
Файл .doc при этом не является подлинным документом, представляет собой RAR‑архив, содержащим одноименную директорию, внутри которой содержатся файлы, относящиеся к действительному документу.
Причем стоит отметить использование атакующими легитимных адресов электронной почты для рассылок, что может указывать на их компрометацию.
После запуска второго LNK‑файла выполняется cmd‑команда, которая перебирает переменные окружения и ищет подстроку PSM, таким образом находит переменную окружения PSModulePath.
По разделителям s и \ определяет 4-е вхождение, которым является PowerShell, и осуществляет загрузку PowerShell‑сценария с URL‑адреса, инициируя запуск загруженного скрипта командой PowerShell.
На первой загруженный скрипт скачивает и отображает документ-приманку, реализует загрузку следующей стадии в память (PowerShell‑скрипт) и ее закрепление в планировщике задач Windows.
Вредоносного ПО написано на PowerShell и практически идентично ранее известному PhantomCore.PollDL (PhantomeRemote). Развертывание реализуется в несколько стадий.
Как отмечают специалисты F6, в ходе исследования им удалось обнаружить целый перечень схожих ресурсов с вредоносными скриптами.
Технические подробности и IOCs - в отчете. Полный анализ вредоносного ПО на Malware Detonation Platform от компании F6 доступен - здесь.
На второй день хакерского поединка Pwn2Own Automotive 2026 исследователи пополнили свой гонорар на 439 250 долл., реализовав 29 уникальных 0-day.
Ежегодный Pwn2Own Automotive, посвященный автомобильным технологиям, проходит в Токио, Япония, с 21 по 23 января, в рамках автомобильной конференции Automotive World.
В ходе соревнований исследователи нацеливаются на полностью обновленные зарядные устройства для электромобилей (EV), автомобильные информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux).
В настоящее время команда Fuzzware.io лидирует в турнирной таблице с 213 000 долл., заработанными за первые два дня, и еще 95 000 долл. после препарирования контроллера зарядки Phoenix Contact CHARX SEC-3150, зарядного устройства ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV.
Сина Хейрхах из Summoning Team получила 40 000 долл. за root-права на навигационном ресивере Kenwood DNR1007XR, зарядном устройстве ChargePoint Home Flex и мультимедийном ресивере Alpine iLX-F511.
Роб Блейкли из Technical Debt Collectors и Хэнк Чен из InnoEdge Labs также получили по 40 000 зеленых каждый за демонстрацию цепочек 0-day эксплойтов, нацеленных на Automotive Grade Linux и зарядную станцию Alpitronic HYC50.
По итогам первых двух дней конкурса исследователи заработали денежные призы на сумму 955 750 долларов, успешно использовав 66 нулей.
В третий день Pwn2Own команда Slow Horses из Qrious Secure и PetoWorks предпримет еще одну попытку атаки на Grizzl-E Smart 40A, команда Juurin Oy попытается взломать Alpitronic HYC50, а Рё Като - Autel MaxiCharger.
Подробное расписание второго дня с результатами каждого задания - здесь, а полное расписание всего Pwn2Own Automotive 2026 - здесь.
GitLab предупреждает об устранении серьезных уязвимостей, которые приводят к обходу 2Fa и способны вызвать атаки типа DoS.
Первая под номером CVE-2026-0723 связана с недостатком неконтролируемого возвращаемого значения в службах аутентификации GitLab, что позволяет злоумышленникам, знающим идентификатор учетной записи жертвы, обходить двухфакторную аутентификацию, отправляя поддельные ответы устройства.
GitLab также устранила две серьезные уязвимости, затрагивающие GitLab CE/EE, которые позволяли неавторизованным злоумышленникам инициировать атаки типа DoS посредством отправки специально сформированных запросов с некорректными данными аутентификации (CVE-2025-13927) и используя некорректную проверку авторизации в конечных точках API (CVE-2025-13928).
Кроме того, закрыты две уязвимости средней степени серьезности, представляющие собой DoS, которые могут быть использованы путем настройки некорректно сформированных документов Wiki, обходящих обнаружение циклов (CVE-2025-13335), и отправки повторных некорректно сформированных запросов на аутентификацию SSH (CVE-2026-1102).
Для устранения этих уязвимостей в системе безопасности компания выпустила версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition (CE) и Enterprise Edition (EE) и рекомендовала администраторам как можно скорее обновиться до последней версии.
На GitLab.com уже установлена исправленная версия. Клиентам GitLab Dedicated никаких действий предпринимать не нужно.
Продолжаем отслеживать наиболее трендовые уязвимости, среди которых отметим следующие:
1. Разработчики библиотеки GNU C исправили ошибку в своем коде, датируемую 1996 годом. Согласно сообщениям, сценарии эксплуатации ограничены, поэтому это не представляет собой большой проблемы.
2. Cloudflare устранила уязвимость в своем менеджере сертификатов ACME, которая позволяла злоумышленникам обходить средства контроля безопасности и межсетевые экраны.
3. Amazon исправила ошибку конфигурации в своих репозиториях GitHub, которая позволяла захватить контроль над важными ресурсами AWS. Проблема заключалась в том, как конвейеры AWS CodeBuild CI обрабатывали триггеры сборки.
Отсутствие двух символов в фильтре регулярного выражения могло позволить удаленным злоумышленникам захватить репозитории AWS с административным доступом.
В репозиториях размещались ресурсы JavaScript, которые обеспечивали работу как учетных записей клиентов, так и самой консоли бэкэнда AWS.
4. Google Project Zero представила ZeroClick-эксплойт, который позволяет скомпрометировать смартфоны Android через аудиодекодер Dolby.
Эксплойт работает в виду того, что большинство коммуникационных приложений Android автоматически обрабатывают входящие аудиовложения в фоновом режиме.
Эксплойт был протестирован на Pixel 9, но, как полагают исследователи Google, атака должна быть универсальной для большинства устройств Android. Подробности в трех частях - 1, 2 и 3.
5. В Livewire, компоненте файлового менеджера для сайтов на базе Laravel, обнаружена незакрытая уязвимость, позволяющая загружать вредоносные PHP-файлы на удаленный сервер и легко запускать их выполнение.
При этом Laravel - самый популярный на сегодняшний день PHP-фреймворк. Однако ни разработчики Livewire, ни Laravel ничего не ответили исследователям по поводу зияющей дыры.
6. Новое исследование Cyata выявило уязвимости в серверах, соединяющих LLM-модули с локальными данными через MCP-интерфейс Anthropic. Все затрагивают официальный сервер Git MCP (mcp-server-git) и отслеживаются как CVE-2025-68143, CVE-2025-68145 и CVE-2025-68144.
Исследователи продемонстрировали, как злоумышленник может использовать уязвимости для выполнения произвольного кода, чтения и удаления файлов, причем атака работает против любой конфигурации.
7. TP-Link выкатила обновление для своих камер VIGI с исправлениями критической уязвимости, позволяющей злоумышленникам в локальной сети обходить аутентификацию в процессе сброса пароля. Уязвимость затрагивают 32 модели камер VIGI.
8. Zafran отмечает, что две серьезные уязвимости в Chainlit (имеющий ежемесячно более 700 000 раз на PyPI) подвергают крупные предприятия атакам, ведущим к раскрытию конфиденциальной информации.
Затронуты все версии Chainlit до 2.9.4. Проблемы отслеживаются как CVE-2026-22218 и CVE-2026-22219 и позволяют злоумышленникам читать произвольные файлы (переменные окружения) и отправлять запросы к внутренним сетевым службам или конечным точкам метаданных облака.
9. MITRE объявила о запуске Embedded Systems Threat Matrix (ESTM), системы кибербезопасности, разработанной для оказания помощи организациям в защите критически важных встроенных систем.
Созданная по мотивам популярной ATT&CK и основанная на теоретических исследованиях и экспериментальных моделях MITRE, ESTM классифицирует конкретные тактики и методы атак, адаптированные к аппаратной и программной средам.
ESTM работает с моделью угроз EMB3D. С момента выхода первой версии ESTM была значительно усовершенствована и теперь называется ESTM 3.0.
На прошлой неделе Check Point выкатила отчет по VoidLink, описав его как продвинутую платформу для вредоносных ПО под Linux, предлагающую пользовательские загрузчики, имплантаты, модули руткитов для обхода защиты и десятки плагинов, расширяющих функциональность.
Исследователи подчеркнули сложность структуры вредоносного ПО, предположив, что оно, вероятно, было разработано китайскими разработчиками, «обладающими глубокими знаниями в нескольких языках программирования».
В дополнительном отчете исследователи Check Point сообщают о выявлении явных доказательств того, что ориентированное на облачные технологии вредоносное ПО было разработано одним автором с помощью ИИ и достигло функциональной версии в течение недели.
Вывод основан на многочисленных нарушениях OpSes со стороны разработчика VoidLink, в результате которых удалось раскрыть исходный код, документацию, планы спринтов и внутреннюю структуру проекта.
Одной из ошибок злоумышленников стало раскрытие открытого каталога на их сервере, в котором хранились различные файлы, относящиеся к процессу разработки.
Она, вероятно, началась в конце ноября 2025 года, когда разработчик обратился к TRAE SOLO, ИИ-помощнику, встроенному в TRAE, интегрированную среду разработки, ориентированную на ИИ.
Несмотря на отсутствие доступа к полной истории переписки в IDE, исследователи обнаружили на сервере злоумышленника вспомогательные файлы из TRAE, которые содержали ключевые фрагменты исходных инструкций, предоставленных модели.
По всей видимости, сгенерированные TRAE файлы были скопированы вместе с исходным кодом на сервер злоумышленника, а затем были раскрыты из-за открытого каталога.
Как отмечают в Check Point, эта утечка дала необычайно достоверную информацию о самых ранних директивах проекта.
Согласно анализу, злоумышленник использовал метод разработки, основанный на спецификациях (Spec-Driven Development), для определения целей проекта и установления ограничений, а затем поручил ИИ сгенерировать план разработки для нескольких команд, охватывающий архитектуру, спринты и стандарты.
Затем разработчик вредоносного ПО использовал эту документацию в качестве плана выполнения для кода, сгенерированного ИИ.
В разработанной документации описывается работа трех команд, длившаяся 16-30 недель, но, судя по временным меткам и меткам времени тестовых артефактов, обнаруженным Check Point, VoidLink был готов к работе уже через неделю, достигнув объема кода в 88 000 строк к началу декабря 2025 года.
После этого Check Point подтвердила, что спецификации спринта и восстановленный исходный код практически точно совпадают.
Исследователям удалось успешно воспроизвести рабочий процесс, подтвердив, что агент ИИ способен генерировать код, структурно похожий на код VoidLink.
Check Point полагает, что не имеет никаких сомнений относительно происхождения кода, описывая VoidLink как первый задокументированный пример сложного вредоносного ПО, созданного с помощью ИИ.
Таким образом, VoidLink знаменует собой новую эру, когда один разработчик вредоносного ПО с глубокими техническими знаниями может достичь результатов, ранее доступных только хорошо обеспеченным в ресурсом плане командам.
По ходу вымогатели выпотрошили одного из ключевых подрядчиков Apple по сборке iPhone, AirPods, Apple Watch и Vision Pro - китайскую компанию Luxshare.
Расположенная в Шэньчжэне компания является гигантом в индустрии электроники и насчитывает более 230 000 сотрудников, имея выручку в 37 миллиардов долларов.
Согласно Wall Street Journal, особую важность Luxshare для цепочки поставок Apple резко приобрела после того, как ее основной сборщик, Foxconn, пережил серию протестов, которые привели к приостановке производства.
Причастная к инциденту банда RansomHub угрожают опубликовать украденные данные Apple, Nvidia, LG и др., если не получат назначенный выкуп.
Сама же утечка данных Luxshare, предположительно, произошла в прошлом месяце, при этом злоумышленники заявили, что данные ключевых партнеров Apple были зашифрованы 15 декабря 2025 года.
Злоумышленники утверждают, что получили доступ к различной проектной и технической документации продуктов Apple, Nvidia LG, Geely, Tesla и других крупных компаний, включая:
- 3D CAD-модели и инженерная документация;
- доступ к высокоточным геометрическим данным для продукции Parasolid;
- 2D-чертежи компонентов для производства;
- чертежи механических компонентов;
- конфиденциальные инженерные чертежи в формате PDF;
- электронная проектная документация;
- данные по электрической и компоновочной архитектуре;
- данные по производству печатных плат.
В свою очередь, представители Cybernews утверждают, что утечка данных включает конфиденциальные материалы по продукции Apple-Luxshare, персональные данные сотрудников и файлы дизайна продукции за период с 2019 по 2025 год.
Несмотря на то, что утечка данных ассемблерного кода со стороны Apple пока не подтверждена, команда Cybernews полагает, что информация, содержащаяся в публикации хакеров, выглядит более чем достоверной.
Пока можно констатировать, что в результате взлома потенциальные конкуренты смогут получить реализовать реверс проектирование продукции, производить контрафактные товары и использовать уязвимости оборудования в устройствах Apple.
Кроме того, уязвимости оборудования, компоновка микросхем и системы питания может найти применение в потенциальных атаках на встроенное ПО или цепочку поставок.
В любом случае последствия инцидента, если он подтвердится, будут катастрофическими для затронутых технологических компаний. Так что, по вероятно, по поводу выкупа стороны быстро придут к компромиссу. В любом случае, будем следить.
🌐 Безобидное приглашение в календарь стало оружием против Google Gemini
Исследовательская группа Лиада Элияху обнаружила критическую уязвимость в экосистеме Google, превращающую стандартное приглашение в календарь в ❗️вектор скрытой атаки. Если пользователь активировал Gemini и предоставил ему доступ к Google Calendar, то злоумышленник может отправить жертве стандартное приглашение на встречу.
В поле «Описание» он прячет текст, который выглядит правдоподобно как просьба пользователя, но по смыслу является вредоносной инструкцией для ИИ-помощника. В отчёте Miggo это описано как «спящая нагрузка», спрятанная в обычном приглашении, позволяющая обойти настройки приватности Google Calendar. Это не исполняемый код и не ссылка, а именно вредоносная текст-инструкция, рассчитанная на то, что ИИ-модель обработает её как указание к действию.
Никаких «кликов» не требуется. Достаточно, чтобы пользователь позже задал Gemini рутинный вопрос о расписании, например: «Свободен ли я в субботу?». Тогда Gemini, стремясь корректно ответить, подтягивает контекст событий календаря (в том числе их описания) и «натыкается» на заложенную инструкцию.
Gemini создаёт новое событие в календаре и помещает туда всю сводку, например, корпоративных встреч пользователя (названия, время, участники и прочие детали). Пользователь получает от Gemini безобидный ответ (например, «это свободный слот»), маскирующий фоновое создание события с выгрузкой чувствительной информации.
🎩 Таким образом хакеры потенциально могут узнать информацию о проектах, клиентах, переговорах, составе различных команд, руководстве.
🛡 Специалисты по безопасности Google подтвердили наличие уязвимости и устранили её после ответственного раскрытия информации исследователями.
✋ @Russian_OSINT
Анонсирована новая мощная атака по побочным каналам MEMORY DISORDER, которая вызывать утечки информации из современных процессоров и видеокарт Intel, Apple и AMD.
В основе распространенные микроархитектурные особенности, в частности, перестановка операций в памяти, которые могут быть использованы в качестве бесвременного сигнала между процессами.
Эти перестановки являются функцией оптимизации в современных процессорах, где операции с памятью выполняются вне порядка для повышения производительности, что являются частью аппаратных моделей согласованности памяти (MCM) большинства современных ЦП и ГП.
Используя перестановки памяти, исследователи продемонстрировали, что один процесс может определять активность другого, даже за пределами виртуальных машин в таких средах, как KVM.
Это достигается с помощью небольших параллельных программ, называемых «лакмусовыми тестами», которые отслеживают подсистему памяти на предмет признаков перестановки, вызванной одновременной активностью в других частях системы.
К числу затронутых процессоров относятся процессоры самых разных архитектур, включая Apple M1 и M3, Intel i7 (x86), Arm A78, NVIDIA RTX 4070 и AMD Radeon RX 7900 XT.
Несмотря на то, что архитектура графических процессоров AMD не позволяет параллельно запускать ядра из разных процессов, исследователи обнаружили, что сигналы, подобные DISORDER, всё же можно наблюдать из-за сохраняющихся эффектов памяти при выполнении ядер.
AMD подтвердила результаты исследования в своем бюллетене, однако не присвоила проблеме рейтинг, назвав его информационным, тем не менее выпустив новые рекомендации по смягчению последствий.
В частности, AMD представила дополнительный режим работы (обозначенный как AMD-SB-6010), который способен ограничивать одновременное выполнение процессов на графических процессорах и обеспечивать очистку состояния регистров графического процессора между процессами.
Он отключен по умолчанию и должен быть активирован вручную системными администраторами.
AMD также подтверждает общие рекомендации по безопасной разработке, советуя разработчикам использовать алгоритмы с постоянным временем выполнения и избегать доступа к памяти или потоков управления, зависящих от секретной информации для снижения рисков, связанных с побочными каналами.
Как отмечают исследователи, последствия применения техники MEMORY DISORDER значительны для облачных сред, использующих виртуализированные рабочие нагрузки на общем оборудовании, сервисов машинного обучения, работающих на графических процессорах, и многопользовательских серверов, полагающихся на аппаратную изоляцию.
В статье четко показано, что даже при минимальных привилегиях, двух потоках и общей памяти злоумышленник может допустить утечку информации.
Например, на графическом процессоре Apple M3 исследователи достигли 95% точности скрытой связи при скорости 16 бит в секунду.
Более совершенная настройка на процессорах x86 позволила увеличить пропускную способность почти до 30 000 бит в секунду.
Эксперименты по идентификации моделей на основе анализа фингерпринтов также оказались успешными.
Исследователи обучили классификаторы различать модели глубоких нейронных сетей (например, ResNet50, MobileNetV3, AlexNet) на основе данных об изменении порядка хранения информации в памяти.
Кроме того, продемонстрировали, что запуск Google Chrome можно обнаружить с помощью этого метода на чипе Apple M1.
На данный момент ни Intel, ни Apple не отразили своих выводов по части MEMORY DISORDER в своих бюллетенях по безопасности, при том, что в отчете указана подтвержденная утечка данных на их платформах.
Gootloader претерпел серьезные изменения и теперь задействует некорректно сформированный ZIP-архив для обхода обнаружения путем объединения до 1000 архивов.
При этом вредоносная ПО, представляющая собой архивированный файл JScript, приводит к сбоям при попытке ее анализа многими инструментами.
По данным исследователей, вредоносный файл успешно распаковывается с помощью стандартной утилиты Windows, но инструменты, использующие 7-Zip и WinRAR, не справляются с этой задачей.
Для достижения этой цели злоумышленник, стоящий за вредоносным ПО, объединяет от 500 до 1000 ZIP-архивов, а также использует другие уловки, дабы затруднить их анализ с помощью инструментов обнаружения.
Загрузчик активен с 2020 года и взят на вооружение различными хакерскими группировками, включая банд вымогателей.
После семимесячного перерыва Gootloader вернулся к жизни в ноябре прошлого года, о чем рапортовали исследователи из Huntress Labs и DFIR Report.
Хотя в те времена существовали и некорректно сформированные ZIP-архивы, они содержали минимальные изменения, и при попытке извлечения данных возникали несоответствия в именах файлов.
По данным исследователей Expel, в руки которых попали самые свежие образцы, для дальнейшего усиления защиты от анализа операторы Gootloader внедрили гораздо более серьезные механизмы обфускации.
В частности:
- Объединение до тысячи ZIP-архивов с учетом того, что парсеры читают с конца файла.
- Использование усеченного конца центрального каталога (EOCD), в котором отсутствуют два обязательных байта, что приводит к сбою анализа большинством инструментов.
- Случайная инициализация в полях с номерами дисков, из-за чего инструменты ожидают наличия несуществующих многодисковых архивов.
- Добавление несоответствия метаданных между заголовками локальных файлов и записями центрального каталога.
- Создание для каждого загружаемого файла уникальных ZIP-архивов и JScript-файлов для ухода от обнаружения статических объектов.
- Доставка ZIP-архива в виде закодированного с помощью XOR объекта, который декодируется и многократно добавляется на стороне клиента до достижения желаемого размера, избегая обнаружения сетевыми средствами.
После запуска на хосте скрипт JScript вредоносной ПО активируется через Windows Script Host (WScript) из временного каталога и обеспечивает постоянное присутствие в системе, добавляя в папку автозагрузки файлы ярлыков (.LNK), указывающие на второй файл JScript.
Эта полезная нагрузка выполняется при первом запуске и при каждой загрузке системы, запуская CScript с короткими именами NTFS, после чего запускается PowerShell.
Безусловно, разработчикам Gootloader удалось реализовать множество методов искажения данных для уклонения обнаружения без нарушения функциональности.
Однако исследователям Expel удалось выявить структурные аномалии, которые позволяют эффективно детектить угрозу.
По результатам выкатили правила YARA, позволяющие последовательно идентифицировать ZIP-архивы.
Обнаружение основано на выявлении определенной комбинации характеристик заголовка ZIP-архива, сотен повторяющихся заголовков локальных файлов и записей EOCD.
Кроме того, для защиты от угрозы исследователи рекомендуют изменять приложение по умолчанию для открытия файлов JScript с Windows Script Host на Блокнот, предотвращая их выполнение.
Для уменьшения поверхности атаки, Expel также советуют блокировать выполнение загруженного контента с помощью wscript.exe и cscript.exe, если файлы JScript не требуются.
Исследователям CyberArk удалось расчехлить достаточно популярный в киберподполье MaaS-сервис StealC благодаря обнаруженной XSS-уязвимости в веб-панели управления, которая позволила им отследить активные сессии и собрать техническую информацию о злоумышленниках.
StealC появился в начале 2023 года и активно продвигался в среде киберпреступников в даркнете.
Его популярность возросла благодаря поддерживаемым возможностям обхода защиты и масштабному функционалу для кражи данных.
С того времени разработчики StealC внесли множество улучшений в работу сервиса.
С выпуском версии 2.0 в апреле прошлого года авторы добавили поддержку Telegram-ботов для оповещений в режиме реального времени и обновленный конструктор, который позволял генерировать сборки StealC на основе шаблонов и пользовательских правил кражи данных.
Примерно в это же время случилась утечка исходного кода административной панели вредоносной ПО, открыв для исследователей возможности его анализа.
Собственно, это позволило CyberArk задетектить XSS-ошибку, которая позволяла им собрать данные в отношении браузеров и железа операторов StealC, отслеживать активные сессии, красть сессионные cookie и удаленно перехватывать сессии панели.
Используя эту уязвимость, исследователи смогли определить характеристики машины злоумышленника, включая общие индикаторы местоположения и сведения об аппаратном обеспечении компьютера.
В отчете CyberArk также описывает одну ситуацию, когда один из клиентов StealC, известный как YouTubeTA, захватил старые легитимные каналы на YouTube, предположительно используя скомпрометированные учетные данные, и разместил вредоносные ссылки.
В течение 2025 года киберпреступник проводил кампании по распространению вредоносного ПО, собрав данные более чем 5000 жертв, украв около 390 000 паролей и 30 миллионов файлов cookie (большинство из которых, правда, не содержат конфиденциальной информации).
Скриншоты с панели управления злоумышленника указывают на то, что большинство заражений происходило, когда жертвы натыкались на троянизированные версии Adobe Photoshop и Adobe After Effects.
Используя выявленную XSS, исследователи смогли установить, что злоумышленник использовал систему на базе Apple M3 с английским и русским языками, восточноевропейским часовым поясом и выходил в интернет через Украину.
При этом однажды, злоумышленник забыл авторизоваться в панеле StealC через VPN и раскрыл свой реальный IP, который принадлежал украинскому интернет-провайдеру TRK Cable TV.
CyberArk пока не раскрывает публично конкретные детали уязвимости XSS, дабы не позволить подсказки операторам StealC быстро выявить и устранить ошибку.
Кроме того, они полагают, что уже на этом этапе репетиционный удар по MaaS-сервису приведет к его широкой дискредитации и в конченом счете - закрытию, особенно на фоне кейса с Lumma Stealer.
Но, как обычно, будем посмотреть.
Недавно упоминали про критическую CVE-2025-64155 в Fortinet FortiSIEM с общедоступным PoC, который в совокупности с техническим описанием выкатили исследователи Horizon3.
И на днях Defused сообщила, что злоумышленники приступили к активной целенаправленной эксплуатации уязвимости в реальных условиях, которую им удалось задетектить в своих ловушках.
Напомним, что CVE-2025-64155 - это комбинация двух проблем, позволяющих произвольно записывать данные с правами администратора и повышать привилегии до уровня root посредством специально сформированных TCP-запросов.
Horizon3 также выкатила IoC, которые могут помочь в выявлении уже скомпрометированных систем.
Администраторы также могут найти артефакты злонамеренных действий, проверив журналы сообщений phMonitor по адресу /opt/phoenix/log/phoenix.logs на наличие URL-адресов полезной нагрузки в строках, содержащих записи PHL_ERROR.
В свою очередь, Fortinet еще не обновила свой бюллетень по безопасности и не указала об использовании CVE-2025-64155 в атаках, и вообще пока никак не комментирует ситуацию.
Так что, будем следить.
CISA на пару с Broadcom предупреждают, что критическая RCE-уязвимость в VMware vCenter Server теперь активно используется злоумышленниками в реальных условиях.
CVE-2024-37079 была исправлена еще в июне 2024 года и связана с переполнением памяти в реализации протокола DCERPC в vCenter Server (платформа управления Broadcom VMware vSphere для управления хостами и виртуальными машинами ESXi).
Злоумышленники с сетевым доступом к vCenter Server могут использовать эту уязвимость, отправляя специально сформированный сетевой пакет, который способен инициировать удаленное выполнение кода в рамках простых атак, не требующих привилегий в целевых системах или взаимодействия с пользователем.
Для CVE-2024-37079 не существует обходных путей или способов её устранения, поэтому компания Broadcom рекомендовала клиентам как можно скорее установить обновления для последних версий vCenter Server и Cloud Foundation.
В свою очередь, CISA в конце прошлой недели добавила эту уязвимость в свой каталог уязвимостей, используемых злоумышленниками (KEV), отмечая, что этот тип уязвимости является частым вектором атак и несет значительные риски.
В тот же день Broadcom обновила свое изначальное уведомление и подтвердила, что ей также известно о том, что уязвимость CVE-2024-37079 была использована злоумышленниками в реальных условиях.
Какой-либо конкретной информацией об атаках и характере эксплуатации ни CISA, ни Broadcom не поделились. Будем следить.
Спустя несколько дней после того, как многие начали сообщать о взломе своих полностью обновленных межсетевых экранов, Fortinet наконец-то подтвердила эти сообщения.
Отметив также, что продолжающиеся атаки CVE-2025-59718 соответствуют вредоносной активности декабря, и в настоящее время она работает над полным устранением уязвимости.
Заявление последовало после волны сообщений от клиентов Fortinet о том, что злоумышленники используют обходной путь для реализации уязвимости CVE-2025-59718, чтобы скомпрометировать полностью обновленные межсетевые экраны.
Ранее в среду, Arctic Wolf сообщала, что наблюдаемая кампания началась 15 января, когда злоумышленники создали учетные записи с доступом к VPN и за считанные секунды украли конфигурации брандмауэра, что, по всей видимости, является автоматизированной атакой.
Компания также добавила, что эти атаки очень схожи с инцидентами, задокументированными ее специалистами в декабре после обнаружения критической CVE-2025-59718 в продуктах Fortinet.
В свою очередь, в Fortinet отмечают, что недавно небольшое количество клиентов сообщили о неожиданной активности при входе в систему на своих устройствах, которая была очень похожа на предыдущую проблему.
Однако за последние 24 часа были выявлены ряд случаев, когда уязвимость была обнаружена на полностью обновленном до последней версии устройстве, что указывает на новый путь атаки.
Fortinet заявляет, что выявила проблему и работает над ее устранением, соответствующе уведомление будет выпущено по мере того, как станут известны объем и сроки исправления.
Важно отметить, что хотя на данный момент наблюдается только эксплуатация уязвимости FortiCloud SSO, эта проблема применима ко всем реализациям SAML SSO.
До тех пор, пока Fortinet полностью не устранит уязвимость CVE-2025-59718, Windsor рекомендует ограничить административный доступ к периферийным сетевым устройствам через Интернет, применив локальную политику для ограничения IP, имеющих доступ к административным интерфейсам устройств.
Администраторам также следует отключить функцию единого входа FortiCloud на своих устройствах Fortinet.
Клиентам Fortinet, обнаружившим какие-либо IOC при проверке устройств на наличие доказательств взлома, следует считать систему и конфигурацию скомпрометированными, сменить учетные данные (включая любые учетные записи LDAP/AD) и восстановить конфигурацию с помощью заведомо чистой версии.
Pentera сообщает, что уязвимые приложения для пентеста (DVWA, OWASP Juice Shop, Hackazon и bWAPP) задействуются хакерами для получения доступа к облачным средам компаний из списка Fortune 500, включая ведущих ИБ-поставщиков.
В ходе расследования были обнаружены доказательства того, что хакеры используют этот вектор атаки для компрометации систем и развертывания криптомайнеров, внедрения веб-оболочек или перехода к работе с конфиденциальными системами.
Как оказалось, тестовые веб-приложения достаточно уязвимы и представляют собой серьезный риск компрометации при размещении в общедоступном месте и запуске из привилегированной облачной учетной записи.
Исследователи Pentera обнаружили 1926 действующих уязвимых приложений, размещенных в интернете, которые часто связаны с чрезмерно привилегированными ролями IAM и развернуты в облачных средах AWS, GCP и Azure.
По данным Pentera, уязвимые приложения принадлежат нескольким компаниям из списка Fortune 500, включая Cloudflare, F5 и Palo Alto Networks, которые получили результаты исследований и быстренько устранили проблемы.
Во многих из случаях были раскрыты наборы учетных данных облачного сервиса, не соблюдались рекомендуемые принципы «минимальных привилегий», а более чем в половине ситуаций - вообще использовались дефолтные учетные данные.
Обнаруженные Pentera в ходе расследования креды позволяли злоумышленникам получить полный доступ к хранилищам S3, GCS и Azure Blob Storage, права на чтение и запись в Secrets Manager, возможность взаимодействия с реестрами контейнеров и получение административного доступа к облачной среде.
В отчете Pentera Labs подтвердила, что риск не носит теоретический характер: хакеры уже использовали эти точки входа. Из 616 обнаруженных экземпляров DVWA примерно в 20% были обнаружены артефакты, развернутые злоумышленниками.
Доказательства взлома были обнаружены при оценке нескольких неправильно настроенных, уязвимых приложений. Исследователи создали командные оболочки на машинах и сосканили данные, пытаясь определить их владельцев.
Для майнинга криптовалюты злоумышленниками использовался инструмент XMRig, который в фоновом режиме активно добывал Monero (XMR).
Исследователи также обнаружили усовершенствованный механизм сохранения данных с помощью скрипта под названием watchdog.sh. При удалении скрипт восстанавливался из резервной копии, закодированной в base64, и снова загружал XMRig с GitHub.
Скрипт также загружает из Dropbox дополнительные инструменты, зашифрованные с использованием алгоритма AES-256, и уничтожает конкурирующие майнеры на скомпрометированном хосте.
В других случаях используовалась веб-оболочка PHP под названием filemanager.php, которая поддерживает операции с файлами (чтение, запись, удаление, загрузка, выгрузка) и выполнение команд.
Веб-оболочка содержала жестко закодированные учетные данные для аутентификации и имела часовой пояс, установленный на Europe/Minsk (UTC+3), что может указывать на происхождение операторов.
Pentera рекомендует организациям вести полный учет всех облачных ресурсов, включая тестовые приложения, и изолировать их от производственной среды.
Кроме того, следует обеспечить соблюдение ролей IAM с минимальными привилегиями для непроизводственных систем, изменить учетные данные по умолчанию и настроить автоматическое истечение срока действия временных ресурсов.
🔐 Взлом умных замков.
• Хорошая статья от специалистов "Бастион", в которой описаны пять векторов атак на умные замки. Материал демонстрирует, что красивая технологическая оболочка не всегда означает настоящую защиту.
• Тема весьма интересная и ее редко обсуждают в паблике, поэтому рекомендую к прочтению.
➡ Читать статью [7 min].
S.E. ▪️ infosec.work ▪️ VT
Исследователи Dr.Web изучили новое семейство троянов для Android, ориентированных на мошенничество с кликами и использующих модели машинного обучения TensorFlow для автоматического обнаружения и взаимодействия с определенными рекламными элементами.
Механизм основан на визуальном анализе с использованием машинного обучения, а не на заранее определенных алгоритмах кликов на JavaScript. При том также не включает в себя взаимодействие на уровне DOM с помощью скриптов, как классические трояны.
Злоумышленник использует TensorFlow.js, библиотеку с открытым исходным кодом, разработанную Google для обучения и развертывания моделей машинного обучения на JavaScript. Она позволяет запускать модели ИИ в браузерах или на серверах с использованием Node.js.
Как отмечают исследователи Dr.Web, новое семейство троянов для Android распространяется через GetApps, официальный магазин приложений для устройств Xiaomi.
Они обнаружили, что вредоносная ПО может работать в режиме, называемом «фантомным», который использует скрытый встроенный браузер на основе WebView для загрузки целевой страницы для мошенничества с кликами и файла JavaScript.
При этом основное предназначение скрипта - автоматизировать действия с рекламой, отображаемой на загруженном сайте.
После загрузки обученной модели с удаленного сервера скрытый браузер размещается на виртуальном экране, производятся снимки экрана для анализа и идентификации соответствующих элементов с помощью TensorFlow.js.
Нажав на нужный элемент пользовательского интерфейса, вредоносная ПО воспроизводит обычную активность пользователя.
Такой метод более эффективен и устойчив к изменчивости современной рекламы, поскольку большинство таких объявлений являются динамическими, часто меняют свою структуру и нередко используют iframe или видео.
Второй режим, называемый «сигнализацией», использует WebRTC для потоковой передачи видеопотока с виртуального экрана браузера злоумышленникам, позволяя им выполнять действия в реальном времени, такие как касания, прокрутка и ввод текста.
Злоумышленник распространяет вредоносное ПО через игры в каталоге ПО Xiaomi GetApps. Первоначально приложения загружаются без вредоносной функциональности, а вредоносные компоненты добавляются в последующих обновлениях.
Среди некоторых из зараженных игр, выявленных Dr.Web: Theft Auto Mafia (61 000 загрузок), Cute Pet House (34 000), Creation Magic World (32 000), Amazing Unicorn Party (13 000), Open World Gangsters (11,000), Sakura Dream Academy (4,000) и др.
Помимо приложений на серверах Xiaomi трояны также распространяются через сторонние сайты с APK-файлами (например, Apkmody и Moddroid, моды оригинальных приложений Spotify, YouTube, Deezer и Netflix).
Примечательно, что большинство приложений на странице «выбор редакции» сайта Moddroid оказались заражены. Кроме того, в ход идут Telegram-каналы, распространяя, например, такие приложения, как Spotify Pro, Spotify Plus - Official, Moddroid.com и Apkmody Chat.
Dr.Web также обнаружила сервер Discord с 24 000 подписчиков, на котором распространялось зараженное приложение Spotify X.
Исследователи отмечают, что по крайней мере некоторые из этих приложений «действительно работают», что снижает подозрения пользователей.
В сочетании с тем фактом, что мошенничество с кликами осуществляется скрытно в скрытом WebView, отображающем контент на виртуальном экране, это означает, что жертвы не увидят никаких признаков вредоносной активности.
Технические подробности и IOCs - в отчете.
Cisco устранила критическую RCE-уязвимость в Unified Communications и Webex Calling, отслеживаемую как CVE-2026-20045, которая активно использовалась в качестве 0-day в атаках.
CVE-2026-20045 затрагивает Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence, Cisco Unity Connection и Webex Calling Dedicated Instance.
По данным Cisco, удаленный, неаутентифицированный злоумышленник может использовать уязвимость CVE-2026-20045 для выполнения вредоносных команд в операционной системе устройства.
Ошибка обусловлена некорректной проверкой входных данных, предоставляемых пользователем в HTTP-запросах.
0-day, о которой сообщили неназванные сторонние исследователи, может быть использована путем отправки специально сформированных HTTP-запросов к веб-интерфейсу управления целевого экземпляра.
Успешная эксплуатация уязвимости может позволить злоумышленнику получить доступ к операционной системе на уровне пользователя, а затем повысить свои привилегии до уровня root.
Несмотря на то, что CVE-2026-20045 имеет оценку CVSS 8,2, Cisco присвоила ей критический уровень серьезности, поскольку ее эксплуатация приводит к получению root-доступа к серверам.
Cisco выкатила следующие обновления и файлы исправлений для устранения уязвимости:
- Cisco Unified CM, CM SME, CM IM&P и Webex Calling - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), релиз 15 (15SU4 (март 2026 г.) или патч);
- Cisco Unity Connection - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), 15 (15SU4 (март 2026 г.) или патч).
В настоящее время отсутствует какая-либо общедоступная информация об атаках, нацеленных на уязвимость CVE-2026-20045.
Тем не менее, Cisco PSIRT отметила в своем уведомлении, что ей «известны попытки эксплуатации этой уязвимости в реальных условиях».
Согласно телеметрии Hunter, в настоящее время около 1300 экземпляров Cisco Unified CM находятся в открытом доступе через интернет, причем почти половина из них - в США.
Cisco настоятельно рекомендует клиентам как можно скорее обновить ПО до последней версии, учитывая, что обойти эту уязвимость без установки обновлений невозможно.
Клиенты Fortinet столкнулись с последствиями некорректного исправления критической уязвимости аутентификации FortiGate (CVE-2025-59718): злоумышленники используют обход исправления для взлома полностью обновленных межсетевых экранов.
Со слов одного из пострадавших, Fortinet якобы подтвердила, что в последней версии FortiOS (7.4.10) не до конца была устранена уязвимость обхода аутентификации, которая изначально должна была быть исправлена в начале декабря с выпуском FortiOS 7.4.9.
По имеющимся данным, Fortinet также планирует в ближайшие дни выпустить FortiOS 7.4.11, 7.6.6 и 8.0.0 для полного устранения уязвимости в системе безопасности.
В одном из инцидентов админы зафиксировали вредоносную попытку входа через SSO на одном из устройств FortiGate, работающем под управлением версии 7.4.9 (FGT60F).
SIEM задетектила создание локальной учетной записи администратора с помощью SSO-входа пользователя cloud-init@mail.io с IP-адреса 104.28.244.114, аналогично взлому через CVE-2025-59718, что подтвердили логи.
Причем они выглядели также, как в случае с предыдущей эксплуатацией ошибки, выявленной Arctic Wolf в декабре 2025, когда злоумышленники активировали уязвимость посредством специально созданных SAML-сообщений для компрометации аккаунтов администраторов.
Аналогичную ситуацию описывают и другие пользователи, которые также получили от Fortinet подтверждение о неполном устранении проблемы в версии 7.4.10.
В самой Fortinet на вопросы по поводу сообщений о начавшейся вредоносной кампании, нацеленной на CVE-2025-59718, пока никак не реагируют, обещая лишь все исправить в будущих версиях 7.4.11, 7.6.6, 8.0.0.
До тех пор, пока Fortinet не выпустит полностью исправленную версию FortiOS, администраторам рекомендуется временно отключить уязвимую функцию входа в FortiCloud (если она включена) для защиты своих систем от атак.
Как пояснила Fortinet в своем первоначальном уведомлении, SSO FortiCloud, являющаяся целью атак, по умолчанию отключена, если устройство не зарегистрировано в FortiCare, что должно сократить общее количество уязвимых устройств.
Однако, по данным Shadowserver, в середине декабря 2025 года более 25 000 устройств Fortinet с включенной функцией единого входа FortiCloud SSO были по-прежнему доступны из сети.
На данный момент более половины из них защищены, и если верить Shadowserver, более 11 000 устройств по-прежнему остаются доступными через Интернет.
Wordfence предупреждает о критической уязвимости в плагине Advanced Custom Fields: Extended (ACF Extended) для WordPress, которая может быть удаленно использована неавторизованными злоумышленниками для получения административных прав.
ACF Extended в настоящее время используется на более чем 100 000 сайтах, - это специализированный плагин, расширяющий возможности плагина Advanced Custom Fields (ACF) функциями для разработчиков и создателей сайтов.
Уязвимость отслеживается как CVE-2025-14533 и может быть использована для получения административных привилегий путем злоупотребления действием формы «вставить пользователя/обновить пользователя» плагина в версиях ACF Extended 0.9.2.1 и более ранних.
Уязвимость возникает из-за отсутствия контроля за соблюдением ограничений ролей при создании или обновлении пользователей на основе форм, и её использование работает даже тогда, когда ограничения ролей должным образом настроены в параметрах поля.
В виду отсутствия ограничений на поля формы роль пользователя может быть установлена произвольно, даже на администратора, независимо от настроек поля, если в форму добавлено поле для указания роли.
Как и любая EoP-уязвимость, CVE-2025-14533 может быть использована для полного взлома сайта.
Несмотря на серьёзные последствия, Wordfence считает, что ошибка может быть использована только на сайтах, где явно используется одна из названных форм с соответствующим полем роли.
CVE-2025-14533 была обнаружена исследователем Андреа Боккетти, который 10 декабря 2025 года сообщил о ней в Wordfence для подтверждения проблемы и передачи поставщику. Четыре дня спустя поставщик выпустил исправление в версии ACF Extended 0.9.2.2.
Согласно статистике загрузок wordpress, с тех пор плагин скачали примерно 50 000 пользователей. Так что если предположить, что все загрузки - для последней версии, то примерно такое же количество сайтов подвержено атакам.
Несмотря на то, что конкретных атак, нацеленных на CVE-2025-14533, пока не зафиксировано, в GreyNoise задетектили масштабную кампанию по разведке в отношении плагинов WordPress, направленную на выявление потенциально уязвимых сайтов.
Согласно телеметрии GreyNoise, с конца октября 2025 года по середину января 2026 года почти 1000 IP-адресов в 145 автономных системах атаковали 706 различных плагинов WordPress, совершив более 40 000 уникальных сканирований.
Наиболее востребованными плагинами являются Post SMTP, LiteSpeed Cache, Loginizer, SEO by Rank Math, Elementor и Duplicator. Ранее первые два из списка подвергались активной эксплуатации в начале ноября 2025 года и в августе 2024 года соответственно.
Стартовал Pwn2Own Automotive 2026, в первый день которого участникам хакерского поединка удалось взломать информационно-развлекательную систему Tesla и заработать 516 500 долл., используя 37 0-day.
Команда Synacktiv получила 35 000 долларов, успешно применив цепочку уязвимостей, связанных с утечкой информации и записью за пределы допустимого диапазона, для получения root на информационно-развлекательную систему Tesla в категории атак через USB.
Они также применили цепочку из трех уязвимостей для получения доступа к выполнению кода с правами root на цифровом медиаресивере Sony XAV-9500ES, заработав дополнительно 20 000 долл.
Исследователи из Fuzzware.io урвали 118 000 долл. за взлом зарядной станции Alpitronic HYC50, зарядного устройства Autel и навигационного приемника Kenwood DNR1007XR, а команда PetoWorks - 50 000 долл. за реализацию 0-day для EoP на контроллере зарядки Phoenix Contact CHARX SEC-3150.
Команда DDOS сорвала куш в размере 72 500 долл., продемонстрировав взлом зарядных устройств ChargePoint Home Flex, Autel MaxiCharger и Grizzl-E Smart 40A.
На второй день конкурса Pwn2Own четыре команды будут атаковать зарядное устройство Grizzl-E Smart 40A, трижды - Autel MaxiCharger, а две команды попытаются получить root-права на ChargePoint Home Flex, при этом каждая успешная попытка принесет хакерам по 50 000 долл.
При этом Fuzzware.io также попытается взломать автомобильное зарядное устройство Phoenix Contact CHARX SEC-3150, за что может получить денежное вознаграждение в размере 70 000 долл.
Традиционно в распоряжении поставщиков будут 90 дней на разработку и выпуск исправлений, прежде TrendMicro публично обнародует технические подробности анонсированных на конкурсе нулей.
Очередной этап Pwn2Own Automotive 2026, посвященный автомобильным технологиям, проходит в Токио, Япония, в рамках автомобильной конференции Automotive World, с 21 по 23 января.
В ходе этого соревнования исследователям предстоит атаковать полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные ОС (например, Automotive Grade Linux).
Полное расписание соревнований этого года - здесь, в том числе первого дня с результатами каждого этапа - здесь.
В прошлом году по результатам Pwn2Own Automotive 2025 хакерам удалось выиграть 886 250 долл. и реализовать 49 нулей, а еще годом ранее - 1 323 750 долл. и также 49 нулей.
Исследователи Resecurity сообщают о новом штамме вредоносного ПО под названием PDFSider, который использовался для доставки вредоносных программ в системы Windows неназванную компанию из списка Fortune 100 в финансовом секторе.
Полагаясь на методы социальной инженерии для получения удаленного доступа, злоумышленники выдавали себя за сотрудников техподдержки и обманом заставили сотрудников компании установить инструмент Microsoft Quick Assist.
Задетектить PDFSider исследователи Resecurity смогли в ходе реагирования на инцидент, описав его как скрытый бэкдор для долгосрочного доступа, и отмечая, что он демонстрирует «характеристики, обычно ассоциируемые с методами APT-атак».
PDFSider был замечен в атаках с использованием программы-вымогателя Qilin. Однако Resecurity полагает, что этот бэкдор уже активно задействуется сразу несколькими злоумышленниками, связанными с ransomware, для запуска своих вредоносных ПО.
Бэкдор распространяется через фишинговые письма, содержащие ZIP-архив с легитимным исполняемым файлом с цифровой подписью для инструмента PDF24 Creator от Miron Geek Software GmbH.
Однако пакет также включает вредоносную версию DLL-файла (cryptbase.dll), необходимого для корректной работы приложения.
При запуске исполняемый файл загружает DLL-файл злоумышленника (этот метод известен как «загрузка DLL-файлов с сторонних ресурсов») и обеспечивает выполнение кода в системе.
В других случаях злоумышленник пытается обманом заставить получателей электронных писем запустить вредоносный файл, используя фейковые документы, скомпилированные специально для этих целей.
В одном из примеров в качестве автора была указана китайская госкомпания.
После запуска DLL-файл работает с правами исполняемого файла, который его загрузил. EXE-файл имеет легитимную цифровую подпись, однако PDF24 имеет уязвимости, которые злоумышленники смогли использовать для загрузки этого вредоносного ПО и эффективного обхода систем EDR.
По словам исследователей, благодаря развитию программирования с использованием ИИ, киберпреступникам становится проще находить уязвимое ПО, которое можно использовать в своих целях.
PDFSider загружается непосредственно в память, оставляя минимальные следы на диске, и использует анонимные каналы для запуска команд через командную строку.
Заражённым хостам присваивается уникальный идентификатор, а информация о системе собирается и передаётся на VPS-сервер злоумышленника через DNS (порт 53).
PDFSider защищает свой канал C2, используя криптографическую библиотеку Botan 3.0.0 и AES-256-GCM, расшифровывая входящие данные в памяти, минимизируя их влияние на хост.
Кроме того, данные проходят аутентификацию с использованием соответствующего шифрования с ассоциированными данными (AEAD) в режиме GCM.
Как отмечают в Resecurity, этот тип криптографической реализации типичен для вредоносных ПО с удаленной оболочкой, используемых в целевых атаках, где поддержание целостности и конфиденциальности коммуникаций имеет решающее значение.
Вредоносная ПО также включает в себя несколько механизмов защиты от анализа, включая проверку размера оперативной памяти и обнаружение отладчика, позволяющих ей преждевременно завершать работу при детектировании изолированной среды.
По оценке Resecurity, PDFSider ближе к «шпионским методам, нежели к вредоносному ПО для извлечения финансовой выгоды» и представляет собой бэкдор, способный поддерживать долгосрочный скрытый доступ, адаптивное удаленное выполнение команд и зашифрованную связь.
Глобальная технологическая сегментация приобретает новые контуры и ускоренную динамику.
Помимо ограничений по типу заявленного запрета ЕС на использование китайского оборудования (прежде всего, Huawei и ZTE) в телекоммуникационных сетях, системах энергетики и решениях безопасности, наметился раскол в сфере кибервзаимодействия спецслужб.
В частности, немецкие законодатели приступили к работе над новым законом, который предоставит разведывательному ведомству страны новые более широкие полномочия в области кибершпионажа.
Основной нарратив - искоренить зависимость Федеральной разведслужбы Германии (BND) от АНБ США (NSA) по вопросам получения информации об угрозах и привести ее функционал в соответствие с возможностями других европейских стран, таких как Франция, Италия, Нидерланды и Великобритания.
Согласно проекту нового закона, BND получит право перехватывать интернет-коммуникации целиком, не ограничиваясь метаданными, как это было ранее. Агентству также будет разрешено хранить, индексировать и обрабатывать данные до шести месяцев.
Закон также расширит полномочия BND по проведению хакерских атак, позволяя взламывать иностранные интернет-провайдеры и получать информацию об объектах заинтересованности, если интересующая компания откажется предоставлять запрашиваемые данные.
Согласно сообщениям немецких СМИ, это положение будет применяться, в том числе и к крупным американским технологическим компаниям и операторам инфраструктуры, включая Google, Twitter и экстремистскую Meta, которые не всегда охотно реагировали на запросы ведомства.
Кроме того, BND получит право вести слежку за любым иностранцем, находящимся в Германии. Это прежде всего, относится к журналистам зарубежных государственных СМИ, которые, по мнению немецких законодателей, действуют как «агенты» иностранного государства.
Наконец, сотрудникам BND также будет разрешено беспрепятственно проникать в жилые помещения для установки своего шпионского софта на устройство цели.
Как сообщается, проект нового закона насчитывает 139 страниц и почти вдвое масштабирует оперативные возможности спецслужбы по сравнению с предыдущими редакциями.
Таким образом, можно констатировать, что дальнейшая более глубокая сегментация киберпространства, по всей видимости, будет сопровождаться возрастанием обоюдных угроз наступательных кибервоздействий для фрагментируемых кластеров. В общем, будем посмотреть.
Исследователи Huntress раскрыли новый вариант атаки ClickFix, в котором задействуется вредоносное расширение для Chrome, отображающее предупреждение о безопасности для побуждения жертв выполнить нежелательные команды и установить таким образом вредоносного ПО.
Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.
Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.
Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.
Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.
Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.
Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.
Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.
Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.
DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.
Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.
Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.
RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.
По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.
ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).
Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.
В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.
Исследователи сообщают об обнаружении еще одного набора из 17 вредоносных расширений для Chrome, Firefox и Edge, связанных с кампанией GhostPoster, которые в общей сложности были установлены 840 000 раз.
Впервые задетектить GhostPoster удалось Koi Security в декабре. Тогда расширения со скрытым вредоносным JavaScript-кодом в изображениях своих логотипов отслеживали активность браузера и внедряли бэкдор.
Он загружал сильно обфусцированную полезную нагрузку из внешнего ресурса, которая следила за активностью жертвы в интернете, перехватывая партнерские ссылки на крупных платформах электронной коммерции и внедряя невидимые iframe для мошенничества с рекламой и кликами.
В свою очередь, исследователи LayerX в новом отчете указывают на то, что кампания продолжается несмотря на раскрытие и включает следующие популярные расширения:
- Google Translate in Right Click (522 398 установок),
- Translate Selected Text with Google (159 645),
- Ads Block Ultimate (48 078),
- Floating Player – PiP Mode (40 824),
- Convert Everything (17 171),
- Youtube Download (11 458),
- One Key Translate (10 785),
- AdBlocker (10 155),
- Save Image to Pinterest on Right Click (6517),
- Instagram Downloader (3807) и другие.
По словам исследователей, кампания изначально охватывала Microsoft Edge, а затем уже распространилась на Firefox и Chrome.
Причем, согласно наблюдениям LayerX, некоторые из вышеупомянутых присутствуют в магазинах расширений для браузеров еще с 2020 года, что свидетельствует об их успешной и долгосрочной работе.
Несмотря на то, что возможности обхода защиты и алгоритм действий после активации в основном остались такими же, как и ранее описанные компанией Koi, LayerX выявила более продвинутый вариант в расширении Instagram Downloader.
Разница заключается в перемещении логики подготовки вредоносного кода в фоновый скрипт расширения и использовании в качестве скрытого контейнера для полезной нагрузки файла изображения, а не только значка.
Во время выполнения фоновый скрипт сканирует исходные байты изображения на наличие определенного разделителя (>>>>), извлекает и сохраняет скрытые данные в локальном хранилище расширения, а затем декодирует их в Base64 и выполняет как JavaScript.
Анализируя новейший вариант GhostPoster, LayerX констатирует: этот поэтапный процесс выполнения демонстрирует явную эволюцию в сторону более длительного периода бездействия, модульности и устойчивости как к статическим, так и к поведенческим механизмам обнаружения.
К настоящему времени вредоносные расширения были удалены из магазинов расширений Mozilla и Microsoft, Google тоже из пофиксила в Chrome Web Store.
Однако пользователи, успевшие установить их в свои браузеры до этого, по-прежнему подвергаются риску компрометации.
Исследователи немецкого Центра информационной безопасности им. Гельмгольца CISPA выкатили технические подробности новой атаки на процессоры AMD, которая позволяет удаленно выполнять код внутри виртуальных машин.
Выявленная проблема, получившая название StackWarp, затрагивает процессоры AMD Zen 1–Zen 5 и позволяет злоумышленнику взламывать виртуальные машины CVM.
Исследователи описали StackWarp как программную архитектурную атаку, в основе которой используется сбой синхронизации в механизме стека, управляющем обновлениями указателей стека на стороне ЦП.
Реализация этой CVE-2025-29943 позволяет злонамеренному хосту виртуальной машины манипулировать указателем стека гостевой виртуальной машины для перехвата потоков управления и данных, что обеспечивает RCE и EoP внутри виртуальных машин.
Исследователи CISPA продемонстрировали влияние атаки в нескольких сценариях, включая восстановление закрытого ключа RSA-2048, обход аутентификации по паролю OpenSSH, обход запроса пароля Sudo и выполнение кода в режиме ядра в виртуальной машине.
Для проведения подобных атак обычно требуется привилегированный контроль над хост-сервером, на котором работают CVM.
Вместе с тем, атаки могут быть инициированы недобросовестными сотрудниками облачного провайдера или опытными злоумышленниками, получившими доступ к системам провайдера.
Правда, вероятность проведения подобной атаки в реальных условиях невелика, но StackWarp показывает, что алгоритм шифрования памяти виртуальных машин AMD SEV-SNP, предназначенный для защиты CVM даже от облачного провайдера, может быть взломан.
Конфиденциальные ключи и пароли могут быть украдены, злоумышленники могут выдавать себя за законных пользователей или получать постоянный контроль над системой, а изоляция между гостевыми виртуальными машинами и хостом или другими виртуальными машинами больше не может быть гарантирована.
AMD была проинформирована об уязвимости и опубликовала свое уведомление, присвоив этой уязвимости низкий уровень серьезности.
Исправления для затронутых серверных продуктов EPYC будут доступны с июля 2025 года.
В свою очередь, исследователи разработали специализированный сайт для StackWarp, а также опубликовали отчет с полными техническими подробностями. Доступны также и видеоролики с демонстрацией атаки в действии.
Исследователи Лёвенского университета обнаружили критическую уязвимость в протоколе Google Fast Pair, которая позволяет злоумышленникам захватывать Bluetooth-аудиоустройства, отслеживать пользователей и прослушивать их разговоры.
CVE-2025-36911 получила название WhisperPair и затрагивает сотни миллионов беспроводных аудиоустройств от разных производителей, поддерживающих функцию Fast Pair от Google.
Она влияет независимо от операционной системы смартфона, поскольку уязвимость находится в самих аксессуарах, а это значит, что пользователи iPhone с уязвимыми устройствами Bluetooth находятся в равной степени под угрозой.
Исследователи, обнаружившие эту уязвимость, объясняют, что она вызвана некорректной реализацией протокола Fast Pair во многих флагманских аудиоаксессуарах.
В соответствии со спецификацией Fast Pair, что устройства Bluetooth должны игнорировать запросы на сопряжение, когда они не находятся в режиме сопряжения, многие производители не внедрили такую проверку.
Для запуска процедуры быстрого сопряжения устройство Seeker (телефон) отправляет сообщение устройству Provider (аксессуару), указывая на выполнение сопряжения.
И если устройство не находится в режиме сопряжения, оно должно игнорировать такие сообщения.
Однако на практике многие устройства не обеспечивают эту проверку, что позволяет неавторизованным устройствам начать процесс сопряжения без согласия или ведома пользователя.
После получения ответа от уязвимого устройства злоумышленник может завершить процедуру быстрого сопряжения, установив обычное Bluetooth-сопряжение.
Злоумышленники могут реализовать WhisperPair, применяя любое устройство с поддержкой Bluetooth (например, ноутбук, Raspberry Pi или даже телефон), чтобы принудительно подключиться к уязвимым аксессуарам от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi на расстоянии до 14 метров за считанные секунды и без участия пользователя или физического доступа.
После сопряжения они могут получить полный контроль над аудиоустройством, что позволяет им воспроизводить звук на высокой громкости или подслушивать разговоры пользователей через микрофон устройства.
CVE-2025-36911 также позволяет злоумышленникам отслеживать местоположение своих жертв с помощью сети Google Find Hub, если устройство никогда не было сопряжено с устройством Android, добавив его в свою учетную запись Google.
Жертва может увидеть нежелательное уведомление о слежке через несколько часов или дней, но это уведомление будет отображать данные с её собственного устройства. Так что скорее всего проигнорируют предупреждение как ошибку.
Google выплатила исследователям максимально возможное вознаграждение в размере 15 000 долларов и совместно с производителями выпустила обновления безопасности в течение 150-дневного периода раскрытия информации.
Однако они отметили, что обновления безопасности, устраняющие эту уязвимость, могут быть еще недоступны для всех уязвимых устройств.
Единственная защита от злоумышленников, пытающихся взломать уязвимые Bluetooth-устройства с поддержкой Fast Pair, заключается в установке обновлений прошивки от производителей устройств.
При этом отключение Fast Pair на телефонах Android не предотвращает атаку, поскольку эту функцию нельзя отключить на самих устройствах.