39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
🇨🇳Китай обвинил 🇺🇸АНБ США в кибератаках: «названы поимённо, обвиняются публично!»
Китайские власти обвинили АНБ США в организации кибератак на Азиатские зимние игры и КИИ КНР. Согласно сообщению агентства «Синьхуа», инциденты произошли в период проведения Азиатских зимних игр. Пострадали объекты энергетики, связи, транспорта, гидротехнические сооружения и оборонные научно-исследовательские институты в провинции Хэйлунцзян. Они подверглись целенаправленным кибератакам cо стороны APT.
🎯 Цель атак — дестабилизация соревнований, вывод из строя инфраструктуры и хищение разведданных.
Пекин утверждает, что в ходе расследования были установлены личности троих предполагаемых агентов АНБ — Кэтрин А. Уилсон, Роберта Дж. Снеллинга и Стивена У. Джонсона. Их имена фигурируют в списке разыскиваемых лиц, опубликованном 👮полицией города Харбина.
🔻 Февраль 2025 — США обвиняют Китай
🔹 Взлом Минобороны, Госдепа, МИД Индии, Южной Кореи и Индонезии
🔹 Под ударом системы оборонного планирования
🔻 Апрель 2025 — Китай vs США (АНБ)
🔹 Обвинение в «продвинутых» кибератаках во время Азиатских зимних игр
🔹 Названы поимённо 3 агента АНБ
🔹 Упомянуты американские университеты как соучастники
🔹 Цель — критическая инфраструктура, системы Игр и Huawei
*Утверждается, что зафиксировано 270 000 атак на ИТ-системы игр и 50 млн атак на инфраструктуру региона.
По данным китайских специалистов, АНБ использовали арендованные в различных регионах Азии и Европы сервера, дабы усложнить усложнить атрибуцию источника атак. Также отмечается сознательное оставление ложных следов для дезинформации, массовое применение прокси- и бот-инфраструктуры, использование разовых айпишников.
Согласно отчету, опубликованному 3 апреля 2025 года Национальным центром реагирования на компьютерные вирусы Китая (CVERC), в период с 26 января по 14 февраля 2025 года было зафиксировано более 270 000 кибератак на информационные системы, связанные с Азиатскими зимними играми. Из них 63,24% атак (около 170 864) были идентифицированы как исходящие из США.
Использованы сотни техник, включая эксплойты нулевого дня и ИИ-инструменты.
Morphisec расчехлила новое семейство вредоносных ПО с расширенными возможностями под названием ResolverRAT, которые активно задействуется в атаках на объекты здравоохранения и фармацевтические организации.
ResolverRAT обладает расширенными возможностями выполнения в памяти и многоуровневого уклонения, а также в значительной степени полагается на механизмы разрешения во время выполнения и динамическую обработку ресурсов.
Несмотря на сходство в приманках, использовании двоичного кода и доставке полезной нагрузки с ранее задокументированными фишинговыми кампаниями, доставляющими Rhadamanthys и Lumma RAT, исследователи считают ResolverRAT новым семейством вредоносных ПО.
Соответствие механизмов доставки полезной нагрузки, повторного использования артефактов и тем приманок указывает на возможное совпадение инфраструктуры субъектов угроз, а также потенциальное партнерство или скоординированную деятельность между ними.
Фишинговые письма, распространяющие новое вредоносное ПО, обманом заставляют сотрудников компаний перейти по на ссылке, которая приводит к загрузке и открытию файла, отвечающего за запуск ResolverRAT.
Злоумышленник атакует пользователей во многих странах, отправляя электронные письма на родных языках получателей, включая чешский, хинди, индонезийский, итальянский, португальский и турецкий, часто ссылаясь на юридические расследования или нарушения авторских прав.
Цепочка заражения включает перехват порядка поиска DLL, полагаясь на уязвимый исполняемый файл для загрузки вредоносной DLL, размещенной в его каталоге.
На первом этапе цепочки выполнения загрузчик, использующий несколько методов антианализа, расшифровывает, загружает и запускает вредоносную полезную нагрузку.
Полезная нагрузка ResolverRAT сжимается и защищается с помощью шифрования AES-256, при этом ключи хранятся в виде зашифрованных целых чисел и после расшифровки существуют только в памяти.
Для сохранения вредоносная ПО создает до 20 записей в реестре в нескольких местах и скрывает имена ключей реестра и пути к файлам, а также устанавливает себя в нескольких местах.
ResolverRAT также реализует несколько механизмов для защиты инфраструктуры С2, включая параллельную систему доверия для проверки сертификатов, которая может обойти корневые центры сертификации, создавая закрытую цепочку проверки между имплантом и C2.
Он также реализует сложную систему ротации IP-адресов для резервных вариантов в случае недоступности C2, поддерживая собственный протокол связи C2, но использует стандартные порты для сокрытия в легитимном трафике, организует соединения через случайные интервалы и полагается на ProtoBuf для сериализации данных.
ResolverRAT имеет многопоточную архитектуру для обработки команд, реализует надежную обработку ошибок для предотвращения сбоев, поддерживает возможности постоянного подключения и разбивает большие наборы данных на фрагменты для передачи.
Morphisec отмечает, что в конфигурации С2 были определены поля, которые позволяют ее операторам отслеживать отдельные заражения и упорядочивать их по кампаниям. При этом для каждой жертвы используются специальные токены аутентификации.
Легендарная в индустрии ransomware банда Lockbit возрождается вопреки предпринятым в прошлом году международным операциям спецслужб США и Великобритании по нейтрализации инфраструктуры и задержанию ее членов.
Силовикам, безусловно, удалось изрядно потрепать бизнес вымогателей LockBit, которые, из-под санкций, согласно многочисленным сообщениям, смогли официально вернуться в строй.
Новая RaaS теперь отслеживается исследователями как LockBit v4 или LockBit Green и уже обзавелась новыми жертвами.
Конечно, темп еще нет тот, как когда-то был (более 30 выкупов за день), но обороты нарастают, операторы подтягиваются.
Насколько быстро Lockbit выйдет в рабочий ритм, будем посмотреть.
Fortinet предупреждает, что злоумышленники нашли способ сохранения доступа с правами только для чтения к уязвимым устройствам FortiGate даже после того, как первоначальный вектор доступа, использованный для взлома устройств, был исправлен.
Предполагается, что злоумышленники использовали известные и уже исправленные уязвимости безопасности, включая, помимо прочего, CVE-2022-4247, CVE-2023-27997 и CVE-2024-21762.
Это достигается путем создания символической ссылки, соединяющей файловую систему пользователя и корневую файловую систему в папке, используемой для обслуживания языковых файлов для SSL-VPN.
Fortinet отмечает, что изменения вносились в файловую систему пользователя и им удалось избежать обнаружения, в результате чего символическая ссылка (также известная как симлинк) сохранялась даже после того, как уязвимости первоначального доступа были закрыты.
В свою очередь, это позволило злоумышленникам сохранить доступ только для чтения к файлам в файловой системе устройства, включая конфигурации. При этом клиенты, которые никогда не включали SSL-VPN, не затронуты этой проблемой.
Неясно, кто стоит за этой активностью, но расследование Fortinet показало, что она не была направлена на какой-либо конкретный регион или отрасль. Компания напрямую уведомила клиентов, которых коснулась проблема.
В качестве дополнительных мер по предотвращению повторения подобных проблем был выпущен ряд обновлений ПО FortiOS:
- FortiOS 7.4, 7.2, 7.0 и 6.4: символическая ссылка была помечена как вредоносная, она автоматически удаляется антивирусным ядром.
- FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 и 6.4.16: символическая ссылка была удалена, а пользовательский интерфейс SSL-VPN был изменен для предотвращения обслуживания таких вредоносных ссылок.
Клиентам рекомендуется обновить свои экземпляры FortiOS до версий 7.6.2, 7.4.7, 7.2.11, 7.0.17 или 6.4.16, проверить конфигурации устройств и рассматривать все конфигурации как потенциально скомпрометированные, выполняя соответствующие шаги по восстановлению.
CISA выпустила собственную рекомендацию с призывом сбросить уязвимые учетные данные и рассмотреть возможность отключения функциональности SSL-VPN до тех пор, пока не будут применены исправления.
Группа реагирования CERT-FR в аналогичном бюллетене заявила, что ей известно о компрометациях, датируемых началом 2023 года.
В watchTowr отметили, что инцидент вызывает беспокойство по двум важным причинам.
Во-первых, в дикой природе эксплуатация становится значительно быстрее, чем организации успевают исправить проблему, и что еще важнее, злоумышленники глубоко осознают этот факт.
Во-вторых, в компании фиксировали, как злоумышленники развертывали бэкдоры после быстрой эксплуатации, разработанные для того, чтобы пережить процессы исправления, обновления и сброса настроек к заводским, чтобы сохранить доступ к скомпрометированным сетям.
При этом в клиентской базе watchTowr были обнаружены случаи внедрения бэкдоров, в том числе в организациях, которые многие бы однозначно назвали критически важной инфраструктурой.
Исследователи PRIZM обнаружили уязвимость удаленного выполнения кода в популярных планшетах Ratta SuperNote A6 X2 Nomad на электронных чернилах, которая позволяет удаленным злоумышленникам взломать его прошивку.
Исследование началось сразу после того, как в прошлом году популярный производитель планшетов на электронных чернилах Ratta Software выпустил SuperNote A6 X2 Nomad - 7,8-дюймовый планшет под управлением Android 11.
Взяв один из них в июле 2024 года, ресерчеры PRIZM оперативно приступили к его изучению.
По результатам им удалось объединить уязвимость и несколько неверных конфигураций в удаленно устанавливаемый руткит с 0 щелчками.
По итогу апробировали возможность компрометации злоумышленником из той же сети, что и целевое устройство, без какого-либо взаимодействия с пользователем.
Обнаруженной ошибке был присвоен CVE-2025-32409.
Ratta Software уведомили об проблемах в августе 2024 года, по прошествии 90-дневного срока раскрытия, поставщик ответил, что замылил отчет и запросил дополнительное время.
В октябре разработчики пообещали все исправить, раскрытие отложили до декабря 2024 года, а по состоянию на 8 апреля исследователи PRIZM выкатили подробности всего процесса исследования и технических подробностей уязвимости.
Исследователи Лаборатории Касперского обнаружила новые кампании, предположительно, китайской APT GOFFEE, которую впервые попала в поле зрения еще в 2022 году в связи с нацеливанием на Россию.
С тех пор APT атаковала исключительно организации в РФ, используя целевые фишинговые письма с вредоносными вложениями.
С мая 2022 по середину 2023 года GOFFEE применяла модифицированный зловред Owowa (вредоносный IIS-модуль) в своих атаках, а в 2024 злоумышленники начали распространять модифицированные вредоносные версии explorer.exe с помощью целевого фишинга.
Во второй половине 2024 года она продолжала атаковать организации в России, используя PowerTaskel - непубличный агент для Mythic на PowerShell, а также новый имплант - PowerModul.
Целями атак стали СМИ, телекоммуникационные и строительные компании, а также государственный и энергетический сектора.
Несмотря на применение инструментов и методов, сходных с использованными ранее, в этой кампании GOFFEE внесла несколько существенных изменений.
Группа обновила схемы распространения и впервые использовала документы Word с вредоносными VBA-скриптами для начального заражения.
Вредоносный исполняемый файл, прикрепленный к целевому фишинговому письму, представляет собой модифицированную версию explorer.exe, схожую с той, что использовалась в начале 2024 года, и содержит шелл-код, который сильно напоминает тот, что ранее использовался GOFFEE.
Кроме того, GOFFEE задействовала новый загрузчик PowerShell-скриптов - PowerModul, который отвечал за загрузку зловредов PowerTaskel, FlashFileGrabber и USB Worm.
Также замечено, что хакеры все чаще стала отказываются от использования PowerTaskel в пользу бинарного Mythic-агента при горизонтальном перемещении по сети, вероятно, разработав собственные реализации этого агента на PowerShell и C.
Как полагают в ЛК, GOFFEE продолжает улучшать свои инструменты и внедрять новые, эти изменения не столь значительны, чтобы кампанию можно было принять за действия другой группы.
Технический разбор новых кампаний и арсенала - в отчете.
Подкатили рекомендации по безопасности ICS для уязвимостей в решениях Rockwell, ABB, Siemens и Schneider.
Siemens опубликовала девять новых рекомендаций.
Одна из рекомендаций содержит призыв к клиентам заменить Sentron 7KT PAC1260 Data Manager на более новую модель PAC1261, поскольку первая подвержена критическим уязвимостям, которые позволяют получить доступ к файлам и выполнить произвольный код, но исправлений не планируется.
Критическая уязвимость также была обнаружена в Industrial Edge.
Продукт подвержен слабой проблеме аутентификации, которая позволияет неаутентифицированному удаленному злоумышленнику обойти аутентификацию и выдать себя за законного пользователя.
Siemens также уведомила клиентов о недавно обнаруженных уязвимостях IngressNightmare, затрагивающих ее решение Insights Hub Private Cloud.
Компания также проинформировала клиентов об исправленных проблемах высокой степени серьезности в Sidis Prime и Solid Edge, а также об ошибках средней степени серьезности в Siemens License Server, промышленных устройствах ICMP и Mendix Runtime.
Schneider Electric представила два новых бюллетеня, в одном из которых описываются две уязвимости высокой степени серьезности в ConneXium Network Manager, включая ту, которая может допускать удаленное выполнение кода и DoS-атаки на инженерные рабочие станции.
Вторая рекомендация охватывает три уязвимости средней степени серьезности в Trio Q Licensed Data Radios, которые могут привести к несанкционированному доступу и раскрытию конфиденциальной информации.
Однако для эксплуатации требуется физический доступ.
Rockwell Automation выкатила один информационный бюллетень, информируя клиентов о десятке локальных уязвимостей выполнения кода, влияющих на Arena.
Эксплуатация заключается в том, чтобы обманом заставить целевого пользователя открыть вредоносный файл.
Кроме того, не так давно ABB анонсировала два новых бюллетеня, в которых описаны десятки уязвимостей, обнаруженных за последние годы в сторонних компонентах, используемых в ее беспроводных шлюзах Arctic.
🔐 Безопасность в сети: S.E.Virus Detect v.3.1.
• В сети существует огромное кол-во сервисов и инструментов, которые позволяют нам найти максимум информации о URL-адресе. Одним из таких инструментов является Web-check, функционал которого позволяет нам получить следующее:
➡IP Info, SSL Chain, DNS Records, Server Location, Server Status, Open Ports, Traceroute, Server Info, Domain Info, DNS Server, Security.txt, Email Configuration, Firewall Detection, Archive History, Global Ranking, Malware & Phishing Detection, Screenshot и еще кучу всяких разных данных...
• Однако, данный сервис отличается от аналогичных решений тем, что имеет открытый исходных код и бесплатное api, это позволяет нам поднять сервис на своем сервере и интегрировать данное решение в собственные инструменты, что мы и сделали...
• Теперь в S.E. Virus Detect появился дополнительный функционал проверки URL-адреса, благодаря которому мы можем получить готовый отчет от сервиса Web-check и ознакомиться с результатами не выходя из Telegram. Работает все как и всегда: вы направляете ссылку боту - ссылка проверяется через VirusTotal - бот предоставляет вам результат анализа с последующим выбором, использовать web-chek или нет. Если вы нажали на соответствующую кнопку, то вы получите отчет, который содержит все необходимые данные.
• Что имеем в итоге?
➡Полноценный функционал VirusTotal в вашем кармане, который позволяет получить результат анализа файлов, ссылок и ip не выходя из telegram.
➡Дешифратор коротких ссылок. Бот предупредит вас, что ссылка сокращенная и покажет конечный домен, к которому она ведет.
➡Дешифратор QR-кодов: открываете камеру прямо в Telegram, фотографируете код, получаете результат анализа.
➡Функционал поиска информации о файле по его хэш-значению. Достаточно ввести хэш-функцию SHA-256 и бот выдаст вам информацию о файле, если он есть в базе Virus Total.
➡Формирование полноценного отчета по итогу анализа ссылки, который осуществляется через сервис Web-check.
• В общем и целом, S.E. Virus Detect - это как VirusTotal на стероидах, с дополнительным функционалом и различными фишками. Ну и еще совершенно бесплатный и без рекламы. Пользуйтесь!
S.E. ▪️ infosec.work ▪️ VT
Fortinet представила исправления для 10 уязвимостей в своих продуктах, включая критическую ошибку в FortiSwitch.
Она отслеживается как CVE-2024-48887 и имеет оценку CVSS 9,3.
Ошибка непроверенной смены пароля в графическом интерфейсе пользователя FortiSwitch позволяет удаленному неаутентифицированному злоумышленнику менять пароли администратора с помощью специально созданного запроса.
Компания утверждает, что отключение доступа HTTP/HTTPS из административных интерфейсов и ограничение числа хостов, которые могут подключаться к системе, должно устранить уязвимость.
Ошибка затрагивает версии FortiSwitch 6.4 - 7.6 и была устранена с выпуском версий 6.4.15, 7.0.11, 7.2.9, 7.4.5 и 7.6.1.
Также были выпущены исправления для CVE-2024-26013 и CVE-2024-50565, двух уязвимостей высокой степени серьезности, которые позволяют неаутентифицированным злоумышленникам выполнять атаки типа MitM.
По факту перехватывать запросы аутентификации FGFM между управляющими и управляемыми устройствами и выдавать себя за управляющее устройство (сервер FortiCloud или FortiManager).
Проблемы, связанные с неправильным ограничением канала связи предполагаемыми конечными точками, затрагивают FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice и FortiWeb.
Fortinet также объявила о закрытии CVE-2024-54024 - серьезной уязвимости внедрения команд ОС в FortiIsolator, которая позволяет аутентифицированному злоумышленнику с привилегиями суперадминистратора и доступом к CLI выполнить произвольный код с помощью специально созданных HTTP-запросов.
Пофиксили также четыры проблемы средней степени серьезности, включая ошибку внедрения команд ОС в FortiIsolator, ошибку логирования в FortiManager и FortiAnalyzer, некорректное управление пользователями на панели виджетов FortiWeb и обход пути в FortiWeb.
Также была устранена ошибка недостаточной защиты учетных данных в FortiOS, а также проблема неправильной нейтрализации ввода во время генерации веб-страницы в FortiClient (обе проблемы имеют низкий уровень серьезности).
Fortinet не сообщает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но принимая во внимание особый интерес киберподполья рекомендуется накатить обновления на устройства как можно скорее.
Дополнительная информация - в разделе рекомендаций PSIRT Fortinet.
Подкатил апрельский PatchTuesday от Microsoft с исправлениями 134 уязвимостей, включая на этот раз скупую единственную 0-day.
В этом пакете обновлений закрыто одиннадцать критических уязвимостей, все из которых связаны с RCE, а в целом по категориям: 49 - EoP, 9 - обхода функций безопасности, 31 - RCE, 17 - раскрытия информации, 14 - DoS и 3 - спуфинга.
Помимо них устранены уязвимости Mariner и 13 - в Microsoft Edge.
Единственной исправленной активно эксплуатируемой 0-day в апрельском PatchTuesday стала CVE-2025-29824 - уязвимость драйвера файловой системы Windows Common Log.
По данным Microsoft, CVE-2025-29824 связана с проблемой использования памяти после освобождения, которая позволяет локальным злоумышленникам с низкими привилегиями получать SYSTEM в атаках низкой сложности, не требующих взаимодействия с пользователем.
Обновления сейчас доступны только для Windows Server и Windows 11, а для Windows 10 Microsoft выйдут позже.
Компания также поделилась подробной информацией о том, что данная уязвимость была использована в качестве нуля бандой вымогателей RansomEXX, которую она отслеживает как Storm-2460.
Обнаружение приписывается Центру анализа угроз Microsoft.
Сначала злоумышленники установили вредоносное ПО PipeMagic backdoor на скомпрометированных системах, которое использовалось для развертывания эксплойта CVE-2025-29824, полезных нагрузок вымогателей и записок о выкупе !_READ_ME_REXX2_!.txt после шифрования файлов.
Целями атак стали организации в сфере информационных технологий и недвижимости в США, финансовый сектор в Венесуэле, испанская компания-разработчик ПО и сектор розничной торговли в Саудовской Аравии.
Как сообщала компания ESET в прошлом месяце, с марта 2023 года PipeMagic также использовался для развертывания эксплойтов, нацеленных на 0-day подсистемы ядра Windows Win32 (CVE-2025-24983).
Обнаруженная Лабораторией Касперского в 2022 году вредоносная ПО способна собирать конфиденциальные данные, обеспечивать полный удаленный доступ к устройствам и позволяет развертывать дополнительные вредоносные нагрузки для горизонтального перемещения.
В 2023 году ЛК обнаружила этот бэкдор при расследовании атак с использованием программы-вымогателя Nokoyawa.
В этих атаках эксплуатировали другой ноль в Windows Common Log File System Driver, уязвимость повышения привилегий, отслеживаемую как CVE-2023-28252.
Полное описание каждой уязвимости и систем, которые она затрагивает, - здесь.
Исследователи BI.ZONE продолжают отслеживать активность Sapphire Werewolf, которая активно ведет работу над развитием своего арсенала и теперь использует обновленную версию Amethyst Stealer.
Вредоносное ПО злоумышленники по-прежнему доставляют с помощью рассылки фишинговых электронных писем, на этот раз нацеливаясь на компании в сфере ТЭК.
Sapphire Werewolf маскирует вредоносное вложение под служебную записку и отправляет ее жертве от лица отдела кадров.
Письмо содержит архив с названием «Служебная записка.rar», внутри которого находится одноименный исполняемый файл с иконкой PDF-документа.
Программа написана на C# и защищена .NET Reactor.
Данный вредоносный файл является .NET‑загрузчиком, содержащим в себе закодированную Base64 полезную нагрузку, которая представляет собой исполняемый файл формата PE, который представляет собой Amethyst Stealer, также защищенный .NET Reactor.
Как и предыдущие экземпляры, данный образец реализует загрузку из ресурсов в память вспомогательной библиотеки DotNetZip.dll (Ionic’s Zip Library версии 1.16) для упаковки файлов.
Отправляет информацию о системе, содержащую IP‑адрес, строку с информацией о работе в виртуализированной среде, на: hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js.
Также зафиксирован запрос по адресу: wondrous-bluejay-lively.ngrok-free[.]app и обращение для проверки/получения IP: checkip.dyndns[.]org. Из ресурсов Amethyst Stealer также извлекается и открывается отвлекающий PDF-документ.
Новая версия Amethyst позволяет максимально широко проверять, как выполняется код в виртуальной среде, а также применять алгоритм Triple DES для шифрования строк, которые являются аргументами вызываемых функций вредоносной ПО.
Общий функционал Amethyst Stealer включает эксфильтрацию:
- аутентификационных данных из Telegram, Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium и др.,
- файлов конфигурации FileZilla и SSH;
- различные файлы конфигураций удаленных рабочих столов, VPN‑клиентов;
- различные типы документов (в том числе с внешних носителей).
Технический разбор стилера и IoC Sapphire Werewolf - в отчете.
Исследователи Лаборатории Касперского раскрыли сложный инструмент, который APT ToddyCat пыталась задействовать для скрытого запуска в скомпрометированных системах.
Он использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, в которую злоумышленники внесли изменения, расширяющие ее функциональность.
Чтобы скрыть свою активность в зараженных системах, APT-группы прибегают к разным техникам обхода защиты.
Большинство из них хорошо известны и обнаруживаются как EPP-решениями, так и средствами мониторинга и реагирования на угрозы класса EDR.
Одним из вариантов в Windows-системах могут быть руткиты уровня ядра, в частности вредоносные драйверы, но в современных ОС они загружаются только при наличии цифровой подписи Microsoft.
Злоумышленники обходят этот защитный механизм при помощи легитимных драйверов, которые имеют такую подпись, но содержат уязвимые функции, позволяющие выполнять вредоносные действия в контексте ядра.
Средства мониторинга отслеживают такие манипуляции, однако в ToddyCat именно этим и решили воспользоваться, запустив свой инструмент в контексте защитного решения.
В рамках расследования инцидентов с ToddyCat исследователи в на начале прошлого года обнаружили во временной директории на нескольких устройствах 64-разрядную DLL-библиотеку с именем version.dll на C++, которая представляет собой комплексный инструмент под названием TCESB.
Он предназначен для скрытого выполнения полезной нагрузки в обход средств защиты и мониторинга, установленных на устройстве.
Статический анализ DLL-библиотеки показал, что что для запуска вредоносного кода злоумышленники используют технику проксирования DLL.
Вредоносная DLL экспортирует все функции легитимной DLL, но вместо их реализации перенаправляет вызовы этих функций в оригинальную DLL.
Таким образом, приложение, которое загружает вредоносную библиотеку, продолжит работать без сбоев, при этом в его контексте в фоновом режиме будет выполняться вредоносный код.
Отыскать файл, загружающий инструмент TCESB, удалось не сразу, но благодаря допущенной оператором ошибке исследователи вышли на компонент EPP решения ESET - сканер, запускаемый из командной строки (ESET Command line scanner).
Динамический анализ показал, что он небезопасно загружает системную библиотеку version.dll: сначала проверяет наличие файла в текущей директории, а затем ищет его в системных директориях, что может привести к загрузке вредоносной DLL-библиотеки.
По итогу после уведомления ESET найденной уязвимости был присвоен CVE-2024-11859, а 21 января 2025 года поставщик выпустил обновление, а 4 апреля информация была опубликована в рекомендациях по безопасности.
Изучая функционал TCESB исследователи провели анализ строк, находящихся в его DLL, который показал, что большинство из них принадлежат вредоносному инструменту с открытым исходным кодом EDRSandBlast.
На его основе злоумышленники из APT ToddyCat создали DLL TCESB.
Переработав код, они добились расширения функциональности, добавив возможности, помимо прочего, модификации структуры ядра ОС, чтобы отключить системные уведомления (notification routines).
Технический разбор инструментария и индикаторы компрометации - в отчете.
Google выкатила исправления для 62 уязвимостей в Android за апрель 2025 года, включая две 0-day, которые использовались в целевых атаках.
Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.
Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.
Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.
Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.
В январе Google предоставила исправления OEM-партнерам.
Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем.
Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.
Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.
Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.
Исследователи сообщают о новой тактике китайской APT MirrorFace (Earth Kasha, APT10), которая использует виртуальную среду Windows Sandbox для сокрытия запуска вредоносного ПО на зараженных системах.
Атаки с использованием Windows Sandbox наблюдаются с 2023 года и представляют собой первый известный случай злоупотребления функцией с момента ее выпуска в декабре 2018 года.
Эта функция позволяет пользователям Windows запускать изолированную «песочницу» для временной установки/тестирования приложений, а затем закрывать виртуальную среду, не затрагивая основную ОС и свои данные.
По сути, Sandbox работает как виртуальная машина, но не обладает всеми ее громоздкими функциями: он легче, очень быстр и прост в запуске и эксплуатации.
Злоупотребление этой функцией, на первый взгляд, может показаться неправдоподобным, поскольку поддержка Windows Sandbox по умолчанию отключена, а при запуске Sandbox работает в окне на переднем плане пользователя.
Согласно отчетам ITOCHU и ESET, MirrorFace нашла способ обойти эти ограничения.
Хакеры закрепляются на скомпрометированных сетях, включают Windows Sandbox, перезапускают системы, а затем запускают скрытые экземпляры Windows Sandbox, которые не отображаются на экране.
Это достигается путем запуска Sandbox через планировщик задач под учетной записью, отличной от текущей учетной записи пользователя, поэтому пользовательский интерфейс Sandbox никогда не отображается для вошедшего в систему пользователя.
Операторы MirrorFace помещают вредоносное ПО в папку на зараженных системах, а затем используют файлы конфигурации Windows Sandbox (WSB), чтобы предоставить Sandbox доступ к этой папке, сетевой доступ, а затем настраивают один из вредоносных файлов на автоматический запуск при запуске Sandbox.
Поскольку среды Windows Sandbox не могут запускать Defender, ничего из происходящего внутри не регистрируется и не обнаруживается. Это позволяет злоумышленнику установить вредоносное ПО и открыть скрытый бэкдор внутри этой системы и сети компании-жертвы.
Как отмечает ITOCHU, компании могут стать слепыми к таким атакам, поскольку вредоносное ПО в Windows Sandbox работает в соответствии с конфигурацией файла WSB, может получить доступ к файлам на хост-компьютере.
Однако, поскольку доступ к файлам осуществляется из песочницы, никакая активность не регистрируется инструментами мониторинга, запущенными на хост-системе.
Техника, используемая MirrorFace, по-видимому, является усовершенствованной версией техники, впервые описанной исследователем Ллойдом Дэвисом еще в 2020 году.
Исследователи ITOCHU полагают, что злоупотребления могут эскалировать, поскольку в Windows Sandbox ежегодно добавляются новые функции.
Например, он может совместно использовать буфер обмена, аудио- и видеовход с базовой ОС.
Windows Sandbox теперь также можно запустить с помощью аргументов командной строки в wsb.exe, что устраняет необходимость в файлах конфигурации WSB - артефактах, которые в настоящее время могут использоваться для обнаружения возможных злоупотреблений.
Описанный метод невероятно прост в автоматизации, даже для разработчиков вредоносного ПО низкого и среднего уровня квалификации. После его раскрытия, может быть принят на вооружение других групп, а также банд программ-вымогателей.
Поскольку Windows Sandbox встроена и присутствует во всех системах Windows 10 и Windows 11, а файл приложения подписан самой Microsoft, злоупотреблять им, скорее всего, проще и безопаснее.
ITOCHU представила в отчете рекомендации по мониторингу и IR для обнаружения этой техники.
Действительно, что же все про Ivanti и Fortinet (у которой помимо уже описанных проблем прибавилась еще одна в виде неизвестной 0-day - и уже продается в киберполье вместе эксплойтом, о чем предупредила ThreatMon).
Исследователи Huntress фиксируют активную эксплуатацию критической уязвимости в ПО Gladinet CentreStack и Triofox, где стандартные криптографические конфигурации позволили осуществить атаки на семь организаций и спровоцировали аномальную активность примерно на 120 конечных точках.
CVE-2025-30406 была добавлена в каталог KEV CISA в начале апреля и имеет оценку серьезности CVSS 9/10.
Она обусловлена жестко запрограммированными криптографическими ключами, встроенными по умолчанию в файлы конфигурации CentreStack и Triofox. В виду неправильной конфигурации серверы стали уязвимы для атак с удаленным выполнением кода.
В этом случае использование ключей по умолчанию позволяет злоумышленнику защиту ASPX ViewState и выполнить код от имени пользователя пула приложений IIS с потенциальным расширением до полного контроля над системой.
Компания заявила, что эксплойты следовали хорошо известному сценарию.
После того, как уязвимый сервер был идентифицирован, злоумышленники запускали тщательно продуманные команды PowerShell для активации уязвимости, что в конечном итоге приводило к RCE.
По данным Huntress, в одном случае им удалось отследить последовательность команд, включающую закодированную директиву PowerShell, предназначенную для загрузки и выполнения DLL, то есть подход, который использовался в недавних атаках на уязвимости CrushFTP.
Согласно телеметрии Shodan, в сети доступно несколько сотен уязвимых серверов, так что риски компрометации все еще высоки, несмотря на доступность и эффективность исправлений.
Так что наблюдаем новую волну атак на цепочку мудаков, преимущественно, из крупного корпоративного сектора.
Индивидуальные приветы им позже передадут Clop или их коллеги по цеху.
Но будем посмотреть.
Microsoft официально подтвердила непонятную аномалию, связанную с тем, что обновление безопасности Windows за апрель 2025 года приводят к созданию новой пустой папки с названием inetpub, предупредив пользователей не удалять ее.
Папка обычно используется службами Internet Information Services (IIS) компании Microsoft - платформой веб-сервера, которую можно включить через диалоговое окно «Компоненты Windows» для размещения веб-сайтов и веб-приложений.
Тем не менее после установки патча многие пользователи Windows 11 и Windows 10 обнаружили в своих системах недавно созданную папку C:\inetpub, с использованием учетной записи SYSTEM, при том, что IIS не был установлен во время этого процесса.
Несмотря на то, что удаление папки не вызвало проблем при использовании Windows в тестах, Microsoft настаивает, что эта пустая папка была создана намеренно и ее не следует удалять.
Кроме того, согласно сообщениям пользователей, апрельские накопительные обновления wdormann/114315544895955943">не будут установливаютсяwdormann/114315544895955943">, если каталог C:\inetpub создан до развертывания обновления.
Пока Редмонд все еще пытается невнятно объяснить назначение папки, накануне вечером обновил рекомендации для уязвимости повышения привилегий активации процессов Windows (CVE-2025-21204), предупреждая пользователей не удалять новую пустую папку inetpub на своих жестких дисках.
Как сообщается, папку не следует удалять независимо от того, активны ли службы IIS на целевом устройстве.
Такое поведение якобы является частью изменений, которые повышают защиту, и не требует никаких действий со стороны ИТ-администраторов и конечных пользователей.
В свою очередь, CVE-2025-21204 вызвана проблемой неправильного разрешения ссылок перед доступом к файлу («переход по ссылкам») в стеке Центра обновления Windows.
Это, вероятно, означает, что на неисправленных устройствах Центр обновления Windows имеет возможность перехода по символическим ссылкам, что позволяет локальным злоумышленникам обмануть систему, получив доступ к нежелательным файлам или папкам или изменив их.
Компания предупреждает, что успешная эксплуатация уязвимости может позволить локальным злоумышленникам с низкими привилегиями повысить разрешения и выполнять операции с файлами на компьютере жертвы в контексте учетной записи NT AUTHORITYSYSTEM».
Те, кто, подозревая неладное, удалил папку inetpub, могут создать ее заново, зайдя в панель управления Windows «Включение и отключение компонентов» и установив службы Internet Information Services.
После установки в корне диска C: будет создана новая папка inetpub, на этот раз с файлами в ней. Однако она будет иметь SYSTEM, что и папка, созданная недавним обновлением безопасности Windows.
Если IIS не используется, то его можно удалить его снова через ту же панель управления «Функции Windows», после перезагрузки компьютера - ПО удалится, а папка останется.
Microsoft заверила, что этот метод позволит воссоздать папку с теми же уровнями защиты и, вероятно, получить личную благодарность от товарища майора.
Rapid7 раскрывает PoC для RCE-уязвимости в устройствах Connect Secure VPN компании Ivanti после известного скандала с «тихим» патчем.
Причем, как стало известно, CVE-2025-22457 уже активно использовалась китайской APT, нацеленной на взлом периферийных сетевых устройств, а публикация кода эксплойта произошла менее чем через неделю после того, как исследователи Mandiant выявили факт эксплуатации.
Хотя проблема была исправлена еще в феврале, Ivanti ошибочно диагностировала ее как «ошибку продукта» (непригодную для RCE) и не присвоила идентификатор CVE с общедоступной документацией.
Только после отчета Mandiant выпустила рекомендацию с о всеми подробностями.
В свою очередь, исследователи Rapid7 предупреждают, что злоумышленники могут использовать несколько тщательно созданных HTTP-заголовков, чтобы превратить уязвимость из обычного сбоя в полномасштабное удаленное выполнение кода.
Согласно анализу Rapid7, уязвимость возникает из-за неконтролируемого переполнения буфера в компоненте веб-сервера HTTP(S) программного обеспечения Ivanti Connect Secure.
Исследователи отследили уязвимость до функции, которая обрабатывает заголовок «X-Forwarded-For», и, манипулируя длиной значения заголовка, они смогли вызвать переполнение, которое перезаписывает ключевые части стека.
Как они отмечают, это важное напоминание о том, что APT активно занимаются обратной разработкой исправлений поставщиков для высококлассных целей и способны выявлять скрытно исправленные (или иным образом не разглашаемые) уязвимости.
Так, Rapid7 потребовалось всего 4 рабочих дня, чтобы перейти от первоначального сбоя к RCE, а у продвинутых групп есть и время, и ресурсы для для разработки тонких и сложных эксплойтов в отношении высокопоставленных целей.
Уязвимость, имеющая оценку серьезности CVSS 9/10, затрагивает Ivanti Connect Secure версий 22.7R2.5 и более ранние, а также Pulse Connect Secure 9.x, поддержка которой прекращена.
Помимо Ivanti Connect Secure, Ivanti планирует выпустить исправления для Policy Secure и ZTA Gateways.
Хотя исправление Policy Secure запланировано к выпуску 21 апреля, а обновление ZTA Gateways - 19 апреля, ни одна из платформ пока не была атакована.
Клиентам Ivanti настоятельно рекомендуется безотлагательно обновиться до версии Connect Secure 22.7R2.6 и отказаться от неподдерживаемых устройств Pulse Connect Secure.
Rapid7 присоединилась к Ivanti, рекомендуя организациям проверять устройства на предмет сбоев веб-серверов, которые могут служить полезным указанием на попытку эксплуатации.
Это связано с тем, что эксплойт, вместо подходящей утечки информации для взлома ASLR, должен полагаться на подбор адреса общей библиотеки объектов в процессе веб-сервера, каждая неудачная попытка угадать правильный адрес приведет к сбою и последующему перезапуску.
Исследователи Seqrite Labs раскрыли обновленные TTPs пакистанской APT-группы SideCopy по результатам анализа недавней кампании, зафиксированной в декабре 2024 года.
Группа расширила диапазон своего нацеливания: помимо госуправления, обороны, морского сектора и образования в числе объектов заинтересованности хакеров оказались министерства ЖД-транпорта, энергетики и иностранных дел.
Одним из наиболее заметных изменений в недавних кампаниях является переход от использования файлов HTML Application (HTA) к Microsoft Installer (MSI) в цепочке заражения на начальных этапах.
Злоумышленники продолжают совершенствовать способы уклонения от обнаружения, активно задействуя методы боковой загрузки DLL и многоплатформенных вторжений.
Кроме того, была идентифицированановая полезная нагрузка, названная CurlBack RAT, которая регистрирует жертву на сервере C2 через UUID и поддерживает передачу файлов с помощью curl.
Среди других выделенных исследователями особенностей новой кампании:
- Использование скомпрометированных идентификаторов электронной почты сотрудников государственных органов, имеющих опыт работы в сфере кибербезопасности.
- Создание фейкового домена, мимикрирующего под службу электронного правительства с открытым каталогом, который используется для размещения полезных нагрузок и страниц входа в систему для фишинга учетных данных.
- Взлом официального домена Национального гидрологического проекта (NHP) при Министерстве водных ресурсов с целью доставки вредоносных данных.
- Новые тактики, такие как рефлексивная загрузка и расшифровка AES раздела ресурсов через PowerShell, для развертывания пользовательской версии инструмента с открытым исходным кодом на основе C# XenoRAT.
- Модифицированный вариант инструмента с открытым исходным кодом SparkRAT на Golang, ориентированный на платформы Linux, был развернут с помощью того же самого стейджера, который ранее использовался для полезных нагрузок Poseidon и Ares RAT.
- Ранее взломанный образовательный портал, замеченный в августе 2024 года, снова стал активным в феврале 2025 года с новыми URL-адресами, нацеленными на студентов с использованием трех разных тем: «Изменение климата», «Исследовательская работа» и «Профессионал».
- Родительская группа APT36 нацелилась на Афганистан. Недавняя кампания, нацеленная на системы Linux, включает в себя зашифрованные AES/RC4 стейджеры для сброса инструмента MeshAgent RMM.
Технические подробности различных кластеров атак и индикаторы компрометации - в отчете.
Компании по безопасности, эксперты по открытому исходному коду и ученые предупреждают о новом векторе развития цепочек поставок, который получил наименование slopsquatting.
Название метода представляет собой комбинацию таких терминов, как AI slop и typosquatting.
Речь идет о все более широком использовании инструментов кодирования на основе ИИ для генерации блоков исходного кода, которые в некоторых случаях могут попадать в производственные системы.
В недавней научной работе анализировались 16 моделей кодирования ИИ.
Исследователи обнаружили, что эти инструменты генерируют некачественный код, который часто включает и загружает несуществующие пакеты и библиотеки.
Статистика показывает, что средний процент глючных пакетов составляет не менее 5,2% для коммерческих моделей и 21,7% для моделей с открытым исходным кодом.
При этом внушительные 205 474 уникальных примера выдуманных названий пакетов отчетливо показывает серьезность и распространенность этой угрозы.
Socket Security, специализирующаяся на DevSecOps, утверждает, что такое поведение открывает путь к слопсквотингу - когда злоумышленники изучают LLM, а затем регистрируют вымышленные или потенциально вымышленные имена пакетов.
Атака выглядит нелепой и непрактичной, но таковым был и тайпсквоттинг, когда он был впервые описан много лет назад.
Тем не менее, спустя годы, он стал одним из самых распространенных источников проблем в цепочке поставок в индустрии разработки ПО.
Задействование инструментов кодирования на основе ИИ растет, и вероятность того, что разработчики могут использовать блоки кода, созданные с помощью таких инструментов, также возрастает экспоненциально, как и вероятность успешной атаки методом slopsquatting.
Исследователи Wordfence в своем отчете констатируют печальную тенденцию по уязвимостям WordPress.
Всего в прошлом году исследователи раскрыли более 8000 уязвимостей WP, из которых более четверти не получили исправлений безопасности.
Примечательно, что только 5 из 8000 проблем, раскрытых в прошлом году, затронули ядро WordPress, что показывает, насколько CMS продвинулась в плане усиления безопасности.
При этом более 96% всех этих ошибок затрагивают плагины, которые сейчас являются угрозой номер один для владельцев сайтов WordPress.
Последний яркий пример - OttoKit (ранее SureTriggers) для WordPress, который согласно статистике, активен на 100 000 веб-сайтов.
OttoKit WordPress позволяет пользователям подключать плагины и внешние инструменты, такие как WooCommerce, Mailchimp и Google Sheets, автоматизировать такие задачи, как отправка писем и добавление пользователей или обновление CRM без кода.
Wordfence получила отчет об уязвимости от исследователя mikemyers в середине марта.
3 апреля ушло уведомление поставщику плагина с полной информацией об эксплуатации, и в тот же день вышло исправление в версии 1.0.79.
Уязвимость возникает из-за отсутствия проверки пустого значения в функции authenticate_user(), которая обрабатывает аутентификацию REST API.
Эксплуатация возможна, если плагин не настроен с использованием ключа API, что приводит к тому, что сохраненный secret_key остается пустым.
Злоумышленник может воспользоваться этим, отправив пустой заголовок st_authorization, чтобы пройти проверку и предоставить несанкционированные доступ к защищенным конечным точкам API.
По сути, CVE-2025-3102 позволяет злоумышленникам создавать новые учетные записи администраторов без аутентификации, что создает высокий риск полного захвата сайта.
9 апреля Wordfence раскрыла уязвимость обхода аутентификации в OttoKit, идентифицированную как CVE-2025-3102, которая затрагивает все версии до 1.0.78.
Однако хакеры быстро приступили к эксплуатации серьезной уязвимости, воспользовавшись задержкой администраторов с обновлением плагина.
Первые попытки были зафиксирвоаны всего через несколько часов после ее обнаружения.
Злоумышленники пытаются создать новые учетные записи админов, используя случайную комбинацию имени пользователя/пароля и адреса электронной почты, что является признаком автоматизации задач.
Так что пользователям настоятельно рекомендуется обновиться до последней версии OttoKit/SureTriggers - 1.0.79 и и проверить журналы на предмет манипуляции с учетными записями администратора, установки плагинов/тем, событий доступа к базе данных и изменения настроек безопасности.
Пока весь мир обсуждает развязанную Дональдом Трампом торговую войну, американский инфосек больше интересует история с SentinelOne и CISA, которые благодаря Крису Кребсу теперь попали под закаточный станок.
Президент США в среду подписал меморандум о лишении допуска к секретной информации бывшего директора Агентства Кребса, которого он уволил в 2020 году после того, как тот заявил об отсутствии каких-либо технологических проблем в ходе тогдашних президентских выборов.
При этом меморандум предписывает отозвать не только допуск Кребса к секретной информации, но и приостановить действие тех, которые «имеются у лиц в организациях, связанных с Кребсом», включая компанию SentinelOne, где он является главным офицером по разведке и государственной политике.
Согласно бюллетеню Белого дома, директива подразумевает «рассмотрение вопроса о том, соответствуют ли такие допуски национальным интересам».
В июле прошлого года SentinelOne объявила о партнерстве с CISA с целью «улучшения кибербезопасности государственных ИТ-активов и критической инфраструктуры».
На самом деле заявление Трампа нацелено на реализацию комплексной оценки деятельности CISA за предыдущие шесть лет под предлогом «выявления любых случаев, когда поведение Кребса или CISA противоречит приверженности администрации свободе слова и прекращению федеральной цензуры».
По данным Белого дома, CISA и Кребс «подавляли консервативные взгляды под предлогом борьбы с предполагаемой дезинформацией, а также принуждали руководство основных соцсетей к выполнению своей партийной миссии».
Помимо администрации президента США, аналогичную позицию заняли республиканцы в Конгрессе, выразив схожую обеспокоенность тем, что агентство фактически было «оружием» против консерваторов.
Во период выборов 2020 года, на которых Трамп проиграл Джо Байдену, CISA активно работала с онлайн-платформами, пытаясь контролировать распространение ложной информации и дезинформации, от чего отказалась в ходе последнего избирательного сезона.
В принципе, в бюллетене Белого дома откровенно звучат обвинения в фальсификации выборов, утверждая, что Кребс проигнорировал «известные риски, связанные с определенными методами голосования, и безосновательно отрицал фальсификацию выборов 2020, закрывая глаза на серьезные уязвимости электронных электоральный систем и нарушения процедур».
Помимо выборов, Кребсу вменяется участие в кампании по цензурированию новостной ленты в отношении «ноутбука Хантера Байдена».
Трамп уже отозвал допуски к гостайне у группы сотрудников разведки, которые оценили ноутбук как «дезинформационную уловку».
Сnоит отметить, что будучи республиканцем всю жизнь, Кребс также занимал пост директора по политике ИБ в Microsoft и был назначен самим же Трампом директором CISA в момент ее основания в 2018 году.
После ухода из правительства он стал соучредителем консалтинговой компании Krebs-Stamos Group, которая закрылась в 2023 году. Он также работал аналитиком в CBS News и научным сотрудником в Институте Аспена и Центре Белфера при Гарвардском университете.
Кребс публично отверг обвинения в широкомасштабном мошенничестве на выборах 2020 года, назвав их «самыми безопасными в истории Америки», а в SentinelOne не ожидают, что это каким-либо образом существенно повлияет на их бизнес.
Но будем посмотреть.
Исследователи SentinelOne раскрыли подробности в отношении ИИ-платформы AkiraBot, которая задействуется для рассылки спама в виджетах чатов, разделах комментарий и контактных форм сайтов для продвижения сомнительных SEO-сервисов Akira и ServicewrapGO.
AkiraBot атаковал более 400 000 сайтов и успешно заслал спам по меньшей мере на 80 000 из них, начиная с сентября 2024 года.
При этом бот использует OpenAI для генерации индивидуальных информационных сообщений в зависимости от контента того или иного сайта.
Целями таких кампаний являются веб-сайты малого и среднего бизнеса.
Набирающий популярность инструмент на основе Python способен при этом генерить контент таким образом, чтобы обходить спам-фильтры и CAPTCHA.
Предполагается, что инструмент для массовой рассылки сообщений вошел в активную эксплуатацию как минимум с сентября 2024 года под названием Shopbot, что, по-видимому, является отсылкой к сайтам, использующим Shopify.
Со временем AkiraBot расширил зону охвата, включив в нее сайты, разработанные с использованием GoDaddy, Wix и Squarespace, а также сайты, имеющие общие контактные формы и виджеты чата, созданные с использованием Reamaze.
Суть операции – генерация спам-контента – облегчается за счет использования API OpenAI, который реализует генерацию на основе содержимого сайта.
Инструмент также имеет графический пользовательский интерфейс (GUI) для выбора списка целевых сайтов и динамики размещения контента.
Анализ исходного кода показывает, что клиент OpenAI использует модель gpt-4o-mini и ему отведена роль «полезного помощника, генерирующего маркетинговые сообщения».
Другим примечательным аспектом сервиса является то, что он может обходить CAPTCHA в масштабе и избегать обнаружения на основе сети, полагаясь на прокси-сервис, который обычно предлагается рекламодателям.
Целевые сервисы CAPTCHA включают hCAPTCHA, reCAPTCHA и Cloudflare Turnstile.
Для этого веб-трафик бота имитирует трафик обычного конечного пользователя и использует различные прокси-хосты от SmartProxy, чтобы скрыть его источник.
AkiraBot также настроен на журналирование своих действий (файл с именем submissions.csv), фиксируя как успешные, так и неудачные попытки размещения спама.
Их анализ позволил установить, что на сегодняшний день атаковано более 420 000 уникальных доменов.
Кроме того, показатели успеха, связанные с обходом CAPTCHA и ротацией прокси, собираются и публикуются в канале Telegram через API.
В ответ на полученные данные компания OpenAI отключила API-ключ и другие связанные с ним активы, используемые злоумышленниками.
Как отмечают исследователи, разработчики сервиса вложили серьезные усилия в реализацию решений для обхода широко используемые технологии CAPTCHA, а использование LLM для генерации спама открывает новые угрозы на ландшафте ИИ.
Очередной поставщик ПО для обмена файлами, по всей видимости, отправил своих клиентов в объятия Clop (ну или их коллег).
Как сообщается, хакеры задействовали уязвимость в Gladinet CentreStack в качестве 0-day для взлома серверов хранения данных.
Gladinet CentreStack - это корпоративная платформа для обмена файлами, которая преобразует локальные файловые серверы (например, серверы Windows с общими ресурсами SMB) в безопасные облачные файловые системы с поддержкой удаленного доступа к внутренним общим файлам, многопользовательских развертываний и интеграцию с Active Directory.
Решение Gladinet используют тысячи компаний в 49 странах, включая предприятия с файловыми серверами на базе Windows, MSP, размещающие файловые сервисы для нескольких клиентов, а также организации, которым необходим доступ, аналогичный облачному, без миграции в облако.
Уязвимость отслеживается как CVE-2025-30406 и представляет собой проблему десериализации, затрагивающую версии Gladinet CentreStack до 16.1.10296.56315.
Эксплуатация в естественных условиях наблюдается как минимум с марта 2025 года.
Проблема обусловлена использованием жестко закодированного machineKey в конфигурации портала CentreStack (web.config).
Если злоумышленник заполучит ключ, то сможет создать вредоносную сериализованную полезную нагрузку, которую сервер будет выполнить.
Согласно рекомендациям поставщика, неправильно защищенный ключ защищает ASP.NET ViewState в случае подделки может позволить злоумышленникам обойти проверки целостности, внедрить произвольные сериализованные объекты и в конечном итоге выполнить код на сервере.
Gladinet выпустила исправление для CVE-2025-30406 3 апреля 2025 года с версиями 16.4.10315.56368, 16.3.4763.56357 (Windows) и 15.12.434 (macOS).
Поставщик рекомендует всем пользователям как можно скорее обновиться до последней версии или вручную поменять machineKey в root\web.config и portal\web.config.
Для клиентов, которые не могут оперативно накатить обновление, ротация значений machineKey является рекомендуемым временным решением.
При этом следует обеспечить согласованность между узлами в многосерверных развертываниях и перезапускать IIS после внесения изменений для применения мер по снижению рисков.
Несмотря на то, что пока упоминаний об участии банда вымогателей в новой делюге нет, специфика продукта все же указывает на атаки с целью кражи данных, как это было в случае Cleo, MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U и Accelion FTA.
Но будем посмотреть.
Kill Security взяла на себя ответственность за атаки, связанные с эксплуатацией недавней 0-day CrushFTP.
Хакерская группа утверждает, что смогла выкрасть «значительные объемы» данных и теперь угрожает жертвам слить их в ближайшие дни, вымогая выкуп.
Тем временем, исследователи указывают на опасный прецедент.
CrushFTP пыталась аннулировать первоначальный CVE, выпущенный для ошибки (CVE-2024-2825), выпустив новый идентификатор CVE-2025-31161 и внеся определенный хаос в работу решений безопасности, предназначенных для сканирования на предмет уязвимости.
Поставщик выпустил рекомендацию, но намеренно попросила, чтобы CVE не назначалась в течение 90 дней, фактически пытаясь скрыть уязвимость от сообщества ИБ.
Хуже того, MITRE, по всей видимости, также особо не преследовала цель своевременного раскрытия уязвимости, которая активно эксплуатировалась в дикой природе.
↔️👺 Российские пользователи получают майнер и троянец вместо приложений Microsoft Office
Эксперты 😍 «Лаборатории Касперского» обнаружили, что злоумышленники распространяют майнер и троянец ⚠️ClipBanker под видом офисных приложений Microsoft на платформе SourceForge. В 🇷🇺 России с этой вредоносной кампанией столкнулись уже больше 4600 пользователей*.
Люди, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть проект, размещённый на одном из доменов сайта SourceForge, — sourceforge.io. На нём предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице проекта он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке. Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива.
Внутри архива содержалось два файла: ещё один архив, защищённый паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищённый паролем архив, то в результате цепочки загрузок на компьютер проникали две вредоносные программы.
1️⃣ 💴Майнер, позволявший злоумышленникам использовать мощности заражённого ПК для майнинга криптовалюты.
2️⃣ 🦠 ClipBanker — троянец, который подменял адреса криптокошельков для кражи криптовалюты. Приложений Microsoft при этом среди скачанных файлов не оказывалось.
Специалисты по кибербезопасности отмечают: несмотря на то что атака нацелена на кражу и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.
Авторы этой кампании воспользовались особенностью платформы SourceForge. Для проектов, созданных на sourceforge.net, автоматически выделяется дополнительное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net атакующие загрузили проект c дополнениями к офисным программам, которые не содержали вредоносный код, а уже на sourceforge.io разместили описания приложений Microsoft и вредоносную ссылку, ведущую на заражённый архив. Злоумышленники в целом всё чаще используют в своих схемах облачные хранилища, репозитории, бесплатные хостинги — чтобы минимизировать затраты на инфраструктуру. К тому же на таких ресурсах им легче затеряться среди миллионов чистых файлов.
DLS банды вымогателей Everest, по всей видимости, был взломан неизвестными, которые напоследок и отдефейсили, передав привет от чувака из Праги.
С этого времени Everest вовсе прикрыла сайт. При этом никак не комментируя ситуацию.
Пока неизвестно, как был получен доступ к DLS Everest и был ли он взломан, однако исследователи Flare указывают на уязвимость WordPress, которая могла быть задействована в этом деле.
С момента своего появления в 2020 Everest прошла путь от хищения данных с целью вымогательства до полноценной RaaS с шифрованием систем своих жертв.
Кроме того, операторы Everest также выступают в качестве брокеров первоначального доступа для других групп, реализуя доступ к взломанным корпоративным сетям.
За последние 5 лет Everest присовокупила более 230 жертв к своему DLS в рамках атак с двойным вымогательством, одной из последних стал бренд каннабиса STIIIZY.
Учитывая недавние разборки вымогателей, в скором времени Everest сама может оказаться на чьей-либо DLS. Но будем, конечно, посмотреть.
Нас попросили попиарить новый ТГ-канал, посвященный борьбе с украинскими мошенническими call-центрами. А мы всегда за доброе дело, как известно.
Поэтому вот.
Исследователи Validin раскрывают потенциальные операционные совпадения между Red Delta и APT41.
Все началось с отчета по анализу вредоносного ПО Mustang Panda/Red Delta, на основе которого была сгенерирована диаграмма IoC (полная картина - здесь), а анализ индикаторов, связанных с ее активностью, позволил выйти на дополнительную инфраструктуру и описанные пересечения APT.
В общем, подробности и техника - отчете. Там все достаточно наглядно раскидано и отражает то, о чем мы давно говорили.