41023
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
В продолжение: еще два рабочих процесса GitHub Actions оказались скомпрометированными вредоносным ПО TeamPCP. В целом, компрометация цепочки поставок отслеживается под идентификатором CVE-2026-33634 (CVSS: 9,4).
Причем это рабочие процессы, поддерживаемые компанией Checkmarx, специализирующейся на обеспечении безопасности цепочки поставок: checkmarx/ast-github-action и checkmarx/kics-github-action.
Sysdig сообщила, что примерно через четыре дня после взлома 19 марта 2026 года обнаружила программу для кражи учетных данных, идентичную той, что использовалась в операциях TeamPCP, направленных на Trivy от Aqua Security и связанные с ним GitHub Actions.
Это говорит о том, что украденные учетные данные в результате взлома Trivy были использованы для отравления дополнительных действий в затронутых репозиториях.
Как уже отмечалось, TeamPCP Cloud stealer предназначена для кражи учетных данных и секретов, связанных с ключами SSH, Git, Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Kubernetes, Docker, файлами .env, базами данных и VPN, а также конфигураций CI/CD, данных из криптовалютных кошельков и URL-адресов веб-перехватчиков Slack и Discord.
Как и в случае с Trivy, злоумышленники, как выяснилось, принудительно добавляют теги к вредоносным коммитам, содержащим полезную нагрузку для кражи данных (setup.sh). Украденные данные эксфильтруются в домен checkmarx[.]zone (IP-адрес: 83.142.209[.]11:443) в виде зашифрованного архива (tpcp.tar.gz).
Новая версия создает репозиторий docs-tpcp, используя GITHUB_TOKEN жертвы, чтобы подготовить украденные данные в качестве резервной копии на случай, если утечка данных на сервер не удастся. В инциденте с Trivy злоумышленники использовали вместо этого имя tpcp-docs.
Использование доменов, специфичных для конкретного поставщика, для каждого зараженного действия - это преднамеренный обманный прием. Аналитик, просматривающий журналы CI/CD, увидит трафик curl, который, по-видимому, ведет на собственный домен поставщика данного действия, что снизит вероятность обнаружения вручную.
Основная цель злоумышленника - сбор учетных данных из памяти CI-раннера, что позволяет операторам извлекать персональные токены доступа GitHub (PAT) и другие секреты из скомпрометированных действий Trivy, выполняемых в рабочем процессе.
Хуже того, если эти токены имеют доступ на запись к репозиториям, которые также используют действия Checkmarx, злоумышленник может использовать их для распространения вредоносного кода.
Это, в свою очередь, открывает путь к каскадному компрометированию цепочки поставок, когда одно отравленное действие захватывает секреты, которые используются для облегчения отравления других действий.
Идентичные полезная нагрузка, схема шифрования и соглашение об именовании tpcp.tar.gz подтверждают, что это один и тот же злоумышленник, расширяющий свою деятельность за пределы первоначального взлома Trivy.
Проверка кода и сканирование зависимостей здесь не дали результатов, поскольку вредоносный код был внедрен в доверенное действие в источнике.
Citrix выпустила обновления для устранения двух уязвимостей в NetScaler ADC и NetScaler Gateway, включая критическую уязвимость, которая могла быть использована для кражи конфиденциальных данных из приложения.
Среди упомянутых: CVE-2026-3055 (CVSS: 9.3), которая связана с недостаточной проверкой входных данных, приводящей к перехвату памяти, а также CVE-2026-4368 (CVSS: 7.7), обусловленная состоянием гонки, приводящим к путанице пользовательских сессий.
В свою очередь, исследователи Rapid7 отмечают, что CVE-2026-3055 относится к выходу за пределы допустимого диапазона чтения, который может быть использован неавторизованными удаленными злоумышленниками для кражи конфиденциальной информации из памяти устройства.
Однако для успешной эксплуатации устройство Citrix ADC или Citrix Gateway должно быть настроено как поставщик идентификации SAML (SAML IDP), а конфигурации по умолчанию остаются неизменными.
Чтобы определить, настроено ли устройство как SAML IDP, Citrix настоятельно рекомендует клиентам проверить конфигурацию NetScaler на наличие строки: add authentication samlIdPProfile.
С другой стороны, для обнаружения CVE-2026-4368 требуется, чтобы устройство было настроено как шлюз (например, SSL VPN, ICA Proxy, CVPN и RDP Proxy) или как сервер аутентификации, авторизации и учета (AAA).
Уязвимости затрагивают NetScaler ADC и NetScaler Gateway 14.1 до 14.1-66.59 и 13.1 до 13.1-62.23, а также NetScaler ADC 13.1-FIPS и 13.1-NDcPP до 13.1-37.262. Пользователям рекомендуется как можно скорее установить последние обновления для оптимальной защиты.
Пока нет доказательств того, что эти уязвимости были использованы злоумышленниками в реальных условиях.
Но, как мы неоднократно уже отмечали, уязвимости в устройствах NetScaler уже не раз попадал в поле зрения киберподполья, как в случае с: CVE-2023-4966 (также известная как Citrix Bleed), CVE-2025-5777 (также известная как Citrix Bleed 2), CVE-2025-6543 и CVE-2025-7775.
Причем CVE-2026-3055 позволяет неавторизованным злоумышленникам получать доступ к конфиденциальной памяти и считывать её из развертываний NetScaler ADC.
Многим это может показаться знакомым и не зря - эта уязвимость подозрительно похожа на Citrix Bleed и Citrix Bleed 2, которые до сих пор на памяти у ИБ-сообщества и вызывают не самые радостные чувства.
Учитывая, что NetScaler - это критически важные решения, которые постоянно становятся мишенью для получения первоначального доступа к корпоративным средам, всем использующим затронутые версии, необходимо срочно обновиться. Очень вероятна, неминуемая эксплуатация.
Исследователи BI.ZONE предупреждают об обнаружении на одном из даркнет-форумов объявления о продаже эксплоита к 0‑day в RD Web Access.
Он представляет собой компонент службы Microsoft Remote Desktop Services (RDS), встроенной в Windows Server платформы, позволяющей пользователям удаленно работать с рабочим столом или приложениями через сеть.
Заявленный эксплоит предполагает получение удаленного доступа через уязвимый веб‑сервис. Изначальная цена, указанная селлером, составляет 200 000 долл.
По оценкам BI.ZONE, в России в зоне потенциального риска могут оказаться порядка 400 организаций, разместивших RD Web Access на периметре.
При этом согласно исследованию Threat Zone 2026, 18% кибератак на российские компании начинаются именно с компрометации служб удаленного доступа.
Сервисы семейства RDS традиционно рассматриваются злоумышленниками как потенциально привлекательная точка первичного доступа в корпоративную инфраструктуру.
В случае успешной эксплуатации уязвимости атакующий может получить возможности для дальнейшего развития атаки, включая закрепление в инфраструктуре, перемещение по сети, развертывание вредоносного ПО и компрометацию учетных записей терминального сервера.
Для снижения рисков возможной эксплуатации, Бизоны рекомендуют использовать специализированные решения класса EASM, позволяющие автоматически находить опубликованные инстансы RD Web Access на внешнем периметре.
Если же вдруг станет известно, что используемый сервис был долгое время уязвим и общедоступен, рекомендуется оценить инфраструктуру на предмет компрометации.
В дополнение к предыдущему:
Предполагается, что атака связана с группировкой, известной как TeamPCP, поскольку в одной из использованных вредоносных ПО для кражи информации в последней строке скрипта Python содержится соответствующий комментарий «TeamPCP Cloud stealer».
TeamPCP, также отслеживаемая как DeadCatx3, PCPcat и ShellForce, известна как облачная угроза и нацелена на неправильно настроенные API Docker, кластеров Kubernetes, панелей мониторинга Ray и серверов Redis.
В свою очередь, Aqua Security подтвердила инцидент, заявив, что злоумышленник использовал скомпрометированные учетные данные из предыдущего инцидента (01.03.2026), который не был должным образом локализован.
В Aqua Security обновляли секретные ключи и токены, но этот процесс не был атомарным, и злоумышленники могли иметь доступ к обновленным токенам.
Вредоносная версия Trivy (v0.69.4) оставалась активной примерно три часа, а скомпрометированные теги GitHub Actions сохраняли свою активность до 12 часов.
Злоумышленники также внесли изменения в репозиторий проекта, удалив первоначальное сообщение Aqua Security об инциденте, произошедшем в марте.
Организациям, которые успели поработать с затронутыми версиями во ходе инцидента, должны рассматривать свои среды как полностью скомпрометированные.
Соответственно, следует предпринять ротацию всех секретных данных, включая учетные данные облачных сервисов, ключи SSH, токены API и пароли к базам данных, а также анализ систем на предмет дополнительных угроз.
Исследователи Aikido также связали этого же злоумышленника с последующей кампанией, в которой используется новый самораспространяющийся червь под названием CanisterWorm, нацеленный на пакеты npm.
Червь deploy.js взламывает пакеты, устанавливает постоянный бэкдор через службу пользователя systemd, а затем использует украденные токены npm для публикации вредоносных обновлений для других пакетов.
Самораспространяющийся червь принимает токены npm, определяет имена пользователей, перечисляет все доступные для публикации пакеты, обновляет версии патчей и публикует полезную нагрузку по всей области видимости - 28 пакетов менее чем за 60 секунд.
Вредоносная ПО использует децентрализованный механизм управления и контроля с помощью контейнеров Internet Computer (ICP), которые действуют как перехватчики URL-адресов, предоставляющие адреса для дополнительных полезных нагрузок.
Использование контейнеров ICP делает операцию более устойчивой к отключению, поскольку удалить контейнер может только его контроллер, а любая попытка остановить ее потребует внесения предложения в систему управления и голосования в сети.
Червь также включает в себя функциональность для сбора токенов аутентификации npm из конфигурационных файлов и переменных окружения, что позволяет ему распространяться в средах разработки и конвейерах CI/CD.
На момент анализа часть вторичной инфраструктуры полезной нагрузки была неактивна или содержала безвредный контент, но исследователи отмечают, что ситуация может измениться в любой момент.
Спецслужбы США, Канады и Германии провернули крупную силовую операцию, нейтрализовав инфраструктуру C2 крупнейших IoT-ботнетов AISURU, Kimwolf, JackSkid и Mossad.
Не обошлось и без помощников из числа частных компаний, среди котиорых: Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Synthient, Team Cymru, Unit 221B и QiAnXin XLab.
Согласно заявилению Минюста США, четыре ботнета совершили распределенные DDoS-атаки, направленные на жертв по всему миру, cкорость некоторых из этих атак составляла приблизительно 30 терабит в секунду, что стало рекордными показателями.
В своем февральском отчете Cloudflare связала AISURU/Kimwolf с масштабной DDoS-атакой мощностью 31,4 Тбит/с, произошедшей в ноябре 2025 года и длившейся всего 35 секунд.
В конце прошлого года также было установлено, что ботнет инициировал гиперобъемные DDoS-атаки со средним размером 3 миллиарда пакетов в секунду (Bpps), 4 Тбит/с и 54 миллиона запросов в секунду (Mrps).
В свою очередь, исследователь Брайан Кребс смог даже установить администратора Kimwolf, котором оказался 23-летний Джейкоб Батлер (он же Дорт) из Оттавы, Канада. Сам Батлер опроверг заявления Кребса.
По данным Кребса, другим главным подозреваемым является 15-летний подросток, проживающий в Германии. Вместе с тем, о каких-либо арестах пока не сообщается.
Ботнет захватил в свою сеть более 2 миллионов устройств Android, большинство из которых представляют собой взломанные телевизоры Android малоизвестных производителей.
В общей сложности, по разным оценкам, четыре ботнета заразили не менее 3 миллионов устройств по всему миру, вкчлюая цифровые видеорегистраторы, веб-камеры или Wi-Fi-роутеры, сотни тысяч из которых находятся в США.
Как отмечает силовики в своих документах, зараженные устройства использовались для проведения DDoS-атак против интересующих целей по всему миру в рамках партнерских программ.
В общем, четыре варианта ботнета Mirai выдали сотни тысяч команд для DDoS-атак, в том числе: AISURU - 200 000 команд, Kimwolf - 25 000, JackSkid - 90 000 и Mossad - 1000.
Как отметили в AWS, Kimwolf представлял собой фундаментальный сдвиг в принципах работы и масштабируемости ботнетов. В отличие от традиционных ботнетов, которые сканируют открытый интернет в поисках уязвимых устройств, Kimwolf использовал новый вектор атаки: сети резидентных прокси.
Проникая в домашние сети через скомпрометированные устройства, включая ТВ-приставки и другие устройства Интернета вещей, ботнет получил доступ к локальным сетям, которые обычно защищены от внешних угроз домашними маршрутизаторами.
В свою очередь, Akamai также поделилась своими наблюдениями, сообщая, что гипермассивные ботнеты генерировали атаки со скоростью более 30 Тбит/с, 14 миллиардов пакетов в секунду и 300 Мбит/с. Число таких атак достигало нескольких сотен тысяч, а в некоторых случаях атакуемые становились жертвами вымогательства.
Подобные атаки могут парализовать основную Интернет-инфраструктуру, привести к значительному ухудшению качества обслуживания со стороны интернет-провайдеров и даже перегрузить высокопроизводительные облачные сервисы защиты от атак.
Ну, а со своей стороны, отметим, что, как бывало уже не раз, подобные силовые изъятия не приводили к устранению самой угрозы, лишь ненадолго купируя ее активность. Но в любом случае, будем посмотреть.
На фоне широкомасштабного распространения в среде киберподполья продвинутых эксплойт-платформ Coruna и DarkSword, Apple выпустила рекомендации, настоятельно рекомендуя пользователям с устаревшими версиями iOS обновить свои iPhone.
Все для защиты от атак watering hole с использованием Coruna и DarkSword, в которых задействуется вредоносный веб-контент для запуска цепочки заражения в отношении устаревших версий iOS, которая приводит к краже конфиденциальных данных.
Apple заверила о проведении тщательного расследования в отношении обнаруженных проблем и эффективности выпущенных обновлений для самых последних версий ОС, которые гарантируют устранение уязвимостей и предотвращение подобных атак.
Пользователям с установленной последней версией программного обеспечения iPhone, ничего предпринимать не нужно. Предупреждение касается iOS с 15 по 26, в которых исправлены различные уязвимости безопасности, используемые эксплойт-комплектами.
Для остальных Apple рекомендует следующий порядок действий:
- Для более старых устройств, которые не могут обновиться до последней версии iOS, следует накатить iOS до версии 15.8.7, iPadOS 15.8.7, iOS 16.7.15, iPadOS 16.7.15.
- Обновить iOS до версии 15 на устройствах с iOS 13 или iOS 14, чтобы получить новейшие средства защиты, а также критическое обновление безопасности, которое, как ожидается, будет выпущено в ближайшие несколько дней.
- В ситуациях, когда обновление устройства невозможно, рекомендуется включить режим блокировки (Lockdown Mode), если он доступен.
iVerify полагает, что обнаруженные в широком канале эксплуатации уязвимости iOS, ранее задействовавшиейся в узко таргетированных APT-атаках, свидетельствуют о том, что мощные инструменты кибершпионажа и эксплойтная техника для мобильных устройств государственного уровня доступны на вторичном рынке для менее продвинутых злоумышленников.
Как отмечают в iVerify, относительная простота развертывания эксплойта, а также его быстрое внедрение множеством злоумышленников в разных странах указывают на формирование новой критической угрозы, связанной с широкомасштабными мобильными атаками.
Имеющиеся данные подтверждают, что эти уязвимости легко перепрофилировать и повторно использовать, что делает весьма вероятным активное заражение пользователей, не получивших обновления, модифицированными версиями.
Исследователи Лаборатории Касперского предупредили о новой вредоносной кампании группировки Head Mare, нацеленной на образовательные и научные учреждения, а также организации в энергетическом секторе в России.
Зедетектить активность удалось в феврале 2026 года, сама же кампания была активна как минимум с декабря 2025 года.
Жертвы получали ссылку - приглашение на видеоконференцию, после перехода по которой пользователю предлагалось установить сервис для подключения к видеозвонку.
В процессе установки происходило заражение системы - на устройство устанавливался ранее неизвестный бэкдор, который в ЛК назвали PhantomPxPigeon.
В настоящее время, как отмечают исследователи, наблюдается новая волна схожей активности, в частности в поле зрения попал целый ряд скомпрометированных серверов TrueConf у различных организаций из области транспорта, а также у научных и образовательных учреждений.
Дистрибутивы клиентского приложения TrueConf, которое скачивается с этих серверов, были подменены на вредоносные.
Таким образом, потенциально могли быть скомпрометированы и другие организации, сотрудники которых могли установить вредоносные версии клиентского приложения.
Вектор атаки, приводящий к подмене клиентского приложения на текущий момент непонятен, но злоумышленники предположительно могли использовать уже известную уязвимость BDU:2025-10116, которая была выявлена исследователями и исправлена вендором в августе 2025 года.
В связи с этим в Лаборатории Касперского рекомендуют всем использующим ПО TrueConf установить актуальную версию сервера в соответствии с рекомендациями вендора.
Кроме того, следует убедиться, что клиентские дистрибутивы, загружающиеся с сервера TrueConf, используемого в организации, имеют действительную цифровую подпись TrueConf и не подменены.
Обнаруженные ЛК вредоносные дистрибутивы не имеют действительной цифровой подписи.
Проверить подлинность можно также на сайте производителя.
Решения Лаборатории Касперского эффективно детектируют и блокируют вредоносные инсталляторы. В рамках сервиса Kaspersky Managed Detection and Response вредоносная активность также обнаруживается.
Актуальные IOCs - на сайте Лаборатории Касперского.
Ubiquiti выпустила экстренные обновления, включая патч прошивки UniFi Express, которые устраняют две уязвимости в приложении UniFi Network Application, ПО для управления устройствами UniFi, настройки сетей Wi-Fi, конфигурации брандмауэров, мониторинга трафика и многого другого.
Одна из уязвимостей, CVE-2026-22557, имеет максимальную оценку серьезности 10 из 10, эксплуатация тривиальна и может привести к полной компрометации системы.
Злоумышленник, имеющий доступ к сети, может использовать уязвимость обхода пути в приложении UniFi Network для доступа к файлам в базовой системе, которые можно использовать уже для получения доступа к учетной записи.
Уязвимость затрагивает все версии программного обеспечения, выпущенные до 18 марта 2026 года. Наиболее уязвимы пользователи, серверы которых подключены к интернету.
Ubiquiti настоятельно рекомендует сетевым администраторам обновить официальную и тестовую версии приложения UniFi Network до последней версии, а также установить патч для прошивки UniFi Express, что позволит обновить приложение UniFi Network до безопасной версии.
Программное обеспечение имеет широкую популярность среди пользователей, его можно разместить на собственном сервере Linux, компьютере с Windows, macOS или в контейнере Docker.
Вторая обнаруженная уязвимость имеет рейтинг серьезности 7,7 из 10 и представляет собой ошибку внедрения аутентифицированных NoSQL-запросов. Она позволяет злоумышленникам, получившим аутентифицированный доступ к сети, повысить свои привилегии.
Чтобы снизить риск задержек с установкой обновлений, компания рекомендует пользователям перейти на UniFi OS Server для всех развертываний с самостоятельным размещением, который включает в себя полный набор приложений UniFi Network и другие инструменты.
К числу затронутых продуктов относятся следующие: официальная UniFi Network версия 10.1.85 и более ранние; предварительная UniFi Network 10.2.93 и более ранние, а также UniFi Express (UX) - приложение UniFi Network версия 9.0.114 и более ранние.
Поставщик в своем предупреждении не упоминает, фиксировалась ли активная эксплуатация этих проблем в дикой природе.
Операторы Interlock с конца января нацелились на RCE-уязвимость максимальной степени серьезности в программном обеспечении Cisco Secure Firewall Management Center (FMC) в рамках реализации серии 0-day атак.
Банда вымогателей Interlock впервые нарисовались в сентябре 2024 года и была связана с кампанией ClickFix, а также с атаками, в ходе которых задействовался троян удаленного доступа под названием NodeSnake в сетях нескольких университетов Великобритании.
Кром того, Interlock провернула атаки на DaVita, Kettering Health, систему Техасского технологического университета и сети Сент-Пола (штат Миннесота, США).
Недавно исследователи IBM X-Force предупреждали, что операторы Interlock приступили к развертыванию нового штамма вредоносного ПО под названием Slopoly, предположительно, разработанного с использованием инструментов генеративного ИИ.
Возвращаясь к Cisco, упомянутая уязвимость отслеживается как CVE-2026-20131 и была устранена 4 марта. Она позволяет неавторизованным злоумышленникам удаленно выполнять произвольный код Java с правами root на устройствах без установленных исправлений.
В свою очередь, исследователи Amazon установили, что операторы Interlock более месяца использовала уязвимость Secure FMC в атаках на корпоративные межсетевые экраны, прежде чем она была раскрыта и справлена, начиная с 26 января 2026 года.
Это была не просто очередная уязвимость, для Interlock это была 0-day, что давало им недельную фору для компрометации организаций еще до того, как специалисты по защите успели что-либо проверить.
4 марта 2026 года Cisco выпустила уведомление по безопасности, в котором сообщалось об уязвимости в веб-интерфейсе программного обеспечения Cisco Secure Firewall Management Center, в котором поставщик представил самую последнюю информацию.
В компании настоятельно рекомендуют клиентам как можно скорее обновить ПО и обратиться к уведомлению для получения более подробной информации и рекомендаций.
С начала года в линейке востребованных киберподпольем решений Cisco расположились Cisco AsyncOS (с ноября 0-day использовалась для взлома защищенных почтовых устройств), Unified Communications (январская критическая RCE применялась в 0-day атаках), Catalyst SD-WAN (февральский ноль эксплуатировался для обхода аутентификации). Добавилась Cisco Secure Firewall Management Center (FMC).
Исследователи Dream обнаружили критическую уязвимость в демоне telnet (telnetd) библиотеки GNU InetUtils, которая может быть использована неавторизованным удаленным злоумышленником для выполнения произвольного кода с повышенными привилегиями.
Уязвимости присвоен идентификатор CVE-2026-32746.
Она имеет оценку CVSS 9,8 из 10,0 и связана с записью за пределами допустимого диапазона в обработчике LINEMODE Set Local Characters (SLC), что приводит к переполнению буфера и, в конечном итоге, открывает путь для RCE.
Dream обнаружила проблему и сообщила об уязвимости 11 марта 2026 года, заявиляя, что она затрагивает все версии реализации сервиса Telnet вплоть до 2.7.
Исправление уязвимости ожидается не позднее 1 апреля 2026 года.
Неавторизованный удалённый злоумышленник может использовать ее, отправив специально сформированное сообщение во время первоначального установления соединения - до запроса на авторизацию. Успешная эксплуатация может привести к RCE с правами root.
Для активации уязвимости достаточно одного сетевого подключения к порту 23 и специально сформированного SLC-опциона с множеством триплетов. Никаких учетных данных, никакого взаимодействия с пользователем и никакого специального сетевого положения не требуется.
Ошибка возникает во время согласования параметров, до появления запроса на авторизацию. Переполнение приводит к повреждению памяти и может быть преобразовано в произвольные операции записи.
Согласно данным Dream, обработчик SLC обрабатывает согласование параметров во время рукопожатия по протоколу Telnet.
Но, учитывая, что уязвимость может быть активирована до аутентификации, злоумышленник может использовать её сразу после установления соединения, отправляя специально сформированные протокольные сообщения.
Успешная эксплуатация уязвимости может привести к полной компрометации системы, если telnetd запущен с правами root.
Это, в свою очередь, может привести к различным действиям на этапе постэксплуатации, включая развертывание постоянных бэкдоров, утечку данных и горизонтальное перемещение с использованием скомпрометированных хостов в качестве точек опоры.
Поскольку telnetd обычно работает от имени root (например, под inetd или xinetd), успешная эксплойт-атака предоставит злоумышленнику полный контроль над системой.
В отсутствие решения проблемы рекомендуется отключить службу, если она не нужна, запускать telnetd без прав root там, где это необходимо, блокировать порт 23 на периметре сети и на уровне брандмауэра хоста для ограничения доступа, а также изолировать доступ к Telnet.
Исследователи из Lookout Threat Labs обнаружили новый эксплойт-комплект для устройств iOS под названием DarkSword, который использовался для кражи широкого спектра конфиденциальной информации, включая данные из криптокошельков.
DarkSword нацелен на iPhone под управлением iOS 18.4–18.7 и связан с несколькими злоумышленниками, включая операторов недавнего его аналога Coruna, раскрытого ранее в этом месяце.
Обнаружить DarkSword удалось в процессе изучения инфраструктуры, задействованной для атак Coruna, посильную помощь Lookout для более всестороннего анализа ранее неизвестной угрозы оказали Google и iVerify.
В отчете iVerify указывается, что все уязвимости, используемые в DarkSword, включая путаницу типов, использование памяти после освобождения, запись за пределы допустимого диапазона, ошибки ядра, связанные с копированием при записи, и ошибки повышения привилегий ядра, известны (задокументированы) и уже исправлены Apple в последних версиях iOS.
Все они отслеживаются как CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 и CVE-2025-43520.
Несмотря на то, что личность злоумышленника, стоящего за DarkSword, установить не удалось, все указывает на UNC6353, который, судя по всему, хорошо финансируется и имеет доступ к множеству известных и ранее неизвестных эксплойтов.
Исследователи обнаружили признаки использования инструментов на основе LLM для расширения функциональности DarkSword, хотя само вредоносное ПО довольно продвинутое и не является одноразовым инструментом, созданным с помощью ИИ.
В отчете Lookout отмечено, что вредоносное ПО отличается высокой степенью сложности и, по всей видимости, представляет собой профессионально разработанную платформу, позволяющую быстро создавать модули за счет доступа к языку программирования высокого уровня.
Помимо эксплойт-комплекта DarkSword, запускаемого в один клик, iVerify также нашла эксплойт для Safari с выходом из песочницы, повышением привилегий и внедрением уязвимостей в память, который позволял красть конфиденциальные данные с устройств.
При этом атаки DarkSword инициируются в браузере Safari, где с помощью множества эксплойтов операторы получают доступ к чтению/записи ядра, а затем выполняют код через основной компонент оркестратора (pe_main.js).
Неизвестно, как именно были взломаны сайты, задействованные в замеченных атаках, но у злоумышленников были достаточные права для внедрения вредоносных iframe-элементов в HTML-код этих сайтов.
Оркестратор внедряет JavaScript-движок в привилегированные службы iOS, такие как App Access, Wi-Fi, Springboard, Keychain и iCloud, а затем активирует модули для кражи данных.
Согласно анализу Lookout, в число объектов, на которые нацелена DarkSword, входят: сохраненные пароли, фотографии, базы данных WhatsApp и Telegram, криптокошельки (Coinbase, Binance, Ledger и др.), SMS, контакты, история звонков, местоположений, браузера, cookies, Wi-Fi и пароли, Apple Health, календарь, заметки, установленные приложения и связанные аккаунты.
DarkSword удаляет временные файлы и завершает работу, когда указанная выше информация передается злоумышленникам, что указывает на то, что он не был разработан для проведения долгосрочных операций по кибершпийнажу.
Пользователям iPhone рекомендуется обновить iOS до версии 26.3.1 (последняя), выпущенной ранее в этом месяце, и активировать режим блокировки, если существует высокий риск заражения вредоносным ПО.
Apple выпустила первое обновление Background Security Improvements с исправлением уязвимости WebKit, которая отслеживается как CVE-2026-20643, на iPhone, iPad и Mac, не требующее полного обновления ОС.
CVE-2026-20643 позволяет вредоносному веб-контенту обходить политику Same Origin Policy браузера и связана с междоменной проблемой в API навигации, которая была устранена за счет улучшения проверки входных данных.
Раскрытие приписывается исследователю Томасу Эспаху. Новое обновление доступно для iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 и macOS 26.3.2.
В рамках этого релиза Apple впервые выпустила исправление безопасности через ранее анонсированную функцию «фоновых улучшений безопасности», которая используется для доставки небольших внеплановых патчей вне обычного цикла обновлений.
Фоновые улучшения безопасности обеспечивают выпуск облегченных версий обновлений безопасности для таких компонентов, включая браузер Safari, стек фреймворка WebKit и другие системные библиотеки.
В редких случаях возникновения проблем с совместимостью, улучшения фоновой безопасности могут быть временно удалены, а затем улучшены в последующем обновлении ПО.
Раньше обновления безопасности Apple требовали от пользователей установки новой версии ОС с перезагрузкой устройства. Однако благодаря новой Apple теперь может предоставлять небольшие обновления для конкретных компонентов в фоновом режиме в iOS 26.1, iPadOS 26.1 и macOS 26.1.
При этом Apple предупреждает, что удаление обновления, улучшающего безопасность в фоновом режиме, приводит к удалению всех ранее установленных фоновых исправлений, в результате чего устройство возвращается к базовой версии ОС (например, iOS 26.3.1) без каких-либо дополнительных исправлений безопасности.
Это фактически отключает средства защиты, обеспечиваемые этой функцией в режиме быстрого реагирования, оставляя устройства на базовом уровне безопасности до тех пор, пока обновления не будут повторно установлены или включены в будущее полное обновление.
Поэтому, если базовые улучшения безопасности не вызывают проблем на вашем устройстве, настоятельно рекомендуется не удалять их.
Кампания GlassWorm активизируется и наливается на проекты Python, включая приложения Django, панели мониторинга Streamlit и пакеты PyPI, с использованием украденных токенов GitHub.
По данным StepSecurity, первые случаи внедрения вредоносного кода датируются 8 марта 2026 года.
Получив доступ к учетным записям разработчиков, злоумышленники перебазировали последние легитимные коммиты в основную ветку целевых репозиториев с помощью вредоносного кода, а затем принудительно отправляли изменения, сохраняя при этом сообщение, автора и дату создания исходного коммита.
Новое ответвление кампании GlassWorm получило кодовое название ForceMemo, а сама атака осуществляется в четыре этапа:
- Взлом систем разработчиков с помощью вредоносного ПО GlassWorm осуществляется через вредоносные расширения VS Code и Cursor. Вредоносная ПО содержит специальный компонент для кражи секретных данных, таких как токены GitHub.
- Украденные учетные данные используются для принудительной отправки вредоносных изменений во все репозитории, управляемые взломанной учетной записью GitHub, путем перебазирования обфусцированного вредоносного ПО в файлы Python с именами setup.py, main.py или app.py.
- Закодированная в Base64 полезная нагрузка, добавленная в конец файла Python, включает проверки, аналогичные GlassWorm, для определения, установлена ли в системе русская локаль. Во всех остальных случаях вредоносная ПО запрашивает поле memo транзакции, связанное с кошельком Solana (BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC) GlassWorm, для извлечения URL-адреса полезной нагрузки.
- Затем с сервера загружаются дополнительные вредоносные ПО, включая зашифрованный JavaScript, предназначенный для кражи криптовалюты и данных.
При этом самая ранняя транзакция по адресу C2 датируется 27 ноября 2025 года - более чем за три месяца до первых внедрений в репозитории GitHub от 8 марта 2026 года.
На этом адресе совершено в общей сложности 50 транзакций, при этом злоумышленник регулярно обновляет URL-адрес полезной нагрузки, иногда несколько раз в день.
Напомним, ранее Socket сообщала о новой версии GlassWorm, которая технически сохраняет те же основные принципы работы, но при этом повышает живучесть и обход защиты за счет использования extensionPack и extensionDependencies для доставки вредоносного кода посредством транзитивной модели распространения.
Тогда же Aikido Security связала разработчика GlassWorm с масштабной кампанией, в ходе которой был взломан 151 репозиторий GitHub с помощью вредоносного кода, скрытого посредством невидимых символов Unicode.
Расшифрованная полезная нагрузка была настроена на получение инструкций C2 из того же кошелька Solana, что указывает на то, что злоумышленник атаковал репозитории GitHub в несколько этапов.
Использование различных методов доставки и методов обфускации кода, но при этом одной и той же инфраструктуры Solana, позволяет предположить, что ForceMemo - это новый вектор доставки, эксплуатируемый злоумышленником GlassWorm, который теперь расширил свою деятельность с компрометации расширений VS Code до более масштабного захвата учетных записей GitHub.
Кроме того, сообщается, что два npm-пакета React Native (react-native-international-phone-number и react-native-country-select) поддерживаемые astroonauta, были взломаны для прямой публикации вредоносных версий в реестре без соответствующего релиза на GitHub.
Предполагается, что эта деятельность также является частью кампании ForceMemo.
Вредоносные версии, выявленные 16 марта 2026 года, содержат предустановочный хук, который вызывает обфусцированный JavaScript для запуска ряда действий:
- обход российских жертв путем проверки переменных среды и часового пояса ОС,
- обращение к жестко закодированному кошельку Solana (6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ), также связанному с GlassWorm, для извлечения URL-адреса полезной нагрузки и доставки специфичного для платформы вредоносного ПО.
Расшифрованная полезная нагрузка выполняется полностью в оперативной памяти, никогда не записывается на диск, с помощью функции eval() в macOS/Linux или песочницы Node.js vm.
Исследователи Positive Technologies представили объемный отчет с аналитикой по атакам киберпреступных (от APT до хактивистских) групп в 2025 году, констатировав попадание России в число трех стран, которые чаще всего становились их мишенью, наряду с США и Китаем.
По данным исследования, в 2025 году ключевыми целями злоумышленников оставались кража конфиденциальной информации, промышленный шпионаж, саботаж и получение финансовой выгоды.
При этом в атаках киберпреступники активно применяли ИИ, а также нестандартные инструменты для создания фишинговых кампаний и дипфейков.
Основная часть всех атак в СНГ пришлась на три страны: Россию (46%), Беларусь (11%) и Казахстан (8%). Эксперты связывают это с региональными геополитическими процессами, масштабом экономической деятельности и численностью населения.
Чаще всего СНГ атаковали APT-группировки, а на долю хактивистов пришлось всего 19% атак в регионе. Такое распределение связано с тем, что политически мотивированные злоумышленники зачастую либо подчиняются APT-группам, либо вытесняются ими, выполняя роль посредников.
Всего в 2025 году на территории СНГ Позитивы отслеживали деятельность 123 киберпреступных групп, из которых 57 проявили себя в России. Активнее всего действовали Rare Werewolf, Lifting Zmiy, PhantomCore, Cyber Partisans, Silent Crow и TA558.
Их главными целями стали промышленные предприятия, правительственные учреждения и финансовые организации: на эти сферы пришлось почти 50% всех атак. При этом промышленность атаковало большинство активных группировок.
Последствия подобных киберпреступлений принимали разные формы: от крупных утечек конфиденциальных данных до прямого вывода из строя объектов инфраструктуры.
Фишинг и эксплуатация уязвимостей в публично доступных приложениях оставались в 2025 году главными векторами проникновения во всех регионах мира.
При этом злоумышленники активно внедряли ИИ как для создания более убедительного фишинга, так и для написания вредоносного кода.
Например, Rare Werewolf задействовала собственные вредоносные модули, разработанные с помощью ИИ, в атаках на предприятия авиационной и радиопромышленности. Goffee также применяла нейросети в атаках на российские оборонные компании.
Потенциальный ущерб от таких атак включает не только кражу данных, но и незаметное использование вычислительных мощностей предприятий для добычи криптовалюты.
Для обхода сигнатурных средств защиты, широко распространенных в регионе, злоумышленники маскировали вредоносное ПО под легитимные файлы и популярные расширения, обфусцировали код и применяли автозагрузку через реестр или планировщик задач.
Для выполнения вредоносных скриптов в основном использовались интерпретаторы командной строки. Некоторые группировки также адаптировали вредоносы для проверки среды выполнения, снижая риск их запуска в песочницах.
В совокупности это показывает: квалификация атакующих повышается, а значит, и подходы к защите нуждаются в системном пересмотре. Для минимизации рисков целевых атак необходимо проактивно анализировать угрозы, проводить реалистичные тестирования и обучение команд.
Эксперты ожидают, что в 2026 году высокая активность APT-группировок и хактивистов в регионе сохранится. Даже при возможной заморозке текущих конфликтов атакующие сосредоточатся на промышленном шпионаже и получении разведывательной информации.
Киберпреступники будут активно использовать огромное количество уже скомпрометированных учетных данных в новых попытках получить несанкционированный доступ. Кроме того, запланированные на 2026 год в СНГ масштабные мероприятия могут расширить поверхность атаки.
На этом фоне рынок кибербезопасности в СНГ продолжит активно расти. По прогнозам, с 2024 по 2029 год его объем будет увеличиваться в среднем на 5,97% ежегодно и достигнет к 2029 году 5,52 млрд. долл.
Подробная аналитика (в том числе по регионам), прогнозы и практические рекомендации - в отчете.
Исследователи из Лаборатории Касперского раскрыли подробности в отношении активности новой группы Toy Ghouls (тbearlyfy или laboo.boo), нацеленной на российские организации.
Злоумышленники действуют как минимум с января 2025 года и преследуют финансовые цели, практикуя вымогательство. При этом они не разрабатывают собственные инструменты, а полагаются преимущественно на общедоступные утилиты и слитый код.
В качестве финальной полезной нагрузки группа использует программы-вымогатели из семейств LockBit и RedAlert для систем Windows, а также Babuk для Linux и ESXI. При этом у группы нет DLS сайта: в принципе не выявлено никаких признаков сбора конфиденциальных данных.
При этом Toy Ghouls отличаются креативным подходом к созданию записок о выкупе, представляясь монстром Лабубу и часто включая в свои послания аллюзии на сферу деятельности атакованной компании вместе с едкими шутками в адрес жертвы.
Вместе с тем, в деятельности Toy Ghouls обнаружись признаки возможной связи с группой Head Mare, в частности - совпадения в используемых инструментах и сетевой инфраструктуре.
Чаще всего злоумышленники получают доступ к системам жертв либо через скомпрометированную инфраструктуру подрядчиков, либо через общедоступные сервисы.
В большинстве атак хакеры использовали RDP и злоупотребляли действительными локальными или доменными учетными записями, чьи учетные данные OpenVPN или SSH были скомпрометированы.
Оказавшись внутри инфраструктуры, Toy Ghouls предпринимали попытки горизонтального перемещения при помощи того же RDP. Группа использует небезопасную конфигурацию серверов 1C для загрузки инструмента 1C-Shell, а также инструменты удаленного администрирования MeshAgent, RuDesktop и AnyDesk.
Toy Ghouls используют NSSM для создания или изменения служб Windows, которые запускают вредоносные исполняемые файлы. Также для обеспечения постоянного доступа к хосту создают новые локальные учетные записи с помощью системной утилиты net.exe.
Еще один метод закрепления в системе, выполнения вредоносных действий и инструментов - запланированные задачи. С их помощью группа Toy Ghouls, в частности, создает SSH-туннели и отключает виртуальные машины.
В ходе своих атак группа часто доставляет на атакуемые хосты утилиты, которые впоследствии помогут злоумышленникам перемещаться по сети - OpenSHH и localtonet.
Основной метод перенаправления трафика у Toy Ghouls заключается в применении обратного SSH-туннеля с использованием переадресации портов (-R) для обеспечения доступа к серверу внешнего хоста. Также используют утилиты GOST, rsocx, cloudflared и localtonet.
Для разведки внутренней сети злоумышленники используют сканеры сети SoftPerfect и fscan, утилиту AdExplorer из пакета Sysinternals Suite для просмотра и анализа структуры Active Directory, а также в разведывательных целях - целый ряд утилит из пакета PSTools.
Toy Ghouls выполняет различные действия на скомпрометированных хостах при помощи запланированных задач, используют PowerShell для выполнения вредоносных скриптов, командную оболочку Windows для выполнения команд в этой ОС и Bash в системах *nix. Для удаленного выполнения команд применяют утилиту PAExec.
Как и многие злоумышленники, Toy Ghouls используют mimikatz, чтобы получить доступ к секретам LSA, извлечь данные из LSASS и другие учетные данные.
В общем, угрозы на российском направлении динамично меняются: все больше групп объединяют свои ресурсы, используют общую инфраструктуру и перенимают друг у друга методы и инструменты. Многие из них значительно повышают уровень своих навыков.
В новых атаках они активно эксплуатируют уязвимости доменной инфраструктуры и используют техники, основанные на доменных механизмах, стремятся действовать более скрытно и все чаще переходят на использование легитимных утилит и методов Living Off the Land.
Как отмечают в ЛК, именно к таким группам можно отнести и Toy Ghouls.
Подробный разбор TTPs Toy Ghouls по модели Unified Kill Chain и IOCs - в отчете.
Хакеры из TeamPCP, стоящие за атакой на цепочку поставок Trivy, продолжили атаковать Aqua Security, распространяя вредоносные образы Docker и взламывая организацию компании на GitHub, вмешиваясь в работу десятков репозиториев.
Это произошло после того, как злоумышленник взломал конвейер сборки GitHub для сканера Trivy от Aqua Security для распространения инфостилера, в ходе атаки на цепочку поставок, которая в выходные распространилась и на Docker Hub.
Socket в своем отчете сообщила об обнаружении скомпрометированных артефактов Trivy, опубликованных в Docker Hub. Новые теги образов 0.69.5 и 0.69.6 были загружены 22 марта без соответствующих релизов или тегов в GitHub.
Согласно анализу исследователей, эти два образа содержат признаки компрометации, связанные с вредоносной ПО, которую TeamPCP запустила после получения доступа к организации Aqua Security в GitHub.
Исследователи отмечают, что последняя известная версия Trivy - 0.69.3, и предупреждают, что даже если они не обнаружили никаких признаков изменения более старых образов или бинарных файлов после публикации, «теги Docker Hub не являются неизменяемыми, и организациям не следует полагаться исключительно на имена тегов для обеспечения целостности».
Со своей стороны Aqua выпустила обновление и отметила, что 22 марта выявила дополнительную подозрительную активность: те же злоумышленники восстановили несанкционированный доступ и совершили «несанкционированные изменения и вмешательство в репозиторий».
Компания отметила, что, несмотря на эти новые обстоятельства, на данный момент это никак не повлияло на Trivy.
Анализ, проведенный OpenSourceMalware объясняет, что TeamPCP получила доступ к aquasec-com на GitHub, где Aqua Security размещает свой собственный код, отдельно от aquasecurity на GitHub для публичных репозиториев.
Используя автоматизированный скрипт, хакерам потребовалось около двух минут, чтобы добавить префикс tpcp-docs- ко всем 44 репозиториям, доступным в GitHub компании, и изменить все описания на «TeamPCP владеет Aqua Security».
Исследователи с высокой степенью уверенности установили, что злоумышленник получил доступ, взломав учетную запись службы под названием Argon-DevOps-Mgt, которая имела доступ к обеим организациям Aqua Security на GitHub.
Согласно данным OpenSourceMalware, целевая учетная запись службы авторизовывала действия на основе персонального токена доступа (PAT) обычного пользователя, а не приложения GitHub.
Проблема заключается в том, что аутентификация PAT работает как пароль и действительна в течение более длительного периода, чем токен приложения GitHub. Кроме того, служебная учетная запись обычно используется для автоматизированных задач и не имеет MFA.
Чтобы проверить, что у учетной записи есть права администратора для публичных и частных организаций AquaSec на GitHub, команда TeamPCP создала новую ветку update-plugin-links-v0.218.2 в публичном репозитории aquasecurity/trivy-plugin-aqua, которую затем удалила «в ту же самую секунду».
Исследователи полагают, что хакеры получили PAT для сервисной учетной записи Argon-DevOps-Mgt, используя программу-стилер TeamPCP Cloud, которая собирает токены GitHub, SSH-ключи, облачные учетные данные и переменные среды с CI-серверов.
Поскольку это служебная учетная запись, запускающая рабочие процессы в trivy-plugin-aqua, ее токен присутствовал в среде выполнения.
OpenSourceMalware предоставила набор IOCs, которые могут помочь определить, пострадали ли их среды от атаки на цепочку поставок.
Aqua Security заявляет, что у нее нет доказательств того, что версия Trivy, используемая в ее коммерческих продуктах, была затронута. По своей конструкции, форкнутая версия коммерческой платформы отстает от открытого исходного кода Trivy с контролируемым процессом интеграции.
Однако Aqua Security пообещала сообщать о новых подробностях по мере их появления и опубликовать дополнительные результаты. Продолжаем следить.
🌐 Современный Wi-Fi и его безопасность!
• Тема атак на беспроводные сети по‑прежнему остается одной из самых актуальных в сфере информационной безопасности.
• Из этого содержательного и очень объемного материала вы узнаете, как атакуют современный Wi-Fi и какие эффективные методы необходимо использовать для защиты беспроводных сетей:
➡ Читать статью [Часть 1], [20 min].
➡ Читать статью [Часть 2], [30 min].
• Дополнительно:
➡Большой FAQ про Wi-Fi: хороший чек-лист, который содержит ответы на всевозможные вопросы, которые так или иначе связанны с Wi-Fi. Автор на протяжении 20 лет занимается беспроводными технологиями и начал вести данный список еще в самом начале своей карьеры.
➡Анализ безопасности Wi-Fi: подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3 (какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации).
➡Пентест Wi-Fi: полезный чек-лист, который содержит актуальные советы и хитрости на тему пентеста Wi-Fi сетей.
➡Инструменты для пентеста Wi-Fi: продолжение поста выше, статья включает в себя максимально полный список инструментов для анализа защищенности Wi-Fi.
➡MindMap WiFi Hacking: самая объемная и актуальная MindMap по анализу защищенности Wi-Fi на сегодняшний день.
➡Useful Wireless Links: учебные пособия, справочники, калькуляторы, софт, гаджеты и многое другое.
S.E. ▪️ infosec.work ▪️ VT
Солары выкатили отчет с техническим разбором ClayRat, вредоносного ПО для Android, относящегося к классу Spyware/RAT, которое функционально предназначено для скрытого наблюдения за пользователем и удаленного управления зараженным устройством.
В аналогичных исслкедованиях Zimperium (1 и 2) также был представлен технический разбор нагрузок и примеры массового распространения вредоноса. Однако Солары обратили основное внимание на серверную часть и подвели общий итог активности ClayRat.
Вредонос способен перехватывать SMS-сообщения и журнал вызовов, получать доступ к контактам, делать фотографии, запись экрана, а также отправлять команды с C2. Распространяется преимущественно через фишинговые сайты и под видом легитимных приложений.
Бэкенд написан на Go (1.24), не обфусцирован, содержит дебаг-строк и использует файловое хранение (JSON) вместо СУБД. APK-билдер генерирует вредоносные приложения на основе шаблона, подставляя конфигурируемые параметры.
Конфигурация хранится в plaintext: пароли пользователей, токены Telegram/SMS, C2-домены, - что создает дополнительные риски при компрометации панели.
Фильтрация SMS реализует многоуровневый парсинг: поиск по ключевым словам банков, МФО, маркетплейсов, поиск номеров карт по регулярным выражениям и т.д.
Инфраструктура использовала домен kpmail[.]su и массив C2-серверов (~100 IP). Примечательно, что домен фигурирует не только в инфраструктуре ClayRat: он также встречается в индикаторах компрометации бэкдора DCRAT, где ему соответствует поддомен dcrat[.]kpmail[.]su.
Но к декабрю 2025 года все C2-серверы стали недоступны. Как оказалось дело в том, что согласно открытым источникам в Краснодаре задержали студента, который подозревался в создании вредоноса ClayRat.
Таким образом, активность ClayRat, вероятно, прекратилась после задержания. В этой связи история ClayRat во многом повторяет судьбу Gorilla: после громкого старта и быстрого масштабирования инфраструктуры проект стремительно угас.
Вредонос, который привлек к себе широкое внимание в октябре 2025 года, к декабрю того же года потерял все командные серверы. Как отмечает Солары, проект отгремел ярко, но быстро во многом из-за фундаментальных просчетов его автора.
Все технические подробности и IOCs - в отчете.
Новая атака на цепочку поставок: на прошлой неделе популярный сканер уязвимостей с открытым исходным кодом Trivy от Aqua Security был взломан.
Инцидент приписывается группе злоумышленников, известной как TeamPCP, которая распространяла вредоносное ПО для кражи учетных данных через официальные релизы и GitHub Actions.
Trivy - достаточно популярный сканер безопасности, помогающий выявлять уязвимости, неправильные конфигурации и раскрытые секреты в контейнерах, средах Kubernetes, репозиториях кода и облачной инфраструктуре.
Впервые о взломе сообщил исследователь Пол Маккарти, предупредив, что Trivy в версии 0.69.4 содержит бэкдор, через который публикуются вредоносные образы контейнеров и релизы GitHub.
Дальнейший анализ Socket и Wiz (1 и 2 соответственно), показал, что атака затронула множество GitHub Actions, скомпрометировав почти все теги версий репозитория trivy-action.
Исследователи обнаружили, что злоумышленники скомпрометировали процесс сборки Trivy на GitHub, заменив файл entrypoint.sh в GitHub Actions вредоносной версией и опубликовав троянизированные бинарные файлы в релизе Trivy v0.69.4.
Оба действия действовали как инфостилеры в основном сканере и связанных с ним GitHub Actions, включая trivy-action и setup-trivy .
Злоумышленники воспользовались скомпрометированными учетными данными, содержащими доступ на запись в репозиторий, что позволило им публиковать вредоносные релизы.
Задействованные в атаке учетные данные связаны были связаны с более ранним инцидентом, произошедшим в марте, когда важные креды были похищены из среды Trivy и не были полностью ротированы.
Злоумышленник принудительно добавил 75 из 76 тегов в репозиторий aquasecurity/trivy-action, перенаправив их на вредоносные коммиты.
В результате любые внешние рабочие процессы, использующие затронутые теги, автоматически выполняли вредоносный код до запуска легитимных сканирований Trivy, что затрудняло обнаружение взлома.
По данным Socket, злоумышленник, занимавшийся кражей информации, собирал разведданные и сканировал системы на предмет наличия широкого спектра файлов и мест, где, как известно, хранится широкий спектр учетных данных и секретных ключей аутентификации.
Вредоносный скрипт также сканирует области памяти, используемые процессом GitHub Actions Runner.Worker, на наличие строки JSON " " <name> ":{ "value": "<secret>", "isSecret":true}" для поиска дополнительных секретных ключей аутентификации.
На компьютерах разработчиков зараженный троянами бинарный файл Trivy выполнял аналогичный сбор данных, собирая переменные среды, сканируя локальные файлы на наличие учетных данных и перечисляя сетевые интерфейсы.
Собранные данные шифруются и сохраняются в архив с именем tpcp.tar.gz, который затем передается на сервер С2 по адресу scan.aquasecurtiy[.]org.
Если утечка данных не удавалась, вредоносная ПО создавала общедоступный репозиторий с именем tpcp-docs в учетной записи GitHub жертвы и загружала украденные данные туда.
Для закрепления на скомпрометированном устройстве вредоносная ПО также устанавливала полезную нагрузку на Python в файл ~/.config/systemd/user/sysmon.py и регистрировала его как службу systemd.
Она проверяла удаленный сервер на наличие дополнительных полезных нагрузок для установки, предоставляя злоумышленнику постоянный доступ к устройству.
Исследователи Sansec сообщают, что недавно обнаруженная уязвимость, получившая название PolyShell, затрагивает все установленные версии Magento Open Source и Adobe Commerce stable version 2, позволяя выполнять несанкционированный код и захватывать учетные записи.
Признаков активного использования уязвимости в реальных условиях пока нет, однако Sansec предупреждает, что метод эксплуатации уже распространяется и ожидает скорого начала автоматизированных атак.
В свою очередь, Adobe выпустила исправление, но оно доступно только во второй альфа-версии 2.4.9, что делает уязвимыми рабочие версии.
Sansec полагают, что Adobe предлагает «пример конфигурации веб-сервера, который в значительной степени ограничит последствия», но большинство магазинов используют настройку от своего хостинг-провайдера.
Согласно отчету исследователей, проблема безопасности заключается в том, что REST API Magento принимает загрузку файлов в качестве части пользовательских опций для товара в корзине.
Когда у опции товара указан тип file, Magento обрабатывает встроенный объект file_info, содержащий закодированные в base64 данные файла, MIME-тип и имя файла. Файл записывается в папку pub/media/custom_options/quote/ на сервере.
В связи с чем, Sansec отметили, что название PolyShell происходит от использования полиглотного файла, который может выступать одновременно и в качестве изображения, и в качестве скрипта.
В зависимости от конфигурации веб-сервера, уязвимость может привести к RCE или захвату учетной записи посредством XSS-атаки, что затронет большинство проанализированных исследователями хранилищ.
Sansec провела расследование во всех известных магазинах, использующих платформы Magento и Adobe Commerce, обнаружив, что во многих из них файлы находятся в каталоге для загрузки.
До тех пор, пока Adobe не выпустит исправление для рабочих версий, администраторам рекомендуется:
- ограничить доступ к pub/media/custom_options/;
- убедиться, что правила nginx или Apache действительно блокируют доступ к этому ресурсу;
- просканировать магазины приложений на наличие загруженных шелл, бэкдоров или другого вредоносного ПО.
Подкатила новая утечка - BlueLeaks 2.0: называющая себя Internet Yiff Machine группа хактивистов утверждает, что, используя уязвимости, смогла взломать платформу правоохранительных органов P3 Global Intel под управлением Navigate360.
После эксфильтрации содержимого общим размером в более чем 93 ГБ Internet Yiff Machine слил данные платформы журналистам (здесь) и админам проекта DDoSecrets (здесь).
BlueLeaks 2.0 содержит миллионы сообщений и информации о предполагаемых преступлениях и террористических актах, поступавших в P3 Global Intel на протяжении нескольких десятилетий.
При этом поступающая информация используются разведывательными и правоохранительными органами по всей территории США и в ряде других стран, а также десятками тысяч школ. Это своего рода «платформа №1» для центров анализа информации и разведподразделений.
Данные также включают информацию об учетных записях клиентов компании, а также копии запросов в службу поддержки, отправленных пользователями. Кроме того, также и переписку между информаторами и теми, кто получал информацию о преступлениях.
Тематика доносов варьируются от обвинений в мелком воровстве до серьезных преступлений, включая торговлю людьми, жестокое обращение с детьми и терроризм.
Причем утечка охватывают период с 1987 года, учитывая, что P3 с момента своего основания постоянно интегрировала в свою систему старые сообщения о преступлениях, которые ранее поступали через колл-центры.
Опубликованные данные опровергают некоторые заявления P3, прежде всего по части шифрования хранящихся в системе данных, поскольку они были получены хакерами в открытом виде.
P3 также заявляет, что процесс сбора информации и обмена сообщениями является анонимным, однако слитые сведения указывают на то, что администраторам тайно предоставляется возможность деанонимизировать пользователей.
По прошествии почти десятилетия оборона Xbox One пала. Исследователь Маркус Гааседелен на RE//verse 2026 анонсировал «революционный» взлом консоли от Microsoft.
Xbox One оставалась «неприступной крепостью» с момента своего выпуска в 2013 году, но теперь и ее распечатали.
Подобно тому, как Xbox 360 стал жертвой взлома с помощью Reset Glitch Hack (RGH), Xbox One была распакована с помощью Voltage Glitch Hacking (VGH).
ThreatFabric в своем отчете препарирует новую вредоносную ПО для Android под названием Perseus, которая шерстит по созданным пользователями заметкам для кражи конфиденциальной информации, включая пароли, фразы восстановления или финансовые данные.
Распространяемый через неофициальные магазины под видом IPTV, Perseus позволяет полностью захватывать управление устройством, делать скриншоты и проводить атаки с использованием наложений.
Злоумышленник, выдавая себя за приложения IPTV, нацеливается на то, что пользователь сможет установить APK вне Google Play, игнорируя при этом предупреждения системы безопасности.
Подобная легенда задействуется в последние восемь месяцев, поскольку пользователи ищут бесплатные или недорогие способы доступа к прямым трансляциям спортивных событий.
В недавней аналогичной кампании злоумышленники также использовали приложение IPTV в качестве приманки для аспространения банковского вредоносного ПО Massiv для Android.
По данным ThretFabric, Perseus, в первую очередь, нацелен на финансовые учреждения в Турции и Италии, а также на криптовалютные сервисы.
Одно из приложений, загружающих вредоносное ПО, называется Roja Directa TV, это популярный сервис потокового вещания спортивных трансляций, который не раз становился объектом нарушений авторских прав и блокировок.
Программа-дроппер для Perseus может обходить ограничения на установку вредоносных ПО из сторонних источников в Android 13+ и является той же самой, что используется для распространения вредоносных ПО Klopatra и Medusa.
Как отмечают исследователи, Perseus, по всей видимости, базируется на коде Phoenix, который, в свою очередь, унаследовал код Cerberus, просочившийся в сеть почти шесть лет назад.
Вредоносная ПО имеет две версии: одна на турецком языке, а другая, более усовершенствованная, на английском, которая также отличается улучшенной отладкой и дополнительными функциями, повышающими удобство использования.
В английском варианте код содержит обширные записи логов и эмодзи, что является убедительным свидетельством использования инструментов ИИ в процессе разработки.
В списке целевых финансовых учреждений страны также прослеживается ориентация на Турцию (17), за которой следуют Италия (15), Польша (5), Германия (3) и Франция (2). Вредоносное ПО также нацелено на 9 приложений для криптовалют.
Злоупотребляя службами специальных возможностей Android, Perseus предоставляет операторам полный удаленный контроль над зараженными устройствами, позволяя им: делать снимки экрана, имитировать различные виды касаний, включать экран, запускать приложения, производить наложения экрана, осуществлять перехват нажатий клавиш и др.
Перед запуском Perseus проводит обширные проверки на предмет защиты от анализа, включая получение root-прав, отпечатков эмуляторов, данных SIM, профиля оборудования, данных о батарее, наличия Bluetooth, количества приложений и доступности сервисов Google Play, а также формирует «оценку подозрительности». На основании этого показателя оператор решает, следует ли продолжать кражу данных.
Наиболе примечательная функция Perseus нацелена на приложения для создания заметок на Android, включая Google Keep, Xiaomi Notes, Samsung Notes, ColorNote, Evernote, Microsoft OneNote и Simple Notes.
Исследователи ThreatFabric отмечают, что это первый случай, когда они обнаружили вредоносное ПО для Android, проверяющее конфиденциальную информацию в личных заметках на устройстве, что отражает более широкий интерес к контекстным и персонализированным данным.
ConnectWise предупреждает клиентов ScreenConnect об уязвимости в проверке криптографической подписи, которая может привести к несанкционированному доступу и повышению привилегий.
Уязвимость затрагивает все версии ScreenConnect до 26.1 включительно. Она отслеживается как CVE-2026-3564 и получила критическую оценку серьезности.
ScreenConnect представляет собой платформу удаленного доступа, обычно используемая MSP-поставщиками, ИТ-отделами и группами поддержки. Она может размещаться в облаке компании ConnectWise или локально на сервере заказчика.
Злоумышленник может использовать эту уязвимость в системе безопасности для извлечения и использования ключей ASP.NET для несанкционированной аутентификации сеансов.
Как поясняют в ConnectWise, если ключевой материал машины для экземпляра ScreenConnect будет раскрыт, злоумышленник сможет генерировать или изменять защищенные значения таким образом, что экземпляр сможет принять их за допустимые.
Это может привести к несанкционированному доступу и несанкционированным действиям в рамках ScreenConnect.
Производитель решил эту проблему, добавив более надежную защиту ключей машины, включая зашифрованное хранение и улучшенную обработку, начиная с версии ScreenConnect 26.1.
Пользователи облачных сервисов были автоматически переведены на безопасную версию, однако системным администраторам, управляющим локальными развертываниями, необходимо как можно скорее обновиться до версии 26.1.
ConnectWise также заявила, что исследователи зафиксировали попытки злоупотребления раскрытыми данными о ключах доступа к ASP.NET в реальных условиях.
Однако на текущий момент нет доказательств активной эксплуатации в ScreenConnect, размещенном на серверах ConnectWise, именно CVE-2026-3564, как и IoC, которыми она могла бы поделиться с защитниками.
Тем не менее, в компании призывают всех исследователей, подозревающих или выявивших реальную эксплуатацию, ответственно раскрывать информацию, чтобы полученные данные могли быть подтверждены и надлежащим образом учтены.
Вместе с тем, высказываются предположения, что китайские хакеры активно использовали эту уязвимость в течение многих лет, но неясно, была ли использована та же самая уязвимость в системе безопасности.
Помимо обновления ScreenConnect до 26.1, поставщик также рекомендует ужесточить контроль доступа к файлам конфигурации и секретным данным, проверять журналы на предмет необычной активности аутентификации, защищать резервные копии и старые снимки данных, а также поддерживать расширения в актуальном состоянии.
Исследователи раскрыли 9 критических уязвимостей IP KVM, которые позволяют получать несанкционированный доступ с правами root и контроль над скомпрометированными хостами.
Устройства IP KVM обеспечивают удаленный доступ к клавиатуре, видеовыходу и мыши целевого компьютера на уровне BIOS/UEFI.
Обнаруженные Eclypsium проблемы затрагивают четыре различных продукта: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM и JetKVM. Наиболее серьезные из них позволяют неавторизованным пользователям получить root-доступ или запустить вредоносный код.
Среди общих дефектов исследователи выделили: отсутствие проверки подписи прошивки, отсутствие защиты от брута, неработающие механизмы контроля доступа и открытые интерфейсы отладки, а их перечень выглядит следующим образом:
- CVE-2026-32290 (CVSS: 4.2): недостаточная проверка подлинности прошивки в KVM-переключателе GL-iNet Comet (планируется исправление);
- CVE-2026-32291 (CVSS: 7.6): проблема доступа к корневому каталогу универсального асинхронного приемопередатчика (UART) в KVM-сервере GL-iNet Comet (планируется исправление);
- CVE-2026-32292 (CVSS: 5.3): недостаточная защита от брут-атак в GL-iNet Comet KVM (исправлено в версии 1.8.1 BETA);
- CVE-2026-32293 (CVSS: 3.1): небезопасное первоначальное выделение ресурсов через неаутентифицированное облачное соединение в GL-iNet Comet KVM (исправлено в версии 1.8.1 BETA);
- CVE-2026-32294 (CVSS: 6.7): недостаточная проверка обновлений в JetKVM (исправлено в версии 0.5.4);
- CVE-2026-32295 (CVSS: 7.3): недостаточное ограничение скорости запросов в JetKVM (исправлено в версии 0.5.4);
- CVE-2026-32296 (CVSS: 5.4): раскрытие конфигурации конечной точки в Sipeed NanoKVM (исправлено в NanoKVM версии 2.3.1 и Pro 1.2.4);
- CVE-2026-32297 (CVSS: 9.8): отсутствие аутентификации для критической функции в Angeet ES3 KVM, приводящая к RCE (исправление отсутствует);
- CVE-2026-32298 (CVSS: 8.8): внедрение команд ОС в Angeet ES3 KVM (исправление отсутствует).
Как отмечает исследователи, это не какие-то экзотические 0-day, а просчеты в фундаментальных мерах безопасности, которые должны быть реализованы на любом сетевом устройстве.
Злоумышленник может использовать эти уязвимости для внедрения нажатий клавиш, загрузки со съемных носителей с целью обхода шифрования диска или защиты Secure Boot, обхода экранов блокировки и доступа к системам, и, что более важно, оставаться незамеченным ПО безопасности, установленным на уровне ОС.
Причем, это уже не первый случай обнаружения проблем в IP KVM-устройствах. Так, в июле 2025 года Positive Technologies выявляла пять уязвимостей в коммутаторах ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 и CVE-2025-3714), которые могли привести к DoS и RCE.
В качестве мер по снижению рисков рекомендуется внедрить MFa там, где это поддерживается, изолировать KVM-устройства в выделенной управляющей VLAN, ограничить доступ в Интернет, использовать такие инструменты, как Shodan, для проверки на наличие внешних угроз, отслеживать неожиданный сетевой трафик к/от устройств и поддерживать прошивку в актуальном состоянии.
Ведь, как заявляют в Eclypsium, злоумышленник, взломавший KVM-переключатель, способен скрывать инструменты и бэкдоры на самом устройстве, повторно заражая хост-системы даже после устранения проблемы.
Исследователи Qualys предупреждают о серьезной уязвимости, затрагивающей стандартные установки Ubuntu Desktop версий 24.04 и более поздних, которая может быть использована для повышения привилегий до уровня root.
Уязвимость отслеживается как CVE-2026-3888 (CVSS: 7,8) и потенциально может быть реализована злоумышленниками для получения полного контроля над уязвимой системой.
CVE-2026-3888 позволяет непривилегированному локальному злоумышленнику повысить свои привилегии до полного доступа root за счет взаимодействия двух стандартных системных компонентов: snap-confine и systemd-tmpfiles.
Несмотря на то, что для эксплуатации уязвимости требуется определенный временной промежуток (10–30 дней), результатом является полная компрометация хост-системы.
Как отмечают в Qualys, проблема обусловлена непреднамеренным взаимодействием snap-confine, который управляет средой выполнения для приложений snap, создавая песочницу, и systemd-tmpfiles, который автоматически удаляет временные файлы и каталоги (например, /tmp, /run и /var/tmp), старше заданного порогового значения.
Уязвимость была устранена в: Ubuntu 24.04 LTS (версии snapd до 2.73 + ubuntu 24.04.1), Ubuntu 25.10 LTS (версии snapd до 2.73 + ubuntu 25.10.1), Ubuntu 26.04 LTS (Dev) (версии snapd до 2.74.1 + ubuntu 26.04.1) и исходном snapd (версии до 2.75).
Для проведения атаки потребуются низкие привилегии и отсутствие взаимодействия с пользователем, хотя сложность атаки высока из-за механизма задержки во времени в цепочке эксплойтов.
В конфигурациях по умолчанию systemd-tmpfiles запланирован на удаление устаревших данных в /tmp. Злоумышленник может использовать это, манипулируя временем этих циклов очистки.
Атака реализуется следующим образом:
- Злоумышленнику необходимо дождаться, пока системный демон очистки удалит критически важный каталог (/tmp/.snap), необходимый для работы snap-confine. Период по умолчанию составляет 30 дней в Ubuntu 24.04 и 10 дней в более поздних версиях.
- После удаления злоумышленник создает каталог заново, наполнив его вредоносным содержимым.
- В ходе следующей инициализации песочницы snap-confine монтирует эти файлы от имени root, что позволяет выполнять произвольный код в привилегированном контексте.
Кроме того, Qualys сообщила об обнаружении уязвимости в виде состояния гонки в пакете uutils coreutils, которая позволяет непривилегированному локальному злоумышленнику заменять записи в каталогах символическими ссылками (так называемыми symlinks) во время выполнения cron-заданий, принадлежащих пользователю root.
Успешная эксплуатация уязвимости может привести к произвольному удалению файлов от имени root или к дальнейшему повышению привилегий путем воздействия на каталоги песочницы snap.
Проблема была устранена до публичного выпуска Ubuntu 25.10. Команда rm по умолчанию в Ubuntu 25.10 была возвращена к использованию GNU coreutils для немедленного снижения этого риска. С тех пор исправления были внесены в репозиторий uutils.
Исследователи Лаборатории Касперского в новом отчете обращают внимание на одних из самых продвинутых банковских троянов бразильского происхождения - GoPix.
Во многом это обусловлено возможности загрузки встроенного в память вредоносного файла Proxy AutoConfig (PAC) и HTTP-сервера для осуществления беспрецедентной атаки типа «человек посередине».
В целом, GoPix - это сложная, постоянно распространяющаяся угроза, нацеленная на клиентов бразильских финансовых учреждений и пользователей криптовалют с помощью имплантатов, работающих только с оперативной памятью, и обфусцированных скриптов PowerShell.
GoPix развилась из RAT и ATS, использовавшихся в других вредоносных кампаниях, в уникальную, ранее невиданную угрозу.
Работая как LOLBin, GoPix демонстрирует сложный подход, интегрирующий векторы вредоносной рекламы для компрометации клиентов крупных финучреждений.
GoPix достиг невиданного ранее уровня сложности для вредоносного ПО, разработанного в Бразилии. Прошло более трех лет с момента его первого обнаружения, и он по-прежнему остается очень активным.
Первоначальное заражение происходит посредством вредоносных рекламных кампаний.
В большинстве случаев используется Google Ads для распространения приманок, связанных с популярными сервисами, такими как WhatsApp, Google Chrome и бразильская почтовая служба Correios, заманивая жертв на вредоносные целевые страницы.
Внедрение доверенного корневого сертификата в браузер повышает его способность перехватывать и манипулировать конфиденциальными финансовыми данными, сохраняя при этом скрытность, поскольку вредоносный сертификат не виден инструментам ОС.
Кроме того, GoPix расширил свои возможности мониторинга буфера обмена, добавив в свой арсенал квитанции Boleto, которые уже включают транзакции Pix и адреса криптокошельков.
Это сложная угроза с многоуровневой системой обхода, обеспечения устойчивости и функциональности.
Вредоносная ПО стратегически обходит меры безопасности, внедренные финансовыми учреждениями, сохраняя при этом свою активность и используя надежные механизмы очистки.
Бразильская группа, стоящая за GoPix, явно учится у APT-группировок, делая вредоносное ПО устойчивым и скрытым, загружая свои модули в память, сохраняя мало артефактов на диске и делая поиск с помощью правил YARA неэффективным для их обнаружения.
Исследование шелл-кода, дроппера и основного модуля вредоносной ПО выявило сложные механизмы, включая переходы между процессами для использования определенных функций в разных процессах.
Эта техника в сочетании с надежными методами шифрования строк, применяемыми как к дропперу, так и к основной полезной нагрузке, указывает на то, что злоумышленник приложил значительные усилия для затруднения обнаружения.
Примечательно, что злоумышленники использовали легитимный коммерческий сервис по борьбе с мошенничеством для предварительной проверки своих целей, стремясь избежать песочниц и расследований специалистов по безопасности.
Кроме того, механизмы обеспечения устойчивости и очистки, реализованные в GoPix, повышают ее устойчивость во время реагирования на инциденты, обеспечивая очень короткий срок жизни C2.
Решения ЛК детектируют эту угрозу как HEUR:Trojan-Banker.Win64.GoPix, Trojan.PowerShell.GoPix и HEUR:Trojan-Banker.OLE2.GoPix.
Дополнительная информация и все технические подробности - в отчете.
Исследователи LayerX раскрыли подробности новой атаки, основанной на изменении отображения шрифтов, которая заставляет ИИ-помощников пропускать вредоносные команды, отображаемые на веб-страницах, скрывая их в, казалось бы, безобидном HTML-коде.
Метод основан на социнженерии и направлен на то, чтобы убедить пользователей выполнить вредоносную команду, отображаемую на веб-странице, при этом команда остается закодированной в базовом HTML-коде, чтобы ИИ-помощники не могли ее проанализировать.
Для подтверждения результатов своего исследования в LayerX разработали PoC, задействующий пользовательские шрифты, которые переназначают символы путем замены глифов, и CSS, который скрывает безобидный текст с помощью уменьшения размера шрифта или выбора определенного цвета, при этом четко отображая вредоносный код на веб-странице.
В ходе тестирования инструменты ИИ проанализировали HTML-код страницы, обнаружив только безобидный текст от злоумышленника, но не смогли проверить вредоносные инструкции, отображаемые пользователю в браузере.
Чтобы скрыть опасную команду, исследователи закодировали её таким образом, чтобы она выглядела для ИИ-помощника как бессмысленный, нечитаемый контент. Однако браузер расшифровывает этот фрагмент и отображает его на странице.
Исследователи полагают, что по состоянию на декабрь 2025 года эта технология успешно реализовывалась в отношении множества популярных ИИ-помощников, включая ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou и Genspark.
Как пояснили исследователи, ИИ анализирует веб-страницу как структурированный текст, а браузер преобразует эту веб-страницу в визуальное представление для пользователя.
В рамках такого слоя рендеринга злоумышленники могут изменять видимое для человека значение страницы, не изменяя базовый DOM. При этом это несоответствие между тем, что видит ассистент, и тем, что видит пользователь, приводит к неточным ответам, опасным рекомендациям и подрыву доверия.
Атака начинается с того, что пользователь заходит на страницу, которая кажется безопасной и обещает какое-то вознаграждение, которое можно получить, выполнив команду для обратной оболочки на машине. Если жертва попросит ИИ-помощника определить, безопасны ли инструкции, она получит обнадеживающий ответ.
Для демонстрации атаки LayerX создала специальную демонстрационную страницу, на которой обещана пасхалка из видеоигры Bioshock, если пользователь будет следовать инструкциям на экране.
В базовом HTML-коде страницы содержится безобидный текст, скрытый от пользователя, но не от ИИ-помощника, а также указанная выше опасная инструкция, которая игнорируется инструментом ИИ, поскольку она закодирована, но видна пользователю благодаря пользовательскому шрифту.
Таким образом, помощник интерпретирует только безопасную часть страницы и не может корректно ответить на вопрос о том, безопасно ли выполнять команду.
LayerX ретранслировала свои выводы поставщикам затронутых ИИ-помощников 16 декабря 2025 года, но большинство из них классифицировали проблему как «выходящую за рамки исследования», поскольку она требовала применения методов социнженерии.
Microsoft выступила единственной компанией, принявшей отчет и запросившей дату полного раскрытия информации, что привело к эскалации проблемы путем открытия обращения в MSRC. В общем, только Microsoft полностью погрузилась в проблему.
В свою очередь, Google первоначально также приняла отчет, присвоив ему высокий приоритет, но позже понизила приоритет и закрыла проблему, заявляя, что она не может причинить «значительный вред пользователям» и что она «чрезмерно основана на социнженерии».
Общая рекомендация для пользователей заключается в том, что не следует слепо доверять ИИ-помощникам, поскольку у них могут отсутствовать средства защиты от определенных типов атак.
🔐 Собственный WAF.
• А ведь проект живёт и развивается... Для тех, кто не знаком с BunkerWeb - это отличное решение, кому необходим собственный WAF, который можно интегрировать в Linux, Docker, Swarm, Kubernetes, Ansible, Vagrant и другие среды. Решение было спроектировано французской ИТ-компанией Bunkerity в 2021 году. Она специализируется на консалтинге и разработке инструментов в сфере кибербезопасности, а BunkerWeb является их приоритетным open source-проектом.
• В BunkerWeb интегрирован ModSecurity WAF с базовым набором правил OWASP. В брандмауэре можно настраивать режим безопасности по двум сценариям. При первом обнаруженная потенциальная угроза регистрируется, но доступ не ограничивается. При втором инструмент блокирует все возможные уязвимости и сохраняет данные об инцидентах. Этот WAF поддерживает автоматическую блокировку подключений на основе кода состояния HTTP и противодействует ботам. Также администратор может установить ограничение на количество подключений или запросов для клиента.
• BunkerWeb имеет и систему плагинов: есть набор официальных, но можно написать кастомные. К примеру, среди базовых присутствует ClamAV, позволяющий отклонять запросы при попытке загрузить какой-либо файл. В одном из последних обновлений разработчики добавили функции для работы с Let’s Encrypt. Пользователи получили возможность автоматизировать выпуск и продление сертификатов SSL/TLS.
• Управлять брандмауэром можно через CLI-среду, однако авторы предлагают веб-интерфейс. В нём можно получить детальные отчёты о заблокированных атаках и установить плагины. В целом разработчики рекомендуют настраивать BunkerWeb как обратный прокси-сервер. Пошаговое руководство есть в документации.
➡ https://github.com/bunkerity/bunkerweb
S.E. ▪️ infosec.work ▪️ VT
Microsoft выпустила внеплановое обновление (OOB) для устранения уязвимостей, затрагивающих устройства Windows 11 Enterprise, которые получают обновления Hotpatch вместо обычных накопительных обновлений Patch Tuesday.
Вышло KB5084597 с устранением уязвимости в инструменте управления службой маршрутизации и удаленного доступа Windows (RRAS), которые могли позволить удаленное выполнение кода при подключении к вредоносному серверу.
Проблема касается лишь ограниченного набора сценариев, связанных с корпоративными клиентскими устройствами, на которых выполняются обновления с помощью «горячих патчей» и которые используются для удаленного управления серверами.
Обновление KB5084597 ориентировано на версии Windows 11 25H2 и 24H2, а также на системы Windows 11 Enterprise LTSC 2024.
Microsoft отслеживает исправленные в этом патче уязвимости как CVE-2026-25172, CVE-2026-25173 и CVE-2026-26111, которые были исправлены в рамках мартовского Patch Tuesday.
Злоумышленник, прошедший аутентификацию в домене, может использовать эту уязвимость, обманом заставив пользователя, подключенного к домену, отправить запрос на вредоносный сервер через RRAS (Routing and Remote Access Service).
Обновление является накопительным и включает в себя все исправления и улучшения из мартовского обновления безопасности Windows 2026 года, выпущенного 10 марта. При этом установка накопительных обновлений требует перезагрузки устройств.
В противном случае доступно горячее исправление, позволяющее применять новые исправления уязвимостей путем внесения изменений в память запущенных процессов. Одновременно они обновляют файлы на диске, так что при следующей перезагрузке устройства исправления остаются в силе.
Microsoft заявляет, что ранее выпускала исправления для этих уязвимостей, но вчера повторно выпустила их, чтобы «обеспечить всестороннее покрытие всех затронутых сценариев».
Но это обновление будет доступно только для устройств, зарегистрированных в программе обновления и управляемых через Windows Autopatch, оно будет установлено автоматически без необходимости перезагрузки.