true_secator | Unsorted

Telegram-канал true_secator - SecAtor

41023

Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com

Subscribe to a channel

SecAtor

Исследователи из Лаборатории Касперского этот тренд достаточно основательно расчехлили еще в ходе расследования «Операции Триангуляция».

В контексте новых разоблачений в ЛК рассказали о сложной атаке через скрытое сообщение.

Как отметил директор центра исследования и анализа угроз ЛК Игорь Кузнецов, взломать айфон могут путем установки вредоносной программы через "невидимое" сообщение iMessage.

По его словам, в 2023 году во время стандартного мониторинга Wi-Fi сети в офисе лаборатории эксперты обнаружили подозрительную активность.

Дальнейший анализ позволил мноступенчатую цепочку заражения и задействованные компоненты уникального программного обеспечения, позволявшего снимать ограничения, совершенно незаметно для пользователя. В результате злоумышленник получал контроль над смартфоном.

Вредоносная ПО попадала на устройство сразу же, как начиналась обработка полученного сообщения. С ее помощью злоумышленники получали полный контроль над устройством, включая запись звука.

Устройство запускало аудиозапись на следующие три часа, и неважно, телефон был ли в сети. Как только у появлялась связь эта аудиозапись уже уходила на атакующий сервер.

В целом, со слов Кузнецова, было очень много различных компонентов.

Читать полностью…

SecAtor

Киберподполье взялось за сайты WordPress с уязвимой версией плагина WP Maps Pro, которая позволяет создавать учетные записи администратора без аутентификации.

CVE-2026-8732 имеет критический уровень серьезности и затрагивает версии WP Maps Pro 6.1.0 и более ранние, была обнаружена и раскрыта исследователем Дэвидом Брауном.

WP Maps Pro - это премиальный плагин для WordPress, предназначенный для создания интерактивных, настраиваемых карт и локаций магазинов, поддерживает множество поставщиков карт, таких как Google Maps и OpenStreetMap.

Уязвимость вызвана функцией «временного доступа» в плагине, предназначенной для предоставления сотрудникам службы поддержки поставщика доступа к сайтам клиентов для устранения неполадок.

Браун обнаружил, что AJAX-интерфейс, используемый для этой функции, был доступен неаутентифицированным пользователям и полагался исключительно на общедоступную проверку nonce во фронтенд-JavaScript, что делало защиту неэффективной.

Это позволяет отправлять специально сформированный запрос, который запускает код для создания нового пользователя WordPress, назначения ему роли администратора, генерации URL-адреса для входа без пароля и отправки его на удаленную систему.

После перехода по этому URL-адресу злоумышленник автоматически авторизуется в созданной учетной записи администратора, без необходимости ввода пароля или какой-либо другой проверки.

Исследователи Defiant обнаружили, что злоумышленники пытаются использовать эту уязвимость. Только за последние 24 часа заблокировали более 3600 попыток.

Как пояснили исследователи, когда запрос выполняется с параметром check_temp, установленным в значение false, функция создает нового пользователя WordPress с помощью wp_insert_user() с жестко заданной ролью администратора, случайно сгенерированным именем пользователя и жестко заданным адресом электронной почты support@flippercode.com.

Затем функция генерирует специальный URL-адрес для входа с помощью функции generate_login_link(), сохраняет его в качестве метаданных пользователя и возвращает в теле ответа».

Наличие прав администратора на сайте означает, что злоумышленники могут внедрять постоянные бэкдоры, изменять контент, получать доступ к конфиденциальным данным, развертывать веб-оболочки, устанавливать вредоносные плагины и захватывать контроль над веб-сайтом.

Браун сообщил о проблеме Wordfence 24 марта, а поставщик был уведомлен 16 мая после подтверждения уязвимости. 20 мая был выпущен WP Maps Pro 6.1.1 с исправлением уязвимости CVE-2026-8732.

Администраторам сайтов рекомендуется как можно скорее обновить свои плагины, дабы не стать жертвуй новой атаки на цепочку мудаков.

Читать полностью…

SecAtor

В ядре Linux обнаружена новая 19-ти летняя уязвимость локального повышения привилегий CIFSwitch, которая позволяет подделывать описания ключей аутентификации CIFS, использовать механизм запроса ключей ядра и получать права root.

Проблема затрагивает несколько дистрибутивов Linux, в которых используются уязвимые комбинации ядра CIFS и утилит cifs-utils (версии 6.14 и выше, хотя некоторые более старые варианты также подвержены воздействию). Обнаружение приписывается инженеру по безопасности SpaceX.

CIFS (Common Internet File System) - это сетевой протокол, позволяющий получать доступ к файлам, папкам и устройствам в локальной сети. Linux использует его для монтирования, чтения и записи данных с удаленных систем.

Если для аутентификации в сетевой папке CIFS используется Kerberos, ядро Linux запрашивает аутентификацию у вспомогательной программы в пользовательском пространстве, при этом в качестве посредника выступает набор инструментов пользовательского пространства cifs-utils.

Ядро запрашивает ключ типа cifs.spnego, а стандартная конфигурация keyutils/request-key запускает cifs.upcall от имени root для получения или создания материалов Kerberos/SPNEGO.

Проблема заключается в том, что подсистема CIFS ядра Linux не может проверить, исходят ли запросы ключа cifs.spnego от клиента CIFS ядра.

В результате, непривилегированный пользователь может создать поддельный запрос cifs.spnego и запустить обычный процесс аутентификации.

Запрос ключа cifs.spnego используется подсистемой ключей Linux для получения данных аутентификации, необходимых клиенту CIFS/SMB при подключении к сетевому ресурсу с использованием аутентификации Kerberos/SPNEGO.

Уязвимость позволяет вспомогательной функции cifs.upcall с правами root доверять полям, контролируемым злоумышленником, которые, как она предполагает, были сгенерированы ядром.

Используя эти поля для принудительного переключения пространства имен, а затем инициируя поиск службы имен (NSS) до потери привилегий, локальный злоумышленник может загрузить вредоносный модуль NSS и добиться выполнения кода с правами root.

В свою очередь, Manizada опубликовала подробный технический отчет с объяснением причин проблемы и то, как ее можно использовать для получения прав root.

Эксплуатация зависит от нескольких факторов, таких как уязвимая версия ядра. К другим необходимым условиям относятся уязвимая версия cifs-utils, наличие пространств имен пользователей и политики SELinux/AppArmor, не блокирующие атаку.

Manizada подтвердила уязвимость следующих дистрибутивов при использовании конфигураций по умолчанию: Linux Mint 21.3 / 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4–2026.1 и SLES 15 SP7.

Различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.

Однако существуют также версии, такие как Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 и openSUSE Leap 16, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию уязвимости CIFSwitch.

Кроме того, Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 никак не затронуты, поскольку в их версиях cifs-utils отсутствует функциональность переключения пространств имен.

Проблема с CIFSwitch была исправлена с помощью патча ядра, который добавляет проверку источников запросов cifs.spnego (коммит 3da1fdf в основной ветке разработки), но точные версии ядра, в которых включен этот патч, различаются в зависимости от дистрибутива.

Исследователи рекомендуют пользователям отключать или добавлять в черный список модуль CIFS, если он не используется, удалять пакет cifs-utils, если он не нужен, и отключать пространства имен для непривилегированных пользователей.

Manizada опубликовала также демонстрационный PoC, который может помочь проверить эффективность примененных исправлений и мер по устранению уязвимостей.

Читать полностью…

SecAtor

Корпорации 🍏Apple и ❗️Microsoft отказываются от ответственного поведения и выплат по Bug Bounty исследователям за найденные уязвимости

В сети очередное недовольство политикой ответственного раскрытия уязвимостей (вспоминаем на прошлой неделе скандал с Microsoft), но на этот раз под горячую руку исследователей попала корпорация Apple. Исследователи из Mysk объявили о полном прекращении сотрудничества с официальной программой Apple Security Bounty.

Mysk приняли такое решение после того, как представитель отдела безопасности Apple Роберт отказал им в выплате вознаграждения за критический баг. В корпорации заявили, что уязвимость уже была зарегистрирована кем-то другим, но при этом отказались предоставить какие-либо доказательства. Исследователи признались, что полностью потеряли доверие к платформе из-за несправедливого отношения и постоянного игнорирования их отчетов.

Мы больше не будем отправлять обнаруженные нами баги в системах Apple через программу Apple Bounty Program.

Публичное разглашение информации об уязвимостях, которые позволяют злоумышленникам наносить вред пользователям, является неправильным, незаконным и преступным деянием. Мы больше 🤐не будем отправлять отчеты об уязвимостях и прекращаем активно проводить исследования безопасности в отношении продуктов Apple. Мы предпочтем сосредоточиться на других интересных проектах в области конфиденциальности и делиться их результатами с вами.

— написали Mysk в Х.

Демарш вызвал цепную реакцию в сообществе. Независимый исследователь под псевдонимом neils решил поддержать коллег и поделился в социальных сетях своей историей, которая произошла в 2019 году. Он утверждает, что обнаружил опасную 0-click уязвимость в приложении Messages. Вместо сотрудничества представители Apple отгородились стеной молчания и прекратили дальнейшее обсуждение.

Тогда исследователь решил прибегнуть к нестандартным методам, чтобы заставить корпорацию прислушаться. Используя свои технические навыки и знания, он смог обойти защиту и внедриться в закрытые рабочие процессы компании. Специалист выяснил, что сотрудники отдела по поиску уязвимостей Apple ежедневно проводят внутренние совещания в формате обычных групповых звонков через приложение FaceTime [см. скриншот]. Ему удалось незаметно подключиться к одной из таких секретных конференций и увидеть на экране лица инженеров. Чтобы наглядно доказать наличие колоссальной бреши в безопасности, исследователь сделал снимок экрана этой групповой беседы и отправил его в компанию в качестве отчета о новой критической уязвимости, которая позволяла посторонним лицам проникать на закрытые корпоративные созвоны.

Реакция технологического гиганта оказалась далека от партнерской. Вместо признания заслуг эксперта или исправления ошибки корпорация Apple направила исследователю официальное письмо с 👮угрозами.

🤔Две независимые истории Apple и Microsoft слились в один большой прецедент. Крупнейшие технологические компании любят требовать от исследователей строгого соблюдения этики и правил скрытого информирования об угрозах, но сами при этом регулярно игнорируют чужой труд и отказываются выстраивать прозрачные процессы коммуникации.
--------------------------

Да, кстати, как там с выплатами в $1 миллион?

/channel/Russian_OSINT/4203

@Russian_OSINT

Читать полностью…

SecAtor

Незакрытая 0-day в Gogs позволяет злоумышленникам получить возможность RCE на экземплярах, доступных из Интернета.

Gogs, разработанный как альтернатива GitHub Enterprise или GitLab и написанный на Go, часто доступен онлайн для удаленного взаимодействия.

Критическая уязвимость, связанная с внедрением аргументов, еще не получила CVE, затрагивает последние версии (Gogs 0.14.2 и 0.15.0+dev) и может быть использована только авторизованными злоумышленниками без прав администратора.

Однако, несмотря на то, что для эксплуатации уязвимости требуются базовые права пользователя, исследователи Rapid7 (обнаружившие эту уязвимость) заявляют, что она затрагивает все серверы Gogs со стандартными конфигурациями.

Поскольку Gogs поставляется с открытой регистрацией, включенной по умолчанию, и без ограничений на создание репозиториев, неавторизованный злоумышленник может просто создать учетную запись и репозиторий в любом экземпляре, настроенном по умолчанию.

Любой зарегистрированный пользователь, создавший репозиторий, автоматически становится его владельцем. После этого включение слияния rebase осуществляется одним переключателем в настройках, и вся цепочка эксплойтов может быть запущена без участия другого пользователя.

Успешная эксплуатация позволяет злоумышленникам удаленно выполнять произвольный код от имени пользователя серверного процесса Gogs через запросы на слияние, использующие вредоносное имя ветки для внедрения флага --exec  в команду git rebase во время операции слияния.

Они могут использовать эту уязвимость, чтобы взломать сервер, считать все репозитории на экземпляре (включая частные репозитории других пользователей), получить доступ к учетным данным (хэши паролей, токены API, ключи SSH, секреты двухфакторной аутентификации), перейти к другим сетевым системам и изменить код любого размещенного репозитория».

Как отмечают исследователи, уязвимость похожа на другие уязвимости внедрения аргументов (CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 и CVE-2024-39930), которые были устранены Gogs в последние годы, но затрагивает другой участок кода (Merge()), который так и не был исправлен.

Исследователи уведомили разработчиков Gogs 17 марта, но те до сих пор не выпустили исправление и не ответили на дальнейшие запросы, несмотря на то, что подтвердили получение сообщения 28 марта.

В настоящее время Shadowserver отслеживает более 2400 серверов Gogs в открытом доступе в сети, большинство из которых расположены в Азии (1894) и Европе (319), а Shodan обнаруживает чуть более 1000 IP, связанных с Gogs.

Читать полностью…

SecAtor

Исследователи ESET сообщают о новой вредоносной ПО BTMOB для Android, которая позволяет полностью захватить устройство.

Распространяемая с помощью фишинговых приманок, эта вредоносная ПО сочетает в себе кражу финансовых средств, утечку данных и удаленный доступ.

ESET предупреждает, что BTMOB (RAT) становится все более серьезной угрозой для пользователей Android из-за своих возможностей по краже данных и захвату управления устройством.

Предполагается, что BTMOB основан на вредоносной ПО SpySolr и распространяется посредством фишинговых атак с использованием таких приманок, как стриминг, майнинг криптовалют и других распространенных сервисов.

Однако разработчики продают его в комплекте с интерфейсом для создания APK-файлов, позволяющим злоумышленникам адаптировать приманки и создавать новые полезные нагрузки в зависимости от целевого географического региона, не написав при этом никакого кода.

После приобретения вредоносного набора злоумышленник может адаптировать его функции, включая фишинговые приманки, таким образом, чтобы имитировать бренд или организацию, наиболее вероятно способную заманить жертв в той или иной стране.

Вредоносное ПО распространяется через открытую веб-страницу, содержащую ссылку на канал в Telegram. Для продвижения вредоносного ПО также задействуются аккаунты в соцсетях X и Instagram.

BTMOB предлагается с пожизненной лицензией за 5000 долл., а также ежемесячной платой за поддержку. В январе 2026 года файлы, связанные с RAT, были бесплатно размещены на форуме в даркнете, который впоследствии был закрыт.

Исследователи зафиксировали случаи рассылки фишинговых сообщений злоумышленниками, которые перенаправляют жертв на веб-сайты, выдающие себя за легитимные сервисы, а те, в свою очередь, перенаправляют на поддельные магазины приложений, имитирующие легитимные репозитории и предлагающие вредоносный APK-файл.

После запуска на устройстве BTMOB пытается получить чрезмерный доступ, злоупотребляя службами специальных возможностей Android для повышения своих привилегий в системе без участия пользователя.

В отличие от банковских троянов, которые "только" стремятся украсть финансовые данные пользователей или перехватить их финансовые транзакции, BTMOB предоставляет злоумышленникам более широкие возможности: извлечение целого ряда конфиденциальных данных, создание скриншотов и запись активности на устройстве, и в конечном итоге получение удаленного управления им.

В ESET отмечают, что вредоносное ПО быстро мутирует, и за короткий промежуток времени наблюдаются многочисленные варианты, но при этом некоторые инфраструктурные модели остаются неизменными на протяжении всех итераций.

Как предупреждает ESET, BTMOB в основном пока наблюдался в ходе атак в Латинской Америке, но в скором времени может распространиться за пределы региона.

Читать полностью…

SecAtor

Совсем недавно вышел технический обзор протокола MTProto от Telegram, в котором содержится предупреждение о том, что платформа раскрывает постоянные идентификаторы устройств пассивным сетевым наблюдателям, что потенциально позволяет отслеживать пользователей в разных сетях, местах и сессиях без нарушения шифрования.

Исследователи утверждают, что проблема остается нерешенной, поскольку Telegram до сих пор не требует обязательного шифрования транспортного уровня для трафика MTProto.

Документ был подготовлен криптографом Надимом Кобейсси из Symbolic Software по заказу Global Network Solutions, Inc. Отчет сразу привлек внимание общественности после того, как iStories и OCCRP сообщили о его результатах.

Исследование сосредоточено на идентификаторе auth_key_id от MTProto, 64-битном идентификаторе, встроенном в заголовок каждого сообщения.

Согласно отчету, этот идентификатор остается стабильным при перезапуске приложения, изменении IP, использовании VPN и переключении сети, что, по мнению исследователей, позволяет пассивным сетевым наблюдателям сопоставлять активность в течение длительных периодов времени.

Клиенты Telegram на платформах Android и настольных компьютерах передают трафик MTProto по обычным TCP-соединениям, а не по каналам HTTPS или TLS-шифрования, даже при использовании порта 443, который обычно используется для защищенного веб-трафика.

Сообщается, что перехваченные пакеты не показали рукопожатия TLS или обмена сертификатами, что означает, что сам транспортный уровень остается незашифрованным.

Такое поведение позволяет интернет-провайдерам, администраторам сетей, операторам Wi-Fi в отелях, операторам мобильной связи потенциально отслеживать постоянный идентификатор ключа аутентификации (auth_key_id) без расшифровки содержимого сообщения.

В отчете также утверждается, что защита с помощью Secret Chats и Perfect Forward Secrecy не решает эту проблему, поскольку утечка происходит на уровне шифрования приложения.

Хотя Secret Chats защищают содержимое сообщений с помощью сквозного шифрования, метаданные передачи, включая auth_key_id, остаются видимыми для пассивных наблюдателей, когда MTProto передается по незашифрованным TCP-соединениям.

В свою очередь, Telegram опроверг выводы исследования, сославшись на подробный технический ответ, опубликованный на своем веб-сайте.

Компания заявляет, что выводы отчета неточны, и отмечает, что протокол MTProto auth_key_id регулярно меняется и не раскрывает информацию о пользователях, содержимом сообщений, получателях или личных данных.

В Telegram также подчеркнули, что «содержимое сообщений и данные получателей остаются зашифрованными внутри протокола».

Компания также утверждает, что любой сетевой наблюдатель, способный осуществлять мониторинг, auth_key_id уже имеет доступ к другим метаданным, включая IP-адрес пользователя, имена подключенных серверов и характер трафика.

Причины таких нападок понятны, ответка от WhatsApp не заставила себя долго ждать.

Правда, в случае с последним даже сами сотрудники не скрывают наличие доступа администрации к зашифрованному содержимому, без каких-либо 89 страничных исследований, впрочем в случае с WhatsApp хватило бы и меньше десятка.

Читать полностью…

SecAtor

Исследователи NoScope предупреждают, что уязвимость в открытом сервисе Git Gitea, могла позволить неавторизованным злоумышленникам получить доступ к частным образам контейнеров из более чем 30 000 развертываний.

Уязвимость отслеживается как CVE-2026-27771 и описывается как проблема контроля доступа, затрагивающая встроенный реестр контейнеров Gitea. Forgejo, использующий ту же реализацию, также затронут. Другие форки, основанные на Gitea, также могут быть затронуты.

В виду этой уязвимости требования к аутентификации не применялись к образам, помеченным как частные, а реестр контейнеров по-прежнему предоставлял их в ответ на стандартные анонимные запросы Docker/OCI на слияние через API реестра.

Уязвимость в коде Gitea существовала примерно четыре года, прежде чем была исправлена в версии 1.26.2 на прошлой неделе.

Реестр контейнеров Gitea позволял любому пользователю интернета, без учетной записи, пароля и предварительного доступа, извлекать образы контейнеров, которые, на первый взгляд, считались бы частными, из затронутых экземпляров, как если бы они были общедоступными.

Исследователи полагают, что поскольку образы контейнеров могут содержать конфиденциальную информацию, включая исходный код, секреты и сведения о производственной инфраструктуре, последствия этой ошибки будут значительными.

Согласно данным NoScope, поиск в Shodan выдает более 34 000 доступных из интернета экземпляров Gitea. Из них примерно 93%, или 31 750, вероятно, уязвимы.

Анализ потенциально затронутых развертываний показал, что примерно 4000 из них представляли собой производственные системы, работающие на крупных облачных или VPS-платформах. Около 7000 экземпляров работали на порту Gitea по умолчанию.

По данным NoScope, данные однозначны и это не машины обывателей, а организации, принявшие решение разместить свою инфраструктуру разработки на собственных вычислительных мощностях, используя ресурсы производственного уровня для реальных рабочих нагрузок.

Исследователи рекомендуют немедленно обновить Gitea до версии 1.26.2 или изменить параметры конфигурации, чтобы для доступа ко всему контенту требовалась аутентификация.

При этом эта настройка не подходит для случаев, когда некоторые контейнеры намеренно становятся общедоступными; операторам в такой ситуации следует тщательно взвесить все за и против.

Читать полностью…

SecAtor

Интересный инструмент с текстовым интерфейсом - Dive, который позволяет визуально исследовать каждый слой вашего образа. Вы можете "пощупать" файловую систему контейнера на каждом этапе его сборки.

Выглядит это так: перед вами открывается экран, разделённый на две основные части. Слева вы видите список слоёв. Справа отображается дерево файлов текущего выбранного слоя.

Одной из полезных функций является подсветка изменений. Вы можете переключаться между слоями, и программа будет показывать, какие файлы были добавлены, изменены или удалены именно на этом шаге. Dive автоматически анализирует эффективность образа и показывает метрику Wasted Space (потраченное впустую пространство). Это происходит, когда вы, например, копируете файлы в одном слое, а удаляете их в другом. Фактически файлы остаются в истории образа, занимая место, хотя в финальной файловой системе их нет.

https://github.com/wagoodman/dive

Еще больше полезных инструментов можно найти в статье: 6 Docker-фич для продвинутого использования [Часть 1], [Часть 2].

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

SecAtor

Ботнет GlassWorm, более шести месяцев атаковавший экосистему ПО с открытым исходным кодом, пал после того, как были нейтрализованы все четыре канала С2, используемые вредоносной ПО.

CrowdStrike совместно с Google и Shadowserver Foundation одновременно отключила четыре С2 GlassWorm, предотвратив доступ к зараженным машинам и доставку новых вредоносных ПО.

Вредоносная ПО использует блокчейн Solana в качестве инфраструктуры С2, при этом Google Calendar, пиринговая сеть BitTorrent и традиционные серверы, размещенные на коммерческих VPS-провайдерах, служат резервными центрами управления и контроля.

Операторы GlassWorm кодируют C2-адреса в полях примечания транзакций в блокчейне, которые невозможно изменить или удалить.

BitTorrent использовалась для хранения данных конфигурации с использованием жестко закодированных открытых ключей, Google Calendar - для закодированных в Base64 путей к серверам С2 в заголовках событий, а серверы - для размещения полезных нагрузок.

Сочетание блокчейна, пиринговых сетей и легитимных веб-сервисов в качестве уровней защиты было разработано для обеспечения устойчивости к блокировкам - динамический фронт, защищающий фактические серверы С2 за несколькими уровнями опосредованной защиты.

Отключив одновременно все четыре канала исследователи лишили операторов доступа к зараженным машинам и возможности передавать новые инструкции.

Впервые обнаруженный в октябре 2025 года, GlassWorm использует селекторы вариантов Unicode, чтобы скрывать свой код в редакторах кода и делать его невидимым для человеческого глаза.

Вредоносное ПО первоначально распространялось через троянизированные расширения Visual Studio на торговой площадке OpenVSX. Однако в ноябре оно также появилось на GitHub.

В 2026 году GlassWorm продолжил нацеливаться на разработчиков VS и другие экосистемы ПО с открытым исходным кодом. В марте были скомпрометированы несколько проектов на Python.

Операторы Glassworm обладают достаточными ресурсами и отличаются настойчивостью.

На протяжении более года они постоянно развивались: осваивали новые языки программирования (от JavaScript до Rust и Zig), расширяли свою деятельность в экосистемах пакетов (VSCode, npm, PyPI, GitHub) и создавали резервную инфраструктуру, способную противостоять блокировкам.

GlassWorm нацелен на кражу конфиденциальной информации (учетные данные NPM, GitHub и Git) и средств из десятков расширений для работы с криптой. Также использует SOCKS-прокси-серверы и скрытые VNC-серверы для удаленного доступа к зараженным машинам.

Получение злоумышленниками доступа к украденным учетным данным создавало постоянные риски серьезных нарушений в цепочке поставок, выходящих за рамки компаний-пострадавших разработчиков.

По данным CrowdStrike, GlassWorm помимо ботнета ознаменовал собой значительный сдвиг в ландшафте угроз, злоумышленники нацелены не только на продукты, но и на разработчиков, которые их создают.

Glassworm демонстрирует, что злоумышленники инвестируют в отказоустойчивую инфраструктуру для поддержания постоянного доступа к экосистемам разработчиков

Помимо вывода из строя инфраструктуры GlassWorm, CrowdStrike перенаправила сигналы с зараженных машин на безопасный IP 164.92.88[.]210. Пользователям рекомендуется проверять наличие подключений к этому IP-адресу для выявления потенциальных заражений.

Читать полностью…

SecAtor

Исследователи BI.ZONE заметили, как Fluffy Wolf приступила к испытанием новинок в своем инструментарии, подопытными оказались российские компании.

C марта по май 2026 года кластер реализовал серию целевых фишинговых атак. Злоумышленники использовали ранее не описанный загрузчик PowerLoader и плагин PluginRemoteDesktop.

Целями злоумышленников стали российские организации из различных отраслей: строительства, консалтинга, обрабатывающей промышленности, инжиниринга, розничной торговли и электронной коммерции.

Для доставки вредоносного ПО атакующие использовали вложения в электронных письмах и ссылки на репозитории GitHub, откуда жертвы загружали архивы с вредоносными файлами.

Они выглядят легитимно, позволяют обходить почтовые фильтры и сетевые средства защиты, а также повышают вероятность перехода по вредоносному адресу.

Fluffy Wolf в фишинговых рассылках выдавала себя за сотрудников различных профильных организаций, предлагал оплатить финансовую задолженность, а также ознакомиться с документами, якобы приложенными к письму.

Всего было выявлено два типа фишинговых писем: с вложением в виде RAR‑архива с вредоносным ПО и со ссылкой на GitHub‑репозиторий атакующих, откуда загружался RAR‑архив с вредоносным ПО.

Профили атакующих на GitHub включали множество репозиториев, содержащих RAR‑архивы, исполняемые файлы (с расширениями scr, com, exe), текстовые файлы с нагрузкой (перевернутой и закодированной в Base64), а также обфусцированные Batch- и JS‑скрипты.

В RAR‑архивах находились вредоносные загрузчики и дроперы, предназначенные для доставки в целевую систему стилера PureLogs, трояна удаленного доступа PureRAT и шифровальщика Pay2Key.

Используемые темы фишинговых сообщений: «Претензия и акт сверки!!!!», «Сверка на подпись !!!», «Акт сверки.rar», «Акт сверки» и «Претензия». Для рассылки фишинговых писем Fluffy Wolf использовала почтовые сервисы yandex.ru и mail.ru.

Fluffy Wolf сохранила стабильный набор конечных нагрузок (PureLogs, PureRAT, Pay2Key), но сместила основной фокус на развитие и разнообразие методов доставки. В зависимости от типа дропера/загрузчика цепочка вредоносных событий развивалась по различным сценариям.

Киберпреступники также применяли разнообразные загрузчики и дроперы, среди которых были замечены: PureCrypter, Rust‑загрузчик, использующий шелл‑код Donut, Batch‑загрузчик, JavaScript‑загрузчик и ранее не описанный сторонний загрузчик PowerLoader, что повысило эффективность проникновения и обхода систем защиты.

Как и инструменты PureCoder (PureCrypter, PureLogs, PureRAT), PowerLoader распространяется на теневых площадках по модели malware-as-a-service (MaaS).

В качестве финальной вредоносной нагрузки кластер использовал стилер PureLogs, троян удаленного доступа PureRAT и шифровальщик Pay2Key.

Кроме того, в одном из исследованных образцов PureRAT исследователи обнаружили плагин PluginRemoteDesktop, который злоумышленники впервые применили в атаках на российские компании.

Использование Fluffy Wolf нового загрузчика, объявление о продаже которого появилось на теневых ресурсах в апреле 2026 года, может свидетельствовать о развитии и об обновлении арсенала злоумышленников.

Атакующие активно внедряют новые вредоносные компоненты для усложнения анализа, детектирования и атрибуции атак. Подробный технический разбор цепочек атак и инструментария - в отчете.

Читать полностью…

SecAtor

Исследователи Лаборатории Касперского продолжают методично документировать похождения группы Cloud Atlas.

В 2025 году ЛК фиксировала вредоносную активность с использованием SSH-туннелей, затрагивающую множество государственных и коммерческих организаций в России и Беларуси, наблюдая ее и в 2026.

В ходе исследования в ЛК выявили новые используемые этой группой инструменты и IOCs.

Группа вернулась к рассылке архивов с вредоносными ярлыками, запускающими PowerShell-скрипты.

Злоумышленники сочетают эту технику с распространением вредоносных документов, которые, как сообщалось ранее, эксплуатируют старую уязвимость в редакторе формул Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода.

Также группа пользуется сторонними общедоступными утилитами (Tor, SSH и RevSocks) для закрепления в зараженных системах и организации резервных каналов управления.

Согласно данным телеметрии, в конце 2025 и начале 2026 года выявленные цели вредоносной активности были сосредоточены в России и Беларуси.

Среди целевых организаций преобладают государственные ведомства и дипломатические структуры.

С высокой степенью уверенности исследователи ЛК связывают данную активность с APT-группой Cloud Atlas, которая ранее использовала аналогичные TTPs и инструменты, включая вектор первоначального доступа, Python-скрипты для сбора информации и приложение Tor для перенаправления портов в сеть Tor.

Профиль жертв и география также соответствуют типовым целям Cloud Atlas.

Кроме того, также заметили определенные пересечения с недавней активностью Head Mare. Несмотря на это, TTPs групп по-прежнему различаются.

В частности, бэкдор PhantomHeart, приписываемый последней и используемый для создания SSH-туннелей, размещался в каталогах, активно используемых Cloud Atlas: C:\Windows\ime, C:\Windows\System32\ime, C:\Windows\pla, C:\Windows\inf, C:\Windows\migration, C:\Windows\System32\timecontrolsvc и C:\Windows\SKB.

Как отмечают в ЛК, уже более десяти лет Cloud Atlas сохраняет активность и продолжает расширять свой инструментарий.

В прошлом году ReverseSocks, SSH и Tor активно использовались разными злоумышленниками во многих целевых кампаниях, и операции группы Cloud Atlas не стали исключением.

Резервные каналы С2 на основе этих общедоступных утилит существенно усложняют задачу полной нейтрализации активности этих злоумышленников в скомпрометированных системах.

Технические подробности и свежие IOCs - в отчете.

Читать полностью…

SecAtor

Подвед Google, Mandiant сообщает о 0-day в KnowledgeDeliver, которая использовалась для развертывания веб-оболочек и бэкдоров.

Система управления обучением (LMS) KnowledgeDeliver, разработанная Digital Knowledge, широко используется для корпоративного и образовательного электронного обучения, главным образом в Японии.

0-day, отслеживаемая как CVE-2026-5426 (CVSS 7,5), существовала в виду того, что в развертываниях Digital Knowledge использовался стандартизированный файл web.config, содержащий жестко закодированные значения machineKey, которые используются платформой ASP.NET для шифрования и подписи данных.

Наличие жестко закодированных значений в независимых установках позволило злоумышленникам, знающим ключи, скомпрометировать другие развертывания, организовав атаки десериализации ViewState.

APP.NET ViewState сохраняет состояние страницы между обратными запросами. Когда известен machineKey, злоумышленник может создать вредоносную полезную нагрузку для ViewState. Отправив эту полезную нагрузку в HTTP-запросе, злоумышленник может заставить сервер десериализовать её.

Данный тип атаки не является новинкой и ранее наблюдался в ходе эксплуатации экземпляров Sitecore и развертываний CentreStack, а также в атаках с использованием фреймворка постэксплуатации Godzilla.

По данным Mandiant, эксплуатация нуля в KnowledgeDeliver также привела к развертыванию веб-оболочек Godzilla (также известных как Bluebeam).

Развертываемое в оперативной памяти, это вредоносное ПО позволяет злоумышленникам выполнять дополнительные команды и полезные нагрузки на зараженных машинах.

Злоумышленники использовали Godzilla для изменения прав доступа к каталогу веб-приложения, а также для модификации файла JavaScript приложения с целью загрузки вредоносного скрипта и отображения ложного предупреждения системы безопасности, предлагающего пользователю установить поддельный плагин.

В конечном итоге системы были заражены бэкдором Cobalt Strike. Поскольку полезная нагрузка была зашифрована ключом, содержащим название организации-жертвы, компания Mandiant считает, что бэкдор был подготовлен специально для этой организации.

Исследователи предоставили IOCs, связанные с атакой, и рекомендует отслеживать среды на предмет потенциальных вторжений. Организациям также рекомендуется менять ключи доступа к своим экземплярам и ограничивать доступ к LMS.

Все развертывания KnowledgeDeliver, осуществленные до 24 февраля 2026 года, подвержены 0-day и потенциально могут быть использованы злоумышленниками.

Читать полностью…

SecAtor

❗️ Компания Microsoft заблокировала Nightmare-Eclipse на ❗️ GitHub

Администрация платформы GitHub заблокировала и удалила учетную запись независимого исследователя под псевдонимом Nightmare-Eclipse [1,2]. Ограничения были введены после публикации PoC для продуктов, связанных с Microsoft. Из-за блокировки специалист, также известный в сети под именем Dead Eclipse, был вынужден перенести свои проекты на платформу GitLab.

В общей сложности автор представил 6 рабочих PoC, среди которых находятся YellowKey, GreenPlasma, MiniPlasma, BlueHammer, RedSun и UnDefend. Некоторые эксперты отмечают, что эти разработки нельзя в полной мере назвать уязвимостями нулевого дня, так как некоторые из них основаны на старых или тайно исправленных дефектах системы.

Аналитики компании Barracuda подчеркивают, что глубина технических знаний автора указывает на его возможное отношение к числу бывших сотрудников Microsoft. По их мнению, стороннему разработчику крайне сложно обнаружить столь специфические ошибки в архитектуре ядра Windows, тем более что исследователь проводил аудит безопасности самостоятельно и принципиально не использовал ИИ-модели.

Поводом для публичного скандала стали действия представителей центра Microsoft Security Response Center. Автор заявил, что руководство этой структуры заблокировало его профиль для отправки багов, проигнорировало все официальные запросы и публично обвинило его в нарушении правил ответственного разглашения. Исследователь расценил такие шаги как умышленную клевету и попытку уничтожить его репутацию в сообществе. Кроме того, якобы 🎩сотрудники центра Microsoft Security Response Center даже сыпали угрозами разрушить его жизнь.

Первоначально хакер планировал устроить крупный сюрприз во время июньского вторника обновлений, однако позже скорректировал свои намерения. В своих последних заявлениях исследователь анонсировал публикацию пакета секретных документов и перенес все главные действия на середину лета. Он установил финальную дату на 14 июля 2026 года и заявил, что обнародованные доказательства полностью разрушат репутацию корпорации Microsoft.

@Russian_OSINT

Читать полностью…

SecAtor

В результате атаки Megalodon на цепочку поставок заражено более 5500 репозиториев GitHub.

Фейковые автоматизированные коммиты внедряли в рабочие процессы GitHub Actions вредоносные ПО, содержащие полезные нагрузки для кражи учетных данных, секретов CI, ключей и токенов.

Как сообщают в SafeDep, вредоносные процессы были внедрены посредством более чем 5700 вредоносных коммитов, отправленных в затронутые репозитории в течение шести часов 18 мая. Злоумышленники использовали два вредоносных кода в рамках атаки.

Один был предназначен для добавления нового рабочего процесса, который запускался при каждом запросе на отправку и получение данных, а другой заменял существующие рабочие процессы определенными триггерами, создавая скрытые бэкдоры.

На зараженных машинах вредоносное ПО похищало все переменные среды CI, учетные данные AWS и Azure, токены доступа GCP, закрытые ключи SSH, конфигурации Docker и Kubernetes, ключи API, строки подключения к базам данных, токены GitHub Actions, токены GitLab CI/CD и десятки других типов секретов.

Megalodon был обнаружен после выявления вредоносных версий пакета Tiledesk, платформы для онлайн-чата и чат-ботов с открытым исходным кодом. Заражённые пакеты были опубликованы в период с 19 по 21 мая.

Исследователи SafeDep отметили: один и тот же аккаунт NPM, eljohnny (giovanni@tiledesk.com), опубликовал как чистую версию 2.18.5, так и скомпрометированную.

Злоумышленник не трогал аккаунт NPM. Он скомпрометировал репозиторий GitHub, и сопровождающий проекта опубликовал изменения из зараженного исходного кода, не подозревая об этом. Вредоносный коммит, приведший к заражению, был отправлен 18 мая пользователем build-bot.

Расследование SafeDep позволило выявить в общей сложности 2878 коммитов, сделанных в тот же день, а также еще 2841 коммит, сделанный через второй адрес электронной почты.

Все 5718 коммитов были внесены в один и тот же день: 18 мая 2026 года, в течение шестичасового окна примерно с 11:36 до 17:48 UTC, и были нацелены на 5561 различных репозиториев.

Выбор злоумышленниками вредоносного рабочего процесса GitHub Actions, а именно workflow_dispatch, гарантировал возможность активации скрытого бэкдора позднее через API GitHub с использованием украденных токенов.

Данный рабочий процесс не подпадает под действие правил GitHub по предотвращению рекурсии, которые запрещают запуск новых рабочих процессов с помощью событий, запускаемых токенами GitHub.

На прошлой неделе NPM аннулировала все токены доступа с возможностью записи, которые обходят двухфакторную аутентификацию, дабы предотвратить атаки на цепочку поставок, подобные Mini Shai-Hulud.

По данным Ox Security, это должно предотвратить взлом учетных записей, но не решает основную проблему, и вредоносный код будет продолжать распространяться через скомпрометированные репозитории.

Исследователи полагают, что если платформы продолжат разрешать загрузку любого типа кода без серьезной проверки, количество атак будет только расти. Отмечая, что мы вступили в новую эру атак на цепочки поставок, и взлом GitHub компанией TeamPCP был лишь началом.

Дальше сообщество ожидает бесконечная волна, или даже цунами кибератак на разработчиков по всему миру. Будем следить.

Читать полностью…

SecAtor

Российские силовики вскрыли и скомпрометировали схему прослушки, которую иностранные спецслужбы развернули в отношении высокопоставленных российских госслужащих, используя смартфоны и вредоносное ПО.

Согласно официальному заявлению ЦОС ФСБ России, чувствительную информацию добывали через вредоносное ПО, связанное с разработками американских IT-компаний Fastly и Cloudflare.

Предпринятая широкомасштабная акция открыла иностранным спецслужбам доступ к имеющимся данным на устройствах, прослушиванию ведущихся переговоров и контролю переписки, а также позволяла осуществлять негласный акустический и видеоконтроль обстановки в непосредственном окружении.

Операция по прослушке была многоуровневой с координацией через несколько стран и нацелена, в том числе на получение разведданных о настроениях в российском обществе. После сбора компромата чиновники, за которыми велась слежка, попадали в санкционные списки США и ЕС.

Причем, как отметили в ведомстве, западные спецслужбы полагали, что им будет проще и дешевле в массовом порядке взламывать сотовые телефоны, чем вербовать дорогостоящих информаторов среди носителей государственной тайны.

По факту выявления данной противоправной деятельности СУ ФСБ России возбуждено уголовное дело по признакам состава преступления, предусмотренного ст. 272 и 273 УК РФ.

Начато расследование, ожидаем технических подробностей.

Читать полностью…

SecAtor

У клиентов Palo Alto Networks снова проблемы, вызванные PAN-OS’ом.

Хакеры теперь используют уязвимость обхода аутентификации в PAN-OS GlobalProtect, отслеживаемую как CVE-2026-0257, в атаках, нацеленных на взлом корпоративных сетей.

В начале этого месяца компания устранила CVE-2026-0257, предупредив, что портал и шлюз GlobalProtect программного обеспечения Palo Alto Networks PAN-OS позволяют злоумышленнику обходить ограничения безопасности и устанавливать несанкционированное VPN-соединение.

Уязвимость получила средний уровень серьезности, поскольку для ее устранения требуется, чтобы устройства были настроены с включенными cookie-файлами для переопределения аутентификации и с использованием определенной конфигурации сертификата.

Однако в пятницу Palo Alto Networks обновила предупреждение, сообщив, что уязвимость активно используется в атаках на устройства без установленных обновлений, повысив уровень серьезности до высокого.

Поставщик получил информацию о немногочисленных попытках использования уязвимостей на устройствах PAN-OS без установленных обновлений и мер по их устранению.

В свою очередь, Rapid7 сообщила, что с 17 мая она обнаружила уязвимость, используемую в отношении ее многочисленных клиентов, однако не обнаружила никаких признаков успешного перемещения устройств по сети. По состоянию на 29 мая уязвимость была добавлена в базу данных CISA KEV.

Атаки начались с того, что хакеры прошли аутентификацию на шлюзах GlobalProtect, используя поддельные cookie-файлы для переопределения аутентификации, которые были нацелены на локальную учетную запись администратора.

Компания впервые обнаружила уязвимость 18 мая на инфраструктуре, размещенной на серверах Vultr, а вторая волна атак, зафиксированная 21 мая, исходила от Dromatics Systems.

В некоторых случаях злоумышленникам удавалось подключиться к устройству через VPN, используя поддельные cookie-файлы, что предоставляло им доступ к внутренним сетям.

Однако, по данным Rapid7, во многих случаях, даже несмотря на то, что устройство принимало поддельные cookie-файлы, установить полноценную VPN-сессию не удавалось.

В ходе расследования Rapid7 было установлено, что на затронутых устройствах были включены файлы cookie для переопределения аутентификации GlobalProtect, и они были настроены таким образом, что позволяли злоумышленникам подделывать действительные файлы cookie для аутентификации.

Исследователи утверждают, что недостаток связан с проверкой PAN-OS файлов cookie, используемых для переопределения аутентификации.

VPN-устройство GlobalProtect расшифровывает такие файлы cookie, используя настроенный закрытый ключ, а затем доверяет расшифрованному содержимому без выполнения какой-либо проверки подписи.

Если один и тот же сертификат используется как для HTTPS-сервисов, так и для файлов cookie, используемых для переопределения аутентификации, злоумышленники могут получить соответствующий открытый ключ через HTTPS-сессию, а затем использовать его для создания поддельных файлов cookie, которые устройство будет воспринимать как легитимные.

Rapid7 разработала PoC, демонстрирующий, как злоумышленник может получить доступ к открытым сертификатам, предоставляемым порталом или шлюзом GlobalProtect, сгенерировать поддельный cookie-файл для переопределения аутентификации для произвольного пользователя и пройти аутентификацию, не зная действительных учетных данных.

Пользователям VPN-устройств GlobalProtect следует немедленно установить последние обновления для устранения выявленных уязвимостей.

Администраторы также могут устранить эту уязвимость, отключив функцию переопределения аутентификации или используя для этой функции другой сертификат и не предоставляя его другим службам на устройстве.

Читать полностью…

SecAtor

Бельгийский центр кибербезопасности (CCB) выпустил предупреждение, информируй, что злоумышленники теперь используют недавно исправленную критическую уязвимость Windows Netlogon в реальных атаках.

Microsoft устранила CVE-2026-41089 (CVSS 9.8) в рамках майского PatchTuesday, описав её как переполнение буфера стека в Windows Netlogon, которое позволяет злоумышленникам без привилегий получить удалённое выполнение кода на целевых контроллерах домена.

Злоумышленник может отправить специально сформированный сетевой запрос на сервер Windows, выступающий в качестве контроллера домена.

В случае успеха это может привести к некорректной обработке запроса службой Netlogon, что потенциально позволит злоумышленнику запустить код в затронутой системе без необходимости входа в систему или предварительного доступа.

CVE-2026-41089 затрагивает все поддерживаемые в настоящее время версии Windows Server, включая последнюю версию, Windows Server 2025.

Согласно уведомлению от 12 мая, уязвимость была обнаружена группой Windows Attack Research & Protection (WARP), подразделением Microsoft, занимающимся исследованиями в области кибербезопасности и инженерными разработками.

Помимо констатации начавшейся эусплуатации CCB не предоставила никаких дополнительных подробностей о замеченных атаках и пока никак нет комментирует ситуацию.

Microsoft также пока не обновила свое изначальное уведомление и сохраняет молчание относительно атак, нацеленных на CVE-2026-41089.

Вместо этого микромягкие занимаются преследованием анонимного исследователя Nightmare Eclipse, который публично раскритиковал компанию за недобросовестный процесс раскрытия уязвимостей и программу вознаграждений, сопроводив свои доводы отчетами по ранее неизвестным нулям.

После этого публичного конфликта с Microsoft и завуалированных угроз, в адрес исследователя посыпались сообщения об ошибках от других пользователей, которые намерены слить через него для широкой общественности свои изыскания.

Так что Nightmare Eclipse объявил о начале раскрытия новых уязвимостей в решениях Microsoft, следующая из которых связана с BitLocker и была предоставлена ему исследователем по имени JonasLyk.

Читать полностью…

SecAtor

Силовики из Нидерландов провели одну из крупнейших в истории операций по борьбе с вредоносным ПО и обезвредили ботнет, заразивший более 17 млн. устройств по всему миру.

Ботнет состоял из компьютеров, планшетов и смартфонов, которые использовались для рассылки спам-писем, фишинговых сообщений и проведения DDoS-атак.

Голландская полиция и NCSC страны изъяли более 200 серверов у местного провайдера, которые использовались для развития и контроля ботнета.

Как отметили в нидерландской полиции, участие в операции по нейтрализации вредоносного ПО со стороны Национального центра кибербезопасности Нидерландов явление достаточно редкое.

В NCSC заявили, что узнали о ботнете после получения информации от исследователя, которую затем передали в киберподразделение полиции.

Власти не указали наименование ботнета, но местные СМИ утверждают, что он также являлся основой сервиса резидентных прокси-серверов Asocks.

Причем сайт Asocks всё ещё функционирует, но что по части ботнет пока непонятно. Стоит отметить, что Asocks ранее упоминался в отчете Human Security за 2024 год, так что вполне цель подтвержденная.

Тем более, что за день до блокировки NCSC опубликовала сообщение, в котором назвала сети резидентных прокси-серверов серьезной угрозой цифровой безопасности страны.

В отчете подробно описывалась библиотека PROXYLIB, написанная на Go, которая была встроена в различные приложения для Android и тайно превращала зараженные устройства в узлы сети резидентных прокси-серверов, что, по данным Human, было связано с Asocks.

Таким образом, Asocks пополнил список многочисленных ботнетов, заблокированных правоохранителями за последнее время, наряду с SocksEscort, Aisuru/Kimwolf, FirstVPN, IPIDEA и RapperBot.

Читать полностью…

SecAtor

Исследователи Лаборатории Касперского раскрыли активность ранее неизвестной группы, активной с 2024 года и атакующей ВУЗы и энергетику.

В сентябре 2025 года на GitHub вышел очередной фреймворк для пентеста - Ravage, а уже в январе 2026-го злоумышленники начали его использовать.

ЛК обнаружила «пользователей» фреймворка среди атакующих, которые первоначально не слишком привлекали внимание.

Другие их инструменты семейств PureRAT и RedLine не выделялись на общем фоне киберугроз и относились к сфере MaaS, по сути их брали в аренду все подряд.

Группа, в арсенале которой засветился Ravage, атаковала российские организации и отличалась большими перерывами в своей активности. Как позже выяснилось, злоумышленники могли затаиться на 3–4 месяца, а затем провести 10 атак за месяц.

Более половины атак за последний год пришлось на учебные заведения преимущественно морского и речного профиля. Помимо них среди жертв были энергетические и финансовые компании, а также дипломатический корпус.

Проследив за деятельностью злоумышленников, в ЛК выявили их ранее незамеченные атаки, которые стартовали почти два года назад, что позволяет говорить о тщательно маскируемых действиях сформировавшейся группы.

Любопытная деталь: в 2024 году в некоторых случаях они тоже использовали инструмент для пентеста, Cobalt Strike.

В 2026 году атаки начинались через фишинговое письмо с ZIP-архивом, содержащим XLL-файл. Он маскировался под легитимную надстройку для Microsoft Excel.

Двойной клик по нему запускал приложение Excel, которое загружало в свой процесс исполняемую DLL-библиотеку, что приводило к запуску вредоносного кода.

Тип файла Microsoft Excel XLL Add-In в сочетании со знакомым логотипом Excel создавал впечатление легитимного документа. В исследуемом случае XLL-файл был собран с помощью открытого фреймворка Excel-DNA.

Внутри XLL-файла находится модуль, написанный на C#, представляющий собой простейший загрузчик: скачивает и запускает два исполняемых файла по вшитым в него URL. Адреса ведут на взломанный сайт, на который предварительно были загружены вредоносные файлы.

По одному адресу скачивается типовой биндер (программа-склейщик разнотипных файлов в один) для упаковки известных бэкдоров и стилеров, таких как Vidar, Lumma, RedLine, StealC.

Файл Putty.exe представляет собой самораспаковывающийся CAB-архив, внутри которого находятся разделенные на несколько файлов интерпретатор AutoIt и скрипт для него, а также batch-файл.

При запуске архива все файлы распаковываются во временный каталог. Затем выполняется batch-файл, который подготавливает интерпретатор и скрипт, после чего запускает последний.

Скрипт для AutoIt весом 1,5 МБ содержит вредоносную нагрузку в виде зашифрованного исполняемого файла. Скрипт расшифровывает файл, запускает процесс RegAsm.exe и внедряет вредоносную нагрузку в этот процесс. Расшифрованная нагрузка — это бэкдор PureRAT.

По второй ссылке скачивается файл Ps.exe. Это небольшая утилита BatToExe, предназначенная для преобразования файлов пакетных скриптов Windows (.bat/.cmd) в самодостаточные исполняемые файлы (.exe).

Во время выполнения утилита создает один batch- и один PowerShell-файл, запускает batch-файл, а он в свою очередь - PowerShell-скрипт. PowerShell-скрипт и есть загрузчик фреймворка Ravage.

Несмотря на то что в описании на GitHub Ravage характеризуется как «мощный и гибкий C2-фреймворк», этот инструмент ближе к обычному Remote Access Tool

Подробный разбор более ранних атак 2024-2025 гг. и полный перечень IOCs - в отчете.

Читать полностью…

SecAtor

❗️ "Кошмарное затмение" для Microsoft в социальных сетях

Как уже сообщалось ранее, корпорация Microsoft выпустила заявление, где она категорически осудила действия Nightmare-Eclipse. Публикация спровоцировала волну возмущения среди экспертов по кибербезопасности в социальных сетях. Исследователи начали массово делиться своим негативным опытом взаимодействия с Центром реагирования на угрозы безопасности Microsoft. Многие независимые специалисты открыто обвинили корпорацию в лицемерии и намеренном затягивании процессов.

Пользователь платформы X под псевдонимом Zack Korman иронично отметил нежелание компании исправлять собственные внутренние процессы. По его словам, корпорация готова на все ради предотвращения публикации уязвимостей нулевого дня. Единственным исключением является улучшение работы самого Центра реагирования.

hacker.house пишут о своём негативном опыте сотрудничества с технологическим гигантом. Они отправили в компанию данные о нескольких уязвимостях 0-click, которые приводили к созданию произвольных файлов и переполнению памяти. Представители Microsoft отказались исправлять проблему. Они сослались на использование устаревших технологий в архитектуре операционной системы. Другой вектор атаки с повышением привилегий получил от них лишь статус умеренной угрозы. Никто не получил денежного вознаграждения за свой труд. Корпорацию заподозрили в скрытом выпуске патчей с исправлениями без должного признания заслуг автора.

Исследователь безопасности Габриэль Ландау рассказал о своем опыте работы с обходом защиты Device Guard. Он установил стандартное окно в 90 дней для раскрытия информации. Сотрудники Центра реагирования подтвердили серьезность проблемы и попросили отложить публикацию на несколько месяцев для качественной подготовки патча. Исследователь согласился при условии обязательного присвоения идентификатора CVE. Позже он обнаружил полное отсутствие упоминаний своей находки в официальных списках обновлений. Компания тайно устранила уязвимость и заявила о несоответствии проблемы стандартам обслуживания. Это лишило Ландау заслуженного признания. Свою историю он сопроводил хештегом #MeTooMSRC.

Похожим случаем поделился эксперт под псевдонимом rootsecdev. Он ответственно сообщил об уязвимости в устаревшем механизме аутентификации. Проблема позволяла осуществлять подбор паролей в обход интеллектуальной блокировки. Спустя пять месяцев ожидания он получил формальный отказ. Компания заявила о несоответствии проблемы базовым критериям для выпуска обновления. При этом разработчики Microsoft тайно устранили уязвимость и просто закрыли обращение специалиста.

Примечательно, что Microsoft косвенным образом попыталась запугать независимых исследователей. Корпорация использовала формулировку об уголовном преследовании за безответственную публикацию с привлечением правоохранительных органов. Основатель Altered Security Нихил Миттал обратил внимание на агрессивный тон официального сообщения. Специалист задался риторическим вопросом о дальнейших шагах компании. Он иронично поинтересовался вероятностью применения Центром реагирования практики 👮сваттинга против ИБ-специалистов в будущем.

Когда компания стоимостью в триллион долларов заменяет стандартные поощрения программ bug bounty и признание заслуг в системе CVE юридическими угрозами со стороны своего Отдела по борьбе с цифровыми преступлениями, то доверие [у исследователей] утрачивается полностью. Нельзя требовать «ответственного раскрытия информации», когда сам вендор действует БЕЗОТВЕТСТВЕННО.

— пишет Maxirex.

💻В итоге независимые исследователи восприняли официальное заявление не как призыв к адекватной кооперации, а как угрозу и попытку переложить ответственность. Эксперты массово указывают на системные проблемы внутри самого Центра реагирования. Они отмечают затягивание сроков, невыплату вознаграждений, отказ от присвоения идентификаторов CVE и практику тайного выпуска патчей. Многие из них теперь открыто заявляют о полной потере доверия к процессам Microsoft и нежелании продолжать взаимодействие с корпорацией на подобных условиях.

@Russian_OSINT

Читать полностью…

SecAtor

Микромягкие (вместо качественной разработки своих решений) продолжают щемить исследователя, известного как Nightmare-Eclipse, который стал известен после публикации 6 эксплойтов для Windows в течение 6 недель, начиная с 3 апреля 2026 года, в знак мести корпорации за ненадлежащую организацию процесса раскрытия уязвимостей и выплаты вознаграждений.

GitLab, куда перебазировался пользователь после того, как GitHub заблокировал его аккаунт 23 мая, также залочил его 26 мая. Обе платформы также удалили все опубликованные репозитории.

Nightmare-Eclipse получил широкую известность после публичного раскрытия информации о работающих критически важных эксплойтах для Windows, предоставляющих злоумышленникам полный доступ к системе или позволяющих обойти шифрование BitLocker. В сообществе наблюдали использование этих инструментов в реальных случаях вторжений.

Среди них, напомним:

- BlueHammer (уязвимость для повышения локальных привилегий в Windows Defender, которая позволяла злоумышленникам запускать прилагаемый файл FunnyApp.exe или компилировать собственную версию и получать доступ к командной оболочке Windows SYSTEM).

- RedSun (аналогичная уязвимость, появившаяся сразу после того, как Microsoft устранила первую уязвимость, также предоставляет привилегии SYSTEM).

- UnDefend (нструмент для предотвращения сбоев в работе Windows Defender, предназначенный для остановки обновлений баз данных и создания отказоустойчивых систем. Defender не может обнаруживать новые угрозы, пока система выглядит работоспособной).

- YellowKey («самый безумный» эксплойт, который полностью обходит шифрование BitLocker с помощью USB-накопителя).

- GreenPlasma (уязвимость повышения привилегий, выходящая за рамки уязвимостей Defender. Она нацелена на процесс CTFMON, отвечающий за ввод текста и работающий от имени SYSTEM).

- MiniPlasma (ещё один инструмент для повышения привилегий, запускающий SYSTEM-оболочку. Однако он использует уязвимость шестилетней давности, первоначально обнаруженную проектом Google Project Zero, которая либо не была исправлена, либо исправление было откачено).

В сети Nightmare-Eclipse, личность которого остается загадкой) уже сравнили с реальным Мистером Роботом, хакером из популярного сериала, ведущим кибервойну против корпоративного гиганта.

Nightmare-Eclipse особо не отреагировал на бан, но ранее хакер угрожал дальнейшими релизами, предложив отметить 14 июля 2026 года в качестве возможной даты следующего мероприятия.

При этом последовательные блокировки привели к прямо противоположному результату. В течение нескольких часов множество пользователей распространили клоны его эксплойтов, а сам Nightmare-Eclipse фактически становится народным героем.

Но на простых блокировках в Microsoft не остановились и пошли дальше, только лишь усугубляя противостояние.

Microsoft (MSRC) выкатила в своем блоге сообщение с обвинениями в адрес анонимного исследователя в обходе скоординированного раскрытия информации, что сразу же вызвало волну возмущения среди специалистов по кибербезопасности.

Ведь технологический гигант пригрозил судебными исками, но не называет цели, используя общие формулировки, охватывающие как самих злоумышленников, так и исследователей, которые «способствуют им» с помощью экспериментальных PoC. Будем следить.

Читать полностью…

SecAtor

Как передает Arctic Wolf, критическая уязвимость в FortiClient Endpoint Management Server (EMS), отмеченная как 0-day и исправленная в апреле, была использована в новых атаках для развертывания стилеров.

Уязвимость отслеживается как CVE-2026-35616 (CVSS 9.1) и может быть использована удаленно с помощью специально сформированных запросов на удаленное выполнение кода (RCE) и не требует аутентификации.

В начале апреля компания Fortinet выпустила исправления для обнаруженной уязвимости, предупредив, что она была использована злоумышленниками как 0-day, и настоятельно призвав к немедленному обновлению.

В настоящее время незащищенные развертывания FortiClient EMS вновь становятся объектом кампании по внедрению EKZ Infostealer, замаскированного под фейковые обновления для конечных устройств Fortinet.

Вредоносная ПО выполнялась с помощью управляемых FortiClient сценариев VPN, используя командные скрипты, которые вызывали PowerShell, что указывает на знание затронутой среды.

Исследователи Arctic Wolf пояснили, что наблюдаемая схема выполнения указывает на то, что злоумышленники использовали собственный путь управления FortiClient для распространения вредоносных команд PowerShell на управляемые конечные точки способом, имитирующим легитимные операции управления.

Поскольку FortiClient EMS функционирует как централизованная платформа управления устройствами, политиками и конфигурациями FortiClient, доступ к устройству позволил злоумышленникам выполнить код на каждой управляемой конечной точке.

Вредоносное ПО, используемое в этих атаках для кражи информации, нацелено на Chrome, Microsoft Edge, Firefox и другие браузеры на основе Chromium и Gecko с целью кражи учетных данных, файлов cookie и данных автозаполнения. Собранные данные передаются по протоколу HTTP.

Приложение не обладает возможностями кражи учетных данных из сети, вместо этого оно экспортирует учетные данные из поддерживаемых браузеров в выходной файл журнала. При запуске без аргументов оно предоставляет подробную информацию об использовании из командной строки.

Организациям рекомендуется как можно скорее установить исправления Fortinet для CVE-2026-35616, которая была добавлена в список известных эксплуатируемых уязвимостей (KEV) CISA еще 6 апреля.

Читать полностью…

SecAtor

Исследователи из Лаборатории Касперского в перерывах между исследованиями вредоносной активности, уязвимостей и APT-групп успевают и в аналитику, продолжая серию отчетов по развитию информационных угроз в первом квартале 2026 года по части ПК и мобильной статистики.

Подробно останавливаться не будем, вся подробная инфографика и цифры достаточно четко представлены в отчетах, отметим лишь основные моменты.

По данным Kaspersky Security Network (глобальная сеть для анализа анонимизированной информации об угрозах), в первом квартале 2026 года:

- Предотвращено свыше 2,67 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО (в первом квартале снизилось по сравнению с 3 239 244 в прошлом квартале).

- Среди вредоносного ПО для мобильных устройств самой распространенной угрозой стали троянцы класса Trojan-Banker — 10,86% от всех обнаруженных угроз;

- Было обнаружено более 306 тысяч вредоносных установочных пакетов, из которых: 162 275 пакетов относились к мобильным банковским троянцам (что в полтора раза больше показателя за предыдущий отчетный период, аналогичный темп роста наблюдался и в прошлом квартале) и 439 пакетов - к мобильным троянцам-вымогателям;

- В первом квартале аналитики Synthient нашли связь нашумевшего ботнета Kimwolf с прокси-сетью IPIDEA. Затем эта сеть была ликвидирована при участии GTIG.

- Нашлось несколько приложений в Google Play и App Store, которые содержали новую версию криптостилера SparkCat.

Если смотреть статистику по ПК, в первом квартале 2026 года:

- Решения ЛК отразили более 343 миллионов атак с различных интернет-ресурсов;

- Веб-антивирус среагировал на 50 миллионов уникальных ссылок;

- Файловый антивирус заблокировал более 15 миллионов вредоносных и потенциально нежелательных объектов;

- В первом квартале решения ЛК обнаружили шесть новых семейств шифровальщиков и 2938 новых модификаций;

- Более 77 тысяч пользователей столкнулись с атаками шифровальщиков;

- 14% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах группировок, пострадали от Clop; сместив с первого места Qilin (12,34%). Далее следует новая группа The Gentlemen (9,25%) - она появилась не позднее июля 2025 года и уже оказалась активнее регулярно встречающихся Akira (7,25%) и INC Ransom (6,13%).

- Более 260 тысяч пользователей столкнулись с майнерами.

Читать полностью…

SecAtor

Исследователи Adversa AI раскрыли подробности атаки SymJack, которая фактически превращает агентов ИИ в системы доставки атак на цепочки поставок. Концептуальный прототип Adversa доступен на GitHub.

Вредоносные репозитории и замаскированные символические ссылки способны обмануть агентов ИИ, задействованных в программировании, заставляя их незаметно установить контролируемые злоумышленниками серверы MCP для кражи секретов, компрометации конвейеров CI и развертывания вредоносного кода.

Вредоносные репозитории часто являются причиной атак на цепочки поставок, их доля оценивается в 20-40%. Такие репозитории могут использоваться для обмана разработчика, использующего агента ИИ, с целью генерации некорректного кода, который может незаметно проникнуть в конвейер CI.

Для осуществления атаки необходимы три элемента: контроль злоумышленника над репозиторием агента кодирования, готовый вредоносный MCP-сервер и использование разработчиком инструмента для программирования с использованием ИИ.

Атака была названа SymJack, поскольку перехватывает символическую ссылку в процессе разработки кода, переименовывает её во что-то, что выглядит безобидным, но перенаправляет на вредоносный MCP, встраивая инструкцию злоумышленника в готовый код. 

Цепочка атак начинается с того, что злоумышленник получает контроль над репозиторием агента кодирования и содержащимся в нем файлом инструкций проекта. Этот файл сделан вредоносным, но используется агентом кодирования и пользуется его доверием. 

В SymJack вредоносная символическая ссылка переименовывается таким образом, чтобы выглядеть безобидной.

Команда cp может использоваться для автоматического внедрения полезной нагрузки злоумышленника, скрытой внутри замаскированной символической ссылки, в собственные настройки конфигурации агента. Эта полезная нагрузка регистрирует вредоносный сервер MCP, где команда запуска выполняет все, что пожелает злоумышленник.

Разработчик видит один запрос: скопировать безобидно выглядящий файл в папку с документацией и одобряет его. На экране ничего не упоминается о каталоге конфигурации, файле MCP или исполняемом содержимом.

При следующем перезапуске запускается внедренный сервер, и код злоумышленника выполняется от имени пользователя, вне песочницы. В реальной атаке он может украсть SSH-ключи, облачные токены и сессии браузера или даже уничтожить производственные ресурсы.

Если атака нацелена на CI, радиус поражения может быть увеличен без дальнейшего взаимодействия с пользователем. CI-серверы уже содержат необходимые секреты для работы.

Adversa проверила свою методологию в пяти основных инструментах для разработки ПО (Claude Code, Gemini CLI и Antigravity CLI, Cursor Agent CLI, Grok Build CLI и GitHub's Copilot CLI) и обнаружила, что она работает во всех случаях.

Компания уведомила о проблеме все пять компаний. xAI и GitHub не ответили, Google отклонила сообщение, поскольку явное согласие пользователя считается запланированным поведением, Cursor отказался, заявив, что им уже известно о проблеме, Anthropic также отклонила проблему как выходящую за рамки проекта.

Но, несмотря на первоначальный отказ, Anthropic незаметно усилила защиту Claude Code несколько недель спустя. Новая версия Claude Code теперь разрешает символические ссылки до запроса подтверждения и отображает реальный путь назначения в подсказке.

Исследователи полагают, что вероятность обнаружения подобных уязвимостей, связанных с доверием, как в случае с SymJack, будет расти - это естественный результат чрезмерного доверия к автоматизации.

Читать полностью…

SecAtor

В малоизвестном компоненте промежуточного ПО, используемом во многих продуктах инфраструктуры серверов для ИИ, обнаружена серьезная ошибка.

Уязвимость получила условное наименование BadHost (и отслеживается как CVE-2026-48710), затрагивая Starlette, легковесный фреймворк на Python для создания асинхронных веб-сервисов.

Проще говоря, эта ошибка позволяет злоумышленникам «обмануть» серверы, перенаправляя их к общедоступному URL-адресу без аутентификации.

В действительности же злоумышленники подключаются к частным конечным точкам, откуда могут загружать или собирать конфиденциальные данные или давать серверу команды на выполнение вредоносных действий.

Немецкая X41 D-Sec обнаружила проблему и сообщила об ней поставщику, также опубликовав полный технический анализ.

Основной способ эксплуатации уязвимости выглядит примерно так: неправильно сформированный запрос легко собрать, если злоумышленники знают, к каким частям внутреннего API они хотят обратиться: GET /privateendpoint HTTP/1.1 и Host: example.com/public?bar=.

Команда Starlette выпустила обновления на прошлой неделе, но значительная часть инфраструктуры ИИ, вероятно, по-прежнему не защищена и уязвима.

В настоящее время фреймворк Starlette является важным компонентом таких проектов, как LiteLLM, vLLM, прокси-серверы для ИИ, серверы MCP и даже фреймворки для агентов ИИ.

X41 D-Sec также представила инструмент для сканирования и проверки уязвимости систем управления ИИ к атакам типа BadHost.

Читать полностью…

SecAtor

Ubiquiti выпустила обновления для устранения трех уязвимостей максимальной степени серьезности в UniFi OS, которые могут быть использованы удаленными злоумышленниками без привилегий.

UniFi OS - это унифицированная ОС, которая используется в консолях UniFi и помогает управлять ИТ-инфраструктурой, включая сети, безопасность и другие сервисы, а также приложениями UniFi, такими как UniFi Network, UniFi Protect, UniFi Access, UniFi Talk и UniFi Connect.

Первая CVE-2026-34908 позволяет злоумышленникам вносить несанкционированные изменения в целевые системы, используя проблему некорректного контроля доступа в UniFi OS

Вторая (CVE-2026-34909) обеспечивает доступ к файлам в базовой системе, используя уязвимость обхода пути (Path Traversal), которую можно использовать для доступа к учетной записи.

Третья уязвимость максимальной степени серьезности (CVE-2026-34910) позволяет злоумышленникам реализовать атаку внедрения команд после получения доступа к сети, используя уязвимость некорректной проверки входных данных.

Кроме того, Ubiquiti также устранила вторую критическую уязвимость внедрения команд (CVE-2026-33000) и уязвимость, приводящую к утечке важной информации (CVE-2026-34911), обе затрагивающие устройства на базе Unifi OS.

Поставщик пока не упоминает, были ли какие-либо из уязвимостей использованы до их обнаружения, но отметила, что они могут быть задействованы в атаках низкой сложности и были обнаружены в рамках программы вознаграждения за обнаружение ошибок HackerOne.

В настоящий момент Censys отслеживает почти 100 000 подключенных к сети устройств UniFi OS, большинство из которых (почти 50 000 IP-адресов) располагаются в США.

Однако в настоящее время нет информации о том, сколько из них удалось защитить от потенциальных атак, нацеленных на упомянутые уязвимости.

При этом следует помнить, что в последние годы решения Ubiquiti становились мишенями как APT-групп, так и для киберпреступников, которые использовали их для создания ботнетов, скрывающих вредоносную деятельность злоумышленников.

Читать полностью…

SecAtor

Исследователи XLab Qianxin сообщают, что в рамках масштабной кампании используется критическая уязвимость SQL-инъекции (CVE-2026-26980) в Ghost CMS для внедрения вредоносного кода JavaScript, запускающего атаки ClickFix.

Им удалось задетектить воздействие на более чем 700 доменов, включая университетские порталы, компании, занимающиеся ИИ/SaaS, СМИ, финтех-компании, сайты по безопасности и личные блоги.

По данным исследователей, злоумышленники разместили вредоносный код на веб-сайтах Гарвардского университета, Оксфордского университета, Обернского университета и DuckDuckGo.

CVE-2026-26980 затрагивает Ghost версий от 3.24.0 до 6.19.0 и позволяет неавторизованным злоумышленникам считывать произвольные данные из базы данных веб-сайта, включая ключи API администратора.

Этот ключ предоставляет администраторам доступ к пользователям, статьям и темам, а также может использоваться для изменения страниц статей.

Несмотря на то, что исправление проблемы было выпущено 19 февраля в Ghost CMS 6.19.1, админы многих сайтов до сих пор не удосужились установить обновление.

27 февраля SentinelOne выкатила подробности об использовании CVE-2026-26980 в атаках, а также о том, как можно обнаружить подобные инциденты.

Исследователи обнаружили как минимум два различных кластера активности, нацеленных на уязвимые сайты Ghost, иногда повторно заражающие одни и те же домены разными скриптами после очистки, или один из них очищает скрипт другого, чтобы внедрить свой собственный.

Атаки, задокументированные XLab, начинаются с нацеливанная на CVE-2026-26980 для кражи ключей API администратора, а затем, используя расширенные права, внедряют вредоносный JavaScript в статьи.

JavaScript-код представляет собой легковесный загрузчик, который загружает код второго этапа из инфраструктуры злоумышленника, по сути, это скрипт-маскировка, который идентифицирует посетителей, чтобы определить, подходят ли они в качестве целей.

Посетителям, прошедшим проверку, отображается поддельное уведомление Cloudflare, загружаемое через iframe в верхней части страницы статьи, содержащее приманку ClickFix.

На странице жертвам предлагается подтвердить, что пользователь является человеком, вставив указанную команду в командную строку Windows, после чего на их системы будет загружен вредоносный код.

XLab обнаружила, что в этих атаках используются различные полезные нагрузки, включая загрузчики DLL, дропперы JavaScript и образец вредоносного ПО на основе Electron под названием UtilifySetup.exe.

Наиболее важным шагом для администраторов веб-сайтов Ghost CMS является обновление до версии 6.19.1 или более поздней и замена всех ранее используемых ключей, поскольку они могли быть скомпрометированы.

В свою очередь, XLab предоставила список IOCs, включая внедренные скрипты, поэтому для их обнаружения и удаления необходим тщательный анализ веб-сайтов.

Исследователи рекомендуют владельцам веб-сайтов вести 30-дневный учет вызовов административного API для проведения надежного ретроспективного расследования.

Читать полностью…

SecAtor

Скрытая уязвимость в инфраструктуре сетей доставки контента (CDN) затрагивает примерно 88 миллионов доменов, позволяет злоумышленникам обходить DNS-фильтрацию и скрывать вредоносные соединения за доверенными доменами.

Проблема получили название Underminr и представляет собой вариант атаки с подстановкой домена (domain fronting), ныне устраненного типа атаки, позволявшего злоумышленникам размещать разрешенный домен в полях проверки сертификатов SNI и TLS в HTTPS-запросе, встраивая при этом другой целевой домен в зашифрованный заголовок HTTP-хоста TLS-туннеля.

Поскольку CDN-сети маршрутизируют запросы внутри сети на основе заголовков хоста, запрос достигает скрытого пункта назначения, в то время как трафик выглядит так, будто направляется на авторитетный фронтенд.

Вместо использования внешнего домена, Underminr предоставляет SNI и HTTP Host домена, одновременно принудительно отправляя запрос на IP-адрес другого арендатора на том же общем граничном узле.

Как сообщает ADAMnetworks, это несоответствие использовалось в атаках на крупных хостинг-провайдеров, в том числе на тех, кто внедрил меры противодействия подмене доменов.

Злоупотребление позволяет соединениям, которые, как кажется, ведут к доверенному домену, на самом деле подключаться к другому домену, который может быть использован в злонамеренных целях.

Злоумышленники могут использовать Underminr для сокрытия подключений к серверам С2, а также VPN- и прокси-подключений, и для обхода политик исходящего сетевого трафика.

В упрощенном виде, пробел в обнаружении возникает, когда решения DNS, IP-адреса на границе сети, SNI, заголовки Host и маршрутизация арендатора CDN не коррелируют. Конечная точка видит разрешенный DNS-запрос, в то время как соединение может быть установлено с другим именем хоста.

По данным ADAMnetworks, этот метод атаки использовался для подключения к доменам, размещенным на инфраструктуре CDN, используемой совместно с разрешенными доменами, в основном через TCP-соединения на порту 443, при этом SNI раскрывает предполагаемое имя хоста TLS.

Underminr может быть реализована с помощью четырех различных стратегий для обхода службы мониторинга и фильтрации DNS-запросов Protective DNS (PDNS).

В реальных условиях злоумышленники могут осуществлять атаки с использованием вредоносных приложений и скриптов командной оболочки. По данным ADAMnetworks, эта уязвимость также может быть использована в атаках ClickFix.

Потенциально уязвимыми для Underminr являются около 88 млн. доменов, при этом больше всего пострадает интернет-инфраструктура в США, Великобритании и Канаде.

Ожидается, что растущая зависимость от ИИ приведет к резкому увеличению числа атак.

Исследователи полагают, что как только Underminr станет параметрической информацией для вредоносных ПО, созданных с помощью ИИ, следует ожидать его в каждой атаке, которая должна обойти защитный DNS, как часть цепочки атак. Так что будем посмотреть.

Читать полностью…

SecAtor

Исследователи предупреждают, что четыре популярных пакета Composer, поддерживаемых Laravel-Lang, были заражены вредоносным ПО после того, как хакеры переписали все их теги Git.

laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes и laravel-lang/actions представляют собой сторонние библиотеки локализации, используемые приложениями Laravel.

Атака на цепочку поставок Laravel-Lang началась 22 мая и, по данным StepSecurity, в течение 15 минут злоумышленники опубликовали вредоносные теги версий для трех пакетов. К 00:00 UTC 23 мая все четыре пакета были заражены.

В свою очередь, Socket отмечает, что время появления и характер недавно опубликованных тегов указывают на более масштабное нарушение процесса выпуска релизов в организации Laravel Lang, а не на единичную вредоносную версию пакета.

Вредоносные теги были опубликованы более чем в 700 исторических версиях четырех пакетов, потенциально затрагивая все приложения, которые получали для них обновления или устанавливали их заново.

Исследователи Aikido Security полагают, что особенно коварным стало то, что вредоносный код вообще не был добавлен в официальные репозитории.

GitHub позволяет тегам версий указывать на коммиты из форка того же репозитория. Злоумышленник воспользовался этим, чтобы создать теги, указывающие на коммиты во вредоносном форке, который он контролировал.

Вредоносные теги версий содержали файл с именем src/helpers.php, выдававший себя за вспомогательный файл локализации Laravel.

Код определяет тип машины, затем подключается к домену С2 flipboxstudio[.]info, чтобы получить PHP-программу для кражи учетных данных и запустить ее в фоновом режиме.

Вредоносная ПО была разработана для сбора ключей и токенов облачных сервисов (включая AWS, GCP и Azure), конфигураций Docker и Kubernetes, токенов HashiCorp Vault, конфигураций репозиториев Helm, закрытых ключей SSH, учетных данных разработчиков, токенов аутентификации, файлов истории командной оболочки и файлов хранения учетных данных.

Кроме того, нацеливается на учетные данные в браузерах и менеджерах паролей, криптокошельках и расширениях, различных коммуникационных платформах, файлах конфигурации VPN, а также в различных важных файлах конфигурации и учетных данных в системах Windows, Linux и macOS.

Пользователям рекомендуется заблокировать затронутые пакеты и рассматривать любые системы, установившие их, как потенциально скомпрометированные. Им также следует проверить наличие чистых версий и установить их.

Поскольку вредоносная ПО нацелена на метаданные облака, токены Kubernetes, Vault, системы CI/CD, данные браузера, менеджеры паролей, учетные данные системы контроля версий, конфигурации VPN, ключи SSH, файлы .env и локальные конфигурации приложений, пострадавшим командам следует ротировать все секреты, доступные хостам, контейнерам, средствам запуска CI или машинам разработчиков, которые установили или запустили скомпрометированные пакеты.

Читать полностью…
Subscribe to a channel