39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Правительство Швейцарии сообщает об инциденте, в результате которого конфиденциальная информация различных федеральных ведомств была скомпрометирована и зашифрована после атаки на подрядную организацию Radix.
По данным швейцарского правительства, хакеры выкрали данные из систем Radix, а затем выложили их все на свой DLS. Последствия утечки оценивают специалисты Национального центра кибербезопасности страны (NCSC).
Radix представляет собой некоммерческую организацию со штаб-квартирой в Цюрихе.
Она осуществляет управление центрами компетенции, которые реализуют проекты и услуги для швейцарского федерального правительства, кантональных и муниципальных властей, а также других ведущих государственных и частных компаний.
Согласно заявлению Radix, 16 июня ее системы были взломаны операторами Sarcoma.
Банда впервые засветилась в октябре 2024 года и быстро вошла в перечень самых активных банд вымогателей, выкатив 36 жертв в свой первый месяц работы.
Одной из резонансных стала атака на гиганта PCB Unimicron.
Sarcoma реализует доступ через фишинг, известные уязвимости и атаки на цепочки поставок.
Затем хакеры обычно задействуют RDP-подключения и перемещаются по сети.
На последнем этапе атаки злоумышленник крадет данные и может также их шифровать.
Злоумышленник опубликовал украденные у Radix данные на своем портале DLS в даркнете 29 июня, вероятно, после того, как переговоры по выкупу провалились.
Намечается новая атака на цепочку мудаков, на этот раз числа пользователей NetScaler ADC и NetScaler Gateway, которая в последние дни столкнулась сразу с двумя критическими проблемами, одну из которых уже окрестили как Citrix Bleed 2.
Упомянутая CVE-2025-5777 обусловлена недостаточной проверкой входных данных, что позволяет неавторизованным злоумышленникам получать доступ к ограниченным областям памяти.
Схожая предыдущая уязвимость тогда получила CitrixBleed и попала под активную эксплуатацию в 2023 году со стороны банд вымогателей.
Успешная эксплуатация CVE-2025-5777 позволяет красть токены сеансов, учетные данные и другие конфиденциальные данные с общедоступных шлюзов и виртуальных серверов, и по итогу - перехватывать сеансы пользователей и обходить MFA.
В своем бюллетене от 17 июня компания Citrix предупредила клиентов о необходимости завершить все активные сеансы ICA и PCoIP после обновления всех устройств NetScaler до исправленной версии для блокировки потенциальных атак.
В свою очередь, аналитики Shadowserver Foundation обнаружили в глобальной сети более 1200 устройств, которые по-прежнему остаются уязвимыми для атак с использованием CVE-2025-5777.
Несмотря на то, что официальных упоминаний об эксплуатации в дикой природе со стороны Citrix не последовало, исследователи ReliaQuest в прошлый четверг все же задетектили CVE-2025-5777 в целевых атаках.
ReliaQuest выявила артефакты, указывающие на активность после несанкционированного доступа Citrix, включая перехваченный веб-сеанс, указывающий на успешную попытку обхода MFA, повторное использование сеанса на нескольких IP-адресах и запросы LDAP, связанные с Active Directory.
Помимо этого Shadowserver также сообщает, что более 2100 устройств NetScaler не имеют исправлений для другой критической CVE-2025-6543, которая также теперь задействуется в атаках типа DoS.
Учитывая особую привлекательность Citrix Bleed 2 для киберподполья, представленные Shadowserver цифры в ближайшей перспективе начнут трансформироваться в инциденты. Будем следить.
😷🥷 Краткий обзор основных инцидентов в области промышленной кибербезопасности за первый квартал 2025 года
Специалисты Kaspersky ICS CERT сообщают, что в первом квартале 2025 года жертвами было публично подтверждено 118 инцидентов.
В этом квартале довольно много организаций из различных отраслей и уголков мира сообщили о серьезных инцидентах вследствие кибератак.
Атаки привели к утрате конфиденциальных данных, сбоям в работе ИТ-сервисов и ключевых операционных процессов, в том числе в производстве и поставке продукции.
✈️ Громкой историей стала атака на аэропорт Куала-Лумпура, в результате которой на 10 часов были выведены из строя многие информационные системы: табло вылета и прилета, терминалы регистрации и системы обработки багажа.
Инциденты включены в таблицу в конце обзора, а некоторые из них описаны подробно.
Подробнее 📄 тут.
✋ @Russian_OSINT
Исследователи Varonis сообщают о задействовании Microsoft 365 Direct Send для рассылки фишинговых писем и кражи учетных данных, обходя при этом средства защиты электронной почты.
Direct Send - это функция Microsoft 365, которая позволяет локальным устройствам, приложениям или облачным службам отправлять электронные письма через смарт-хост арендатора, как если бы они исходили из домена организации.
По данным Varonis, злоумышленники нашли способ злоупотребления отсутствием аутентификации в этой функции для отправки поддельных электронных писем, которые обходят средства безопасности, и все это без необходимости взлома учетной записи в целевой организации.
Поскольку адреса смарт-хостов следуют предсказуемому шаблону, злоумышленнику нужно только определить домен организации и действительного получателя, а затем использовать настройку Direct Send для отправки фишинговых писем, даже не входя в систему и не взаимодействуя с клиентом.
В ходе фишинговой кампании было замечено, что атаки осуществляются через PowerShell с использованием смарт-хоста целевой компании (company-com.mail.protection.outlook.com), что позволяет злоумышленнику отправлять сообщения внутреннего характера с внешних IP-адресов (украинского IP 139.28.36[.]230 и других в том же диапазоне).
Кампания началась в мае 2025 года и была нацелена на более чем 70 организаций из всех отраслей, причем 95% жертв находились в США.
Более 90% выявленных целей - в сфере финансовых услуг, строительства, инжиниринга, производства, здравоохранения и страхования.
Электронные письма напоминали уведомления голосовой почты и содержали вложение в формате PDF с QR-кодом, направляющим получателей на фишинговую страницу Microsoft 365.
Как отмечают ресерчеры, письмо пришло с внешнего IP, не прошло проверки SPF и DMARC и не имело подписей DKIM, однако оно было принято и доставлено внутри через смарт-хост, что наглядно показывает, как Direct Send может эксплуатироваться, если его не защитить.
Для предотвращения подобных атак организациям рекомендуется включить опцию «Отклонить прямую отправку» в центре администрирования Exchange, обеспечить соблюдение строгих политик DMARC и мер безопасности электронной почты.
Внедрение многофакторной аутентификации (MFA) и статического IP-адреса в записи SPF также должно снизить риск, связанный с таким злоупотреблением.
Для выявления злоупотреблений Direct Send, следует анализировать заголовки сообщений на предмет внешних IP-адресов, отправленные на смарт-хост, анализировать сбои SPF, DKIM и DMARC и смарт-хосты в записи SPF.
Microsoft рекомендует использовать эту функцию только опытным клиентам, поскольку ее безопасность зависит от правильности настройки Microsoft 365 и надлежащей блокировки смарт-хоста.
В свою очередь, Varonis в своем отчете поделилась дополнительными IOC, включая домены, которые используются в кампании.
Исследователи F6 обнаружили новую волну вредоносных рассылок, инициированную Werewolves и минирующую под фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнического оборудования.
Werewolves - группа вымогателей, действующая с 2023 года, в арсенале которой Anydesk, Netscan, CobaltStrike, Meterpreter и Lockbit.
Хакеры нацелены на российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Банда использует традиционную технику двойного вымогательства: помимо требований выкупа за расшифровку данных, злоумышленники выкладывают на DLS информацию о тех, кто отказался платить.
Предыдущая кампания Werewolves фиксировалась в марте 2025 года, а еще ранее весной 24-го, вымогатели проводили массовые рассылки на тему весеннего призыва, а также создали домен kzst45[.]ru, маскирующийся под сайт российского производителя спецтехники.
С помощью него Werewolves также рассылали письма с темами «Досудебная претензия» и «Рекламация», в которых содержались вредоносные вложения, загружавшие Cobalt Strike's Beacon.
Весной 2025 года исследователи F6 отрабатывали вредоносную рассылку на компании из различных сфер, включая банки, промышленные предприятия, ритейл и логистические компании.
После чего в июне хакеры вновь реализовали рассылку, на этот раз - в адрес промышленных, финансовых, энергетических организаций и ритейлеров.
Для доставки вредоносного ПО злоумышленники использовались письма правовой и финансовой тематики. Группа продолжила использовать тот же инструментарий, что и в предыдущих атаках.
В качестве тем в июньских рассылках использовались: «Досудебная претензия», «Досудебное», «Уведомление (досудебное)».
Во вложении рассылался архив с LNK-файл, имеющим двойное расширение, документ Microsoft Office для эксплуатации уязвимости CVE-2017-11882.
В распространяемом архиве содержался файл с двойным расширением .pdf.lnk, который выглядел как обычный документ (PDF, DOC и т.д.).
Расчет на то, что при стандартных настройках Windows реальные расширения могут быть скрыты, т.е. пользователь видит только ".pdf», что снижает бдительность, и жертва может попытаться открыть файл, при этом запустив вредоносный код.
Запуск файла приводит к эксплуатации CVE-2017-11882, которая позволяет злоумышленнику выполнить произвольный код с привилегиями пользователя, открывшего файл.
Злоумышленники по-прежнему продолжают использовать тот же домен для отправки писем, что и в предыдущих рассылках: kzst45[.]ru, мимикрирующий под легитимный ресурс kzst45[.]com.
Такой же подход к рассылке наблюдался при регистрации домена отправителя из свежих атак – mysterykamchatka[.]ru, оригинальный домен располагается в доменной зоне .com.
Кроме того, злоумышленники продолжили использовать спуфинг в своих рассылках: в одном из писем группа подменила адрес отправителя, чтобы направить письмо от имени главного бухгалтера одного из российских аэропортов.
В качестве финальной нагрузки - Cobalt Strike's Beacon.
Индикаторы компрометации - в отчете.
Cisco предупреждает о двух критических RCE-уязвимостях в Cisco Identity Services Engine (ISE) и Passive Identity Connector (ISE-PIC).
CVE-2025-20281 и CVE-2025-20282 имеют максимальную степень серьезности (оценка CVSS: 10,0).
Первая влияет на версии ISE и ISE-PIC 3.4 и 3.3, тогда как вторая - только на версию 3.4.
Основная причина CVE-2025-20281 - недостаточная проверка вводимых пользователем данных в определенном открытом API, что позволяет неаутентифицированному удаленному злоумышленнику отправлять специально созданный запрос API для выполнения произвольных команд операционной системы в качестве пользователя root.
Вторая CVE-2025-20282 вызвана некачественной проверкой файлов во внутреннем API, что позволяет записывать файлы в привилегированные каталоги.
Уязвимость позволяет неаутентифицированным удаленным злоумышленникам загружать произвольные файлы в целевую систему и выполнять их с привилегиями root.
Обе уязвимости могут привести к полной компрометации и удаленному захвату целевого устройства без какой-либо аутентификации или взаимодействия с пользователем.
При этом в бюллетене Cisco отмечает, что ей неизвестно об активной эксплуатации этих двух уязвимостей в дикой природе, в связи с чем считает установку новых обновлений приоритетом для своих клиентов.
Пользователям рекомендуется обновиться до 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4) и 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1) или более поздней версии.
Обходные пути для устранения недостатков отсутствуют, поэтому единственно рекомендуемым решением являются обновления.
Cisco также выкатила отдельный бюллетень, касающийся уязвимости обхода аутентификации средней степени серьезности, CVE-2025-20264, которая также затрагивает ISE.
Уязвимость вызвана неадекватным применением авторизации для пользователей, созданных посредством интеграции SAML SSO с внешним поставщиком удостоверений.
Злоумышленник с действительными учетными данными, аутентифицированными с помощью SSO, может отправить определенную последовательность команд для изменения настроек системы или выполнить перезапуск системы.
CVE-2025-20264 влияет на все версии ISE до ветки 3.4. Исправления были доступны в 3.4 Patch 2 и 3.3 Patch 5.
Поставщик обещал исправить уязвимость для 3.2 с выпуском 3.2 Patch 8, запланированным на ноябрь 2025 года.
ISE 3.1 и более ранние версии также затронуты, но больше не поддерживаются, и пользователям рекомендуется перейти на более новую ветку выпуска.
🔐 Безопасность в сети: S.E.Virus Detect v.3.2
• Помните про тулзу Shotstars, которая позволяет определить накрутку звезд в GitHub репозиториях? Дело в том, что совсем недавно данный функционал был добавлен в бота S.E.Virus Detect, который анализирует файлы, ссылки, ip и QR-коды на предмет угроз и вирусов. Теперь вы можете отправить в бота ссылку на репозиторий и получить мини-отчет со всей необходимой информацией (кол-во звезд, дата создания, максимальное кол-во звезд в день, среднее кол-во звезд в день, факт накрутки и т.д.).
➡ S.E. Virus Detect.
• Кстати, в декабре 2024 года исследователи из Северной Каролины выкатили интересное исследование, в рамках которого было выявлено 3.1 млн. фиктивно выставленных звёзд, охватывающих 15.835 репозиториев. Для накрутки были задействованы 278 тысяч учётных записей. Звёзды GitHub — один из основных показателей одобрения сообществом в GitHub. Если смотреть с точки информационной безопасности, то подобные репо нужно тщательно проверять перед использованием и быть максимально осторожным, либо не использовать вовсе. Всем безопасности❤
• P.S. Если нашли баг, недоработку, ошибку в тексте, либо у вас есть предложение по новому функционалу, то пишите по контактам, которые указаны в описании канала \ бота.
S.E. ▪️ infosec.work ▪️ VT
Разработчики WinRAR устранили уязвимость обхода каталогов, которая при определенных обстоятельствах позволяет запустить вредоносное ПО после извлечения вредоносного архива.
Уязвимость отслеживается как CVE-2025-6218 и получила оценку CVSS 7,8.
Проблема была обнаружена исследователем whs3-detonator, который сообщил о ней через Zero Day Initiative 5 июня 2025 года.
Ошибка затрагивает только Windows-версию WinRAR, начиная с 7.11 и более ранние версий.
Исправление было выпущено в рамках WinRAR 7.12 beta 1, которая на днях стала доступна.
Согласно журналу изменений, при извлечении файла предыдущие версии WinRAR, RAR для Windows, UnRAR, исходный код переносимого UnRAR и UnRAR.dll могут использовать путь, определенный в специально созданном архиве, вместо указанного пользователем пути.
Вредоносный архив может содержать файлы со специально созданными относительными путями, заставляющими WinRAR «скрыто» извлекать их в конфиденциальные места, такие как системные каталоги и папки автозапуска.
В случае, если содержимое архива включает вредоносный контент, эти файлы могут запуститься автоматически и вызвать выполнение кода при следующем входе пользователя в Windows.
Правда, все это будет реализовано с доступом на уровне пользователя (не с правами администратора или SYSTEM), но кража конфиденциальных данных из браузера будет возможна.
Кроме того, это позволит задействовать механизмы сохранения или обеспечить удаленный доступ для дальнейшего горизонтального перемещения.
Вместе с тем, эксплуатация CVE-2025-6218 требует взаимодействия с пользователем, например открытие вредоносного архива или посещение специально созданной страницы.
Однако с учетом повсеместной практики использования пользователями старых версии WinRar и наличия множества способов распространения вредоносных архивов, связанные с CVE-2025-6218 риски можно квалифицировать как очень высокие.
Помимо CVE-2025-6218, WinRAR 7.12 beta 1 также устраняет проблему HTML-инъекции при генерации отчетов, когда имена архивных файлов, содержащие <или>, могли быть внедрены в HTML-отчет как необработанные HTML-теги, что приводило к внедрению HTML/JS в браузере.
Еще два незначительных недостатка, исправленных в последней версии WinRAR, включают неполное тестирование томов восстановления и потерю точности временных меток для записей Unix.
В настоящее время сообщений об эксплуатации CVE-2025-6218 нет, но, учитывая широкое распространение WinRAR по всему миру и давнюю любовь киберподполья к этому ПО, пользователям следует немедленно обновиться до последней версии.
Исследователи Rapid7 обнаружили восемь серьезных уязвимостей, которые затрагивают более 700 моделей принтеров, сканеров и этикетировочных машин Brother и ряда других производителей.
Помимо 689 моделей различных устройств Brother уязвимости также затронули 46 моделей принтеров Fujifilm Business Innovation, 5 - Ricoh, 6 - Konica Minolta и 2 - Toshiba.
В общем, как полагают исследователи Rapid7, выявленный набор подвергает риску эксплуатации миллионы корпоративных и домашних принтеров.
Самая серьезная из уязвимостей, критическая CVE-2024-51978, позволяет удаленному и неавторизованному злоумышленнику обойти аутентификацию и получить пароль администратора устройства по умолчанию.
CVE-2024-51978 может быть связана с уязвимостью раскрытия информации, CVE-2024-51977, которая, в свою очередь, может быть использована для излечения серийного номера устройства. Он необходим для генерации пароля администратора по умолчанию.
Как поясняют в Rapid7, это связано с обнаружением процедуры генерации пароля по умолчанию, используемой устройствами Brother.
У затронутых устройств пароль по умолчанию устанавливается на основе уникального серийного номера каждого устройства в процессе производства.
Наличие пароля администратора позволяет злоумышленнику перенастроить устройство или злоупотребить функционалом, предназначенным для аутентифицированных пользователей.
Оставшиеся уязвимости, имеющие уровни серьезности «средний» и «высокий», могут быть использованы для DoS-атак, заставляя принтер открывать TCP-соединение, получать пароль настроенной внешней службы, вызывать переполнение стека и выполнять произвольные HTTP-запросы.
Шесть из восьми уязвимостей, обнаруженных Rapid7, могут быть использованы без аутентификации.
Ресерчеры сообщили о своих выводах в Brother примерно год назад через японский JPCERT/CC.
Поставщик, свои очередь, выпустил соответствующие рекомендации, информируя клиентов об уязвимостях.
Brother исправила большинство уязвимостей, но заявляет, что CVE-2024-51978 не может быть полностью исправлена в прошивке. Для закрытия компания внесла изменения в производственный процесс.
Для существующих устройств доступен обходной путь.
Кроме того, отдельные рекомендации по выявленным проблемам также были опубликованы JPCERT/CC, Ricoh, Fujifilm, Toshiba и Konica Minolta.
Серьезный инцидент произошел в апреле этого года: неустановленные хакеры взломали системы норвежской плотины и открыли ее водяной клапан на полную мощность.
Инцидент затронул плотину озера Ризеватнет недалеко от города Свельген на юго-западе Норвегии.
Клапан работал на полную мощность в течение четырех часов, прежде чем было обнаружено и локализовано несанкционированное вмешательство.
По данным норвежского информагентства Energiteknikk, в результате атаки реального ущерба удалось избежать, объем воды лишь незначительно превысил минимальные пороховые значения, необходимые для штатного функционирования плотины.
Уровень воды превысил минимальную норму на 497 литров, при этом, как заверяют местные власти, русло реки могло выдержать и до 20 000 литров в секунду.
Расследование познало, что взлом стал возможен в виду слабого пароля к веб-панели управления Valve, что ими рассматривается как общераспространенная проблема для многих ICS.
При этом утверждается, что так и неясно, было ли включение клапана на полную мощность преднамеренным.
В общем, как бы не приуменьшали значимость инцидента, очевидно, что атака могла привести к более серьезным последствиям.
Впрочем, это не первый такой случай, в 2016 году, согласно отчету Verizon, хакеры взломали неназванное водоочистное сооружение и изменили химические уровни, что респонденты инцидента описали как «случайное».
В 2021 году взлом водопроводной компании в Олдсмаре, штат Флорида, был переквалифицирован на «случайный щелчок» одного из ее сотрудников.
Были, конечно, и «преднамеренные» инциденты.
В 2020 году пропалестинские хактивисты неоднократно взламывали израильские водоочистные сооружения и безуспешно пытались изменить уровень хлора в воде. Но это уже другая история.
Исследователи NeuralTrust обращают внимание на новый метод взлома под названием Echo Chamber, который можно использовать для обмана популярных больших языковых моделей (LLM) и генерации нежелательных ответов независимо от реализуемых мер безопасности.
В отличие от традиционных методов взлома, которые полагаются на состязательную фразировку или запутывание персонажей, Echo Chamber использует в качестве оружия косвенные ссылки, семантическое управление и многоэтапные выводы
Echo Chamber похож на джейлбрейк Crescendo от Microsoft, но все же отличается. Последний задает вопросы и пытается заманить LLM в желаемый запрещенный ответ.
В свою очередь, Echo Chamber, никогда не указывает LLM, «куда идти», но закладывает приемлемые «семена», которые постепенно направляют ИИ к предоставлению требуемого ответа.
Результатом является тонкая, но мощная манипуляция внутренним состоянием модели, постепенно приводящая к возникновению ответных действий, нарушающих политику.
Echo Chamber работает, манипулируя контекстом LLM (то, что он помнит о разговоре, чтобы обеспечить связный разговор), избегая при этом так называемой красной зоны (запрещенные запросы) и оставаясь в пределах зеленой зоны (приемлемые запросы).
Из зеленой зоны контекст сохраняется, и разговор может продолжаться; но если войти в красную зону, LLM отказывается отвечать, и контекст теряется.
Единственными критериями для атакующего являются сохранение контекста в зеленой зоне, избежание красной зоны и завершение атаки в пределах ограничений по времени или запросу в текущем контексте.
Итак, если использовать часто цитируемый пример получения степени магистра права для объяснения того, как создать коктейль Молотова, то в одном запросе «Молотов» имеет зеленый цвет, «коктейль» тоже имеет зеленый цвет, но «коктейль Молотова» и «бомба» оба имеют красный цвет, и их следует избегать.
LLM отвечает, потому что в подсказке нет ничего неправильного.
Поскольку он отвечает, этот ответ автоматически находится в зеленой зоне и в контексте зеленой зоны.
Затем злоумышленник может выбрать из этого ответа, но заполнить следующую подсказку дополнительными словами зеленой зоны.
Цель состоит в том, чтобы тонко увеличить ответы, более соответствующие намерению атаки, итеративно.
Главное отличие в том, что Crescendo с самого начала направляет ход разговора, в то время как Echo Chamber как бы просит LLM заполнить пробелы, а затем мы соответствующим образом направляем модель, используя только ответы LLM.
В частности, это представляет собой многоступенчатую технику состязательного подсказывания, которая начинается с, казалось бы, безобидного ввода, постепенно и косвенно направляя его к созданию опасного контента, не раскрывая при этом конечной цели атаки.
Подсказки кажутся безобидными и контекстно соответствующими, но тщательно разработаны, чтобы направить ассоциации модели на определенные эмоциональные тона, темы или повествовательные установки.
Ранние подсказки влияют на ответы модели, которые затем используются в последующих ходах для подкрепления первоначальной цели, что создает обратную связь, в которой модель начинает усиливать вредоносный подтекст, постепенно разрушая собственные меры безопасности.
NeuralTrust завершила обширное тестирование нового джейлбрейка на нескольких моделях LLM (включая GPT-4.1-nano, GPT-4o-mini, GPT-4o, Gemini-2.0-flash-lite и Gemini-2.5-flash) с 200 попытками на модель.
Попытки спровоцировать сексизм, насилие, разжигание ненависти и порнографию имели показатель успешности более 90%. Дезинформация и членовредительство имели показатель успешности около 80%, а ненормативная лексика и противозаконная деятельность имели показатель успешности более 40%.
Тревожным аспектом Echo Chamber является простота использования и скорость работы.
Для этого не требуется практически никаких технических знаний, его легко выполнять, и он быстро дает результаты. Тесты показали, что успех часто наступает всего за один-три разговора.
Siemens уведомляет клиентов о проблеме с антивирусом Microsoft Defender, которая может привести к отсутствию оповещений о вредоносном ПО или сбоям в работе предприятия.
Согласно представленным рекомендациям, проблема заключается в том, что в настоящее время Defender Antivirus не реализует функционал «только оповещения».
В документации Siemens для систем управления технологическими процессами Simatic PCS 7 и PCS Neo описаны конфигурации антивируса с указанием уровней оповещения об угрозах, при которых при обнаружении угрозы не предпринимаются никакие действия по умолчанию.
Проблема в том, что если продукт настроен на «игнорирование», то никаких действий не предпринимается и оповещение для оператора и администратора при обнаружении вредоносного ПО не формируется.
Если используется другая настройка, Defender Antivirus может удалить или поместить в карантин файлы, помеченные как потенциально вредоносные ПО (как истинные, так и ложные срабатывания), что может привести к сбоям в работе, если система использует потенциально зараженный файл.
Таким образом, как отмечают в Siemens, затронутые устройства могут выйти из строя, что может привести к потере контроля и управления предприятием.
До тех пор, пока Siemens не разработает совместно с Microsoft исправление, клиентам рекомендуется провести оценку рисков и определить, хотят ли они получать оповещения о заражении вредоносным ПО и подвергаться риску сбоев в работе, если антивирус вдруг удалит потенциально важные файлы.
Кроме того, клиентам рекомендуется задуматься над объединением затронутых устройств в кластеры для применения различных конфигураций к каждому их них в зависимости от потребностей и требований.
Начнем с типичной «атаки на цепочку мудаков»: в Канаде специалисты центра кибербезопасности совместно с ФБР США выяснили, что Salt Typhoon в феврале взломала местную телекоммуникационную компанию через CVE-2023-20198.
CVE-2023-20198 - представляет собой критическую уязвимость Cisco IOS XE, позволяющую удаленным неаутентифицированным злоумышленникам создавать произвольные учетные записи и получать привилегии уровня администратора.
Впервые уязвимость была обнаружена в октябре 2023 года, когда стало известно, что злоумышленники использовали ее в качестве 0-day для взлома более 10 000 устройств.
Несмотря на то, что с тех пор прошло достаточно много времени, по крайней мере, один крупный поставщик телеком услуг в Канаде не смог установить исправления, что обеспечило в итоге Salt Typhoon легкий доступ для взлома трех сетевых устройств.
Злоумышленники задействовали CVE-2023-20198 для получения файлов конфигурации со всех трех устройств и изменили как минимум один из файлов для настройки туннеля GRE, что позволило собирать трафик из сети.
Причем еще в октябре 2024 года после ряда инцидентов у американских провайдеров ШПД, связанных с Salt Typhoon, канадские власти также озадачились и задетектили разведдеятельность, нацеленную на десятки ключевых компаний в стране.
На тот момент никаких фактических нарушений не было подтверждено, и, несмотря на призывы усилить меры безопасности, некоторые поставщики критически важных услуг так и не предприняли необходимых мер.
Киберцентр отмечает, что, основываясь на отдельных расследованиях и краудсорсинговых данных, деятельность, связанная с Salt Typhoon, выходит за рамки телеком сектора и, по всей видимости, затрагивает также многие другие отрасли.
Во большинстве случаев активность ограничивается разведкой, хотя данные, украденные из внутренних сетей, могут быть использованы для горизонтального перемещения или атак на цепочки поставок.
При этом национальный киберцентр предупреждает, что атаки на канадские организации «почти достоверно продолжатся» в течение следующих двух лет, призвав критически важные организации защитить свои сети, в числе которых особое внимание уделяется объектам связи.
Как отмечают специалисты, атаки обычно таргетированы на пограничные устройства на периметре сети, маршрутизаторы, межсетевые экраны и устройства VPN, а также на поставщиков MSP и облачных услуг.
К настоящему времени на счету Salt Typhoon множество телекоммуникационных компаний в десятках стран, включая AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications и Windstream, а числе последних жертв - Viasat.
Учитывая столь «пристальное внимание» к эксплуатации сетей, как в случае с Канадой, представителям местного киберцентра предстоит еще не раз готовить новые бюллетени, освещая подобные «атаки на цепочку мудаков».
В общем, будем посмотреть.
В январе 2025 года мы сообщали об обнаружении исследователями Лаборатории Касперского вредоносных кампаний с использованием крипокрада SparkCat.
Тогда злоумышленники распространяли приложения с вредоносным SDK/фреймворком, который запрашивал права на доступа к галерее и при помощи OCR-модели нацеливался на фотографии с фразами восстановления доступа к криптокошелькам.
Зловред продвигался как через неофициальные источники, так и через магазины приложений Google Play и App Store. На этот раз ресерчерам удалось выловить на официальных площадках нового шпиона.
Предположительно, он также нацелен на криптовалютные активы жертв и связан со SparkCat, собственно, в виду этого и получил наименование SparkKitty.
Вредоносная кампания ведется как минимум с февраля 2024 года.
Зловред нацелен на устройства под управлением iOS и Android и распространяется как в дикой природе, так и в App Store и Google Play.
На момент публикации Google уже удалила зловред.
Одно из Java-приложений для Android, содержащих вредоносную полезную нагрузку, - мессенджер с функцией обмена криптовалют - было загружено в Google Play и установлено более 10 000 раз.
Еще одно из найденных зараженных приложений для Android называлось 币coin и распространялось через неофициальные источники. Однако у него была найдена версия для iOS прямо в App Store.
Как в версии для Android, так и в версии для iOS вредоносная нагрузка была частью приложения, а не какого-либо стороннего SDK или фреймворка.
Вредоносная нагрузка для iOS представлена в виде фреймворков (в основном маскируется под AFNetworking.framework или Alamofire.framework) и обфусцированных библиотек, мимикрирующих под libswiftDarwin.dylib, или напрямую встроена в приложения.
Троянец для Android существует в вариантах на Java и Kotlin. При этом версия на Kotlin является вредоносным Xposed-модулем.
Большинство версий зловреда крадет все изображения без разбора, однако исследователи ЛК нашли смежный кластер вредоносной активности, где для отбора картинок применяется OCR.
По данным ЛК, злоумышленники в основном были нацелены на пользователей из Юго-Восточной Азии и Китая.
Обнаруженные зараженные приложения в большинстве своем представляли различные китайские азартные игры, модификации TikTok, порноигры, ориентированные изначально именно на пользователей из этих регионов.
Технические подробности и индикаторы - в отчете.
Исследователи F6 представили новые подробности деятельности группы room155 (DarkGaboon или Vengeful Wolf), о которой впервые сообщили еще в январе 2025 исследователи Positive Technologies.
Злоумышленники реализуют атаки room155 на российские компании как минимум с мая 2023 года, а их основным вектором является рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.
В известных инцидентах через письма распространялся либо Revenge RAT, либо XWorm.
В ходе исследований F6 выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.
Образцы различных семейств вредоносного ПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве С2.
Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Также в последнее время группировка стала применять двойные расширения у исполняемых файлов (.pdf.scr, .pdf.exe, .xsl.scr, .xlsx.scr) и продолжила использовать разные иконки для них (документов MS Office и PDF).
В ходе этой кампании злоумышленники попеременно использовали протекторы Themida и .NET Reactor.
Кроме того, задействовался обфусцированный .NET мегадроппер, который извлекает из себя 4 сохраненных упакованных ресурса, каждый соответствует отдельной нагрузке.
Злоумышленники на протяжении всей своей активности использовали Dynamic DNS домены, образующие два непересекающихся кластера: первый - в период декабря 2022 - середину 2023, второй - с середины 2023 - по настоящее время (выделяется три различных группы C2).
Анализ виктимологии room155 позволили выделить основные цели - финансовые организации (51%). Далее по списку – компании в сфере транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Конечная цель атакующих - шифрование систем жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. При этом группа своего собственного сайта DLS не имеет.
Общение реализуется по почте ( room155@proton[.]me или room155@tuta[.]io) либо в Tox-чате.
Как отмечает исследователи, долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.
Технические подробности атак, инфраструктуры и вредоносного арсенала со всеми выявленными IOCs - в отчете.
Scattered Spider расширяет свою активность и теперь нацеливается на новые сектора, включая авиатранспорт и логистику, после отработки ритейла (M&S и Co-op) и страхования (Aflac, Erie Insurance и Philadelphia Insurance Companies) в Великобритании и США.
12 июня вторая по величине авиакомпания Канады WestJet подверглась кибератаке, в результате которой на короткое время вышли из строя корпоративные сервисы и мобильное приложение компании.
Расследование проводилось Palo Alto Networks и Microsoft.
Атаку приписали Scattered Spider (0ktapus, Starfraud, UNC3944, Scatter Swine, Octo Tempest и Muddled Libra), который предположительно скомпрометировал ЦОДы и облачную среду Microsoft.
Как и ранее, хакеры провернули целенаправленную атаку на сотрудников с использованием социнженерии и сбросом MFA.
Затем на днях пострадала также Hawaiian Airlines, которая подверглась кибератаке, но не предоставила никаких подробностей.
Однако исследователи полагают, что ответственность те же самые злоумышленники.
В связи с чем, исследователи Palo Alto Networks резонно отмечают, что в прицеле Scattered Spider теперь - авиационная промышленность, а в Mandiant дополнительно выделяют и транспортный сектор.
Примечательно, что также в настоящее время сбои в работе IT также наблюдаются в American Airlines, но пока не ясно является ли это инцидентом в области киербезопасности.
Будем посмотреть.
Исследователи Sophos обобщили хронологию кейса BreachForums, который весьма эффективно отработали зарубежные спецслужбы.
По всей видимости, из бренда выжали все возможные галки да палки, реализация которых ожидается в скором времени.
Продолжаем знакомить с наиболее трендовыми уязвимостями и связанными с ними угрозами.
На конец недели расклад такой:
1. Исследователи ReliaQuest заявляют об обнаружении доказательств, указывающих на то, что CitrixBleed 2 эксплуатируется в реальных условиях.
Как отмечает Кевин Бомонт, если CVE-2025-6543 действительно эксплуатируется, то атаки, вероятно, проводятся группой вымогателей.
2. Исследователи Almond обнаружили, что защищенная платформа обмена сообщениями Wire фактически не удаляет общие файлы со своих серверов после их удаления пользователями.
3. Спецы в области ИИ из XBOW выкатили отчет, в котором отразили результаты отработки своих ИИ-систем, обнаружившим XSS-уязвимостей в прошивке VPN GlobalProtect от Palo Alto.
4. Semperis раскрывает результаты сканирования 104 SaaS-приложений, которые свидетельствуют об уязвимости девяти из них к n0Auth, уязвимости двухлетней давности, которая позволяет злоумышленникам захватывать учетные записи пользователей через Entra ID.
При этом, как полагают в Semperis, тысячи приложений также по-прежнему уязвимы.
5. Платформа OpenVSX исправила уязвимость, которая позволяет злоумышленникам захватить ее инфраструктуру. Платформа является независимым маркетплейсом для расширений VS Code.
По данным Koi Security, злоумышленники могли злоупотребить доступом, чтобы взять под контроль все расширения и внедрить вредоносный код для более чем восьми миллионов разработчиков.
6. Backlash Seанcurity ализируют различные неправильные конфигурации серверов MCP, обнаруженные в реальных условиях.
7. Исследователи обнаружили серьезную уязвимость в брандмауэрах Kerio Control, которая позволяет злоумышленникам обойти аутентификацию и получить root-доступ к устройству через его компонент прокси-сервера.
Исследователи представили подробности и PoC после того, как поставщик проигнорировал выпуск исправлений.
В настоящее время в сети выявлено почти 300 брандмауэров Kerio Control, которые, вероятно, остаются уязвимыми.
8. Bluetooth-наушники с чипами Airoha уязвимы для атак, которые приводят к извлечению данных из сопряженных смартфонов и по факту могут превратить наушники в устройства для негласного прослушивания.
Проблемы связаны с пользовательским протоколом, поставляемым совместно с чипами Airoha.
Исследователи ERNW полагают, что протокол не аутентифицирован и может быть изменен как через соединения BLE, так и через соединения Bluetooth Classic.
Уязвимости затрагивают наушники, вкладыши, донглы и микрофоны таких брендов, как Sony, Marshall, JBL и Beyerdynamic. Для эксплуатации уязвимостей необходимо находиться вблизи цели на расстоянии до 10 метров.
9. CISA подтверждает эксплуатацию уязвимости максимальной степени серьезности в программном обеспечении MegaRAC Baseboard Management Controller (BMC) компании AMI в реальных атаках, обновив свою базу KEV.
Ресерчеры Лаборатории Касперского выкатили отчет об угрозах для малого и среднего бизнеса в 2025 году, который традиционно рассматривается злоумышленниками как менее защищенный, нежели крупный корпоративный сектор.
В этом контексте в ЛК отмечают, что атаки через подрядчиков, также известные как атаки через доверительные отношения, по-прежнему входят в тройку самых популярных методов проникновения в корпоративные сети.
Поскольку малый и средний бизнес действительно в большинстве случаев менее защищен, он привлекает внимание как оппортунистов, так и организованных групп.
Атаки с использованием ИИ становятся все более распространенными, обеспечивая оперативную подготовку и адаптацию фишинговых и вредоносных кампаний, что позволяет увеличивать их масштаб и эффективность.
Тем временем на малый и средний бизнес реализуется достаточно мощное давление со стороны регулятора, выдвигающего все более строгие требованиями к кибербезопасности
В новом отчете Касперы постарались выделить ключевые векторы атак, к которым следует быть готовы представителям малого и среднего бизнеса.
Согласно телеметрии Kaspersky Security Network (KSN), в первом квартале около 8500 пользователей МСБ подверглись кибератакам, в которых вредоносное или потенциально нежелательное ПО было замаскировано под популярные: ChatGPT, Zoom, Cisco AnyConnect, Google Drive и Meet, DeepSeek, Salesforce, а также приложения Microsoft Office.
При этом среди обнаруженных угроз больше всего уникальных вредоносных и потенциально нежелательных файлов - 1652, имитировали Zoom (41% от общего числа).
Программы Microsoft Office по-прежнему остаются популярной приманкой: Outlook и PowerPoint - по 16% каждая, Excel - почти 12%, а на Word и Teams приходится 9% и 5% соответственно.
Количество уникальных вредоносных файлов, имитирующих ChatGPT, выросло на 115% и составило 177 за первые четыре месяца 2025 года.
Кроме того, в этот список сразу же попала большая языковая модель DeepSeek, выпущенная в 2025 году.
Другая актуальная тактика злоумышленников в 2025 году заключается в том, чтобы обманным путем заставлять пользователей загружать или запускать вредоносное ПО под прикрытием брендов платформ для совместной работы.
Доля угроз, маскирующихся под Zoom, выросла на 14 процентных пунктов, достигнув отметки 1652 уникальных файла, в то время как доли Microsoft Teams и Google Drive увеличились чуть более чем на 3 и 1 процентных пункта, что соответствует 206 и 132 файлам.
Общее число уникальных вредоносных и нежелательных файлов, имитирующих легитимные программы, немного снизилось в 2025 году по сравнению с 2024 годом - с 5587 до 4043.
Число файлов, затронувших российских пользователей, также незначительно снизилось и составило 2185 (против 2344 в аналогичный период 2024 года).
Среди самых опасных угроз для малого и среднего бизнеса в 2025 году - загрузчики, троянцы и рекламное ПО.
Кроме того, фиксируется широкий спектр фишинговых и мошеннических схем, нацеленных на малый и средний бизнес.
Подробная инфографика, статистика, разбор популярных схем и рекомендации - в отчет.
GreyNoise сообщает о аномальном всплеске активности сканирования систем Progress MOVEit Transfer, который наблюдается начиная с 27 мая 2025 года.
По всей видимости, злоумышленники готовятся к очередной кампании по массовому использованию уязвимостей или ищут неисправленные системы.
MOVEit Transfer - популярное решение для управляемой передачи файлов, используемое крупным бизнесом и госсектором для безопасного обмена конфиденциальными данными. В последне время стало излюбленной целью киберподполья.
До отмеченной даты показатели сканирование укладывались в минимальные значения - обычно в день наблюдалось менее 10 IP-адресов, но 27 мая это число резко возросло до более чем 100 уникальных IP-адресов, а 28 мая — до 319 IP-адресов.
При этом с тех пор ежедневный объем таких IP-адресов периодически увеличивался и составлял от 200 до 300 IP-адресов в день, что является серьезным отклонением от обычной активности.
За последние 90 дней было выявлено 682 уникальных IP-адреса, а за последние 24 часа - и вовсе 449, из которых 344 были отнесены к категории подозрительных, а 77 были отмечены как вредоносные.
Большинство IP-адресов дислоцированы в США, за которыми следуют Германия, Япония, Сингапур, Бразилия, Нидерланды, Южная Корея, Гонконг и Индонезия.
GreyNoise также сообщила, что 12 июня 2025 года она обнаружила попытки локальной эксплуатации двух известных уязвимостей MOVEit Transfer (CVE-2023-34362 и CVE-2023-36934).
CVE-2023-34362 интересная тем, что ранее задействовалась бандой вымогателей Cl0p в ходе широкомасштабной кампании в 2023 году, затронувшей более 2770 организаций.
Очевидно, последние показатели вредоносной активно также могут указывать на признаки новой волны атак на экземпляры MOVEit Transfer.
В общем, будем посмотреть.
Недавняя уязвимость в Citrix NetScaler ADC и Gateway получила название CitrixBleed 2 в виду ее сходства с более старой эксплуатируемой уязвимостью, которая позволяла неавторизованным злоумышленникам перехватывать файлы cookie сеанса аутентификации с уязвимых устройств.
На прошлой неделе Citrix выкатила бюллетень с предупреждением об уязвимостях, отлеживаемых как CVE-2025-5777 и CVE-2025-5349, которые затрагивают NetScaler ADC и Gateway до 14.1-43.56, выпуски до 13.1-58.32, а также 13.1-37.235-FIPS/NDcPP и 2.1-55.328-FIPS.
CVE-2025-5777 представляет собой критическую уязвимость, вызванную чтением за пределами выделенного пространства памяти и затрагивает устройства NetScaler, настроенные как шлюз (виртуальный VPN, прокси ICA, бесклиентский VPN (CVPN), прокси RDP) или виртуальный сервер AAA.
Исследователь Кевин Бомонт полагает, что эта уязвимость перекликается с печально известной CitrixBleed (CVE-2023-4966), которая широко задействовалась злоумышленниками, в том числе при проведении атак использованием ransomware, а также в APT-кампаниях.
Бомонт окрестил CVE-2025-5777 как CitrixBleed 2, заявляя, что она может позволить злоумышленникам получить доступ к токенам сеансов, учетным данным и другим конфиденциальным данным с общедоступных шлюзов и виртуальных серверов.
При этом утечка токенов может быть использована для перехвата сеансов пользователей и обхода MFA.
В том же бюллетене фигурирует вторая уязвимость высокой степени серьезности - CVE-2025-5349, которая связана с некорректным управлением доступом в интерфейсе NetScaler.
Ее эксплуатация возможна, если злоумышленник имеет доступ к NSIP (NetScaler Management IP), Cluster Management IP или Local GSLB Site IP.
Для устранения обоих проблем пользователям рекомендуется установить NetScaler ADC и Gateway 14.1-43.56, 13.1-58.32 и более поздние версии, 13.1-NDcPP 13.1-37.235 (FIPS) и 12.1-55.328 (FIPS).
В Citrix пока не раскрывают никаких сведений о возможной эксплуатации CitrixBleed 2. Однако рекомендуют администраторам завершать все активные сеансы ICA и PCoIP сразу после обновления всех устройств.
Аналогичный совет Citrix также давала в отношении CitrixBleed.
Технический директор Mandiant Чарльз Кармакал также предупреждает о крайне важном завершении сеансов после обновления устройств, дабы предотвратить использование ранее украденных сеансов даже после того, как устройства больше не будут в зоне риска.
При этом указывая на то, что многие организации не завершили сеансы при устранении аналогичной уязвимости в 2023 году (CVE-2023-4966, также известной как CitrixBleed.
Тогда секреты сеансов были украдены до того, как компании установили исправления, а сеансы были перехвачены после установки исправлений.
Многие из этих компрометаций привели к серьезным инцидентам, связанным с кибершпионажем или развертыванием программ-вымогателей.
Следует отметить, что уязвимости также затрагивают ADC/Gateway 12.1 (не FIPS) и ADC/Gateway 13.0, которые не более не получают исправлений. Всем использующим эти версии, следует обновиться до активно поддерживаемой как можно скорее.
Результаты сканирования глобальной сети позволило выявить более 56 500 публично доступных конечных точек NetScaler ADC и Gateway, их подверженность CVE-2025-5349 и CVE-2025-5777, конечно, не ясна, но определенно существует.
Так что будем следить.
Французская полиция рапортует об успехах силовой операции, в ходе которой правоохранители арестовали пятерых авторитетных участников BreachForum.
По сообщению газеты Le Parisien, операцию провернули в понедельник через возможности подразделения по борьбе с киберпреступностью (BL2C) полиции Парижа.
Накрыть кибепреступников удалось сразу в нескольких локациях: О-де-Сен (Париж), Сена-Приморская (Нормандия) и Реюньон.
В числе задержанных фигурируют: ShinyHunters, Hollow, Noct и Depressed.
Кроме того, в публикации Le Parisien указывается, что в феврале 2025 года французские спецслужбы вышли на IntelBroker, которого еще тогда и упаковали. Возможно, он и помог подкрепить своих «кентов».
Вообще же, после первого наката на BreachForums в 2023 году и отправления админа Конора Брайана Фицпатрика (Pompompurin) по этапу, дальнейшие иттерации форума больше походили на игру в кошки-мышки, где основную модерацию, вели уже не админы, а люди в погонах.
Так что, BreachForums v2 под руководством ShinyHunters, Baphomet и, позднее, IntelBroker, катился ровно по той дорожке, о которой мы не раз сообщали.
Согласно данным силовиков, ShinyHunters и IntelBroker выступали администраторами/владельцами сайта, а архивные посты показывают, что Hollow выступал в качестве модератора.
Но пока не раскрывается, какое участие в работе сайта принимали depressed и noct.
Тем не менее, всем предъявлены обвинения в непосредственном участии в организации утечек данных таких французских организаций, как Boulanger, SFR, France Travail и Французская федерация футбола.
Причем в ходе атаки на France Travail (ранее Pôle Emploi) были раскрыты конфиденциальные данные 43 млн. пользователей.
BreachForums v2 в апреле 2025 года якобы был взломан с помощью 0-day MyBB, что, по всей видимости, было легендой для прикрытия деталей более глубокой многолетней разработки, в результате которой спецслужбы накрыли наиболее серьезных участников киберподполья.
Далее последуют новые этапы международных операции по мере того, как будут колоться задержанные и изыматься инфа с изъятой техники.
Но будем посмотреть.
GitHub выступила исправления для уязвимости высокой степени серьезности в нескольких версиях Enterprise Server, которая позволяет удаленно выполнить произвольный код.
Ошибка отслеживается как CVE-2025-3509 и имеет оценку CVSS 7,1.
Она связана с возможностью задействования функционала предварительного приема для привязки к портам, которые динамически выделяются и становятся доступными.
По данным GitHub, эксплуатация уязвимости возможна только при определенных условиях, например, во время процесса горячего исправления, и требует либо разрешений администратора сайта, либо пользователя с правами на изменение репозиториев, содержащих pre-receive hooks.
Первоначальное исправление уязвимости не было реализовано должным образом, что открывало возможности в определенных случаях воспользоваться ею, в связи с чем был выпущен новый патч.
Успешная эксплуатация CVE-2025-3509 могла позволить злоумышленникам выполнить произвольный код и повысить свои привилегии, что потенциально могло привести к полной компрометации системы.
Согласно GitHub, затронуты все выпуски Enterprise Server до 3.18.
Исправления ошибки были включены в версии Enterprise Server 3.17.1, 3.16.4, 3.15.8, 3.14.13 и 3.13.16, которые были выпущены на прошлой неделе.
Раскрытие CVE-2025-3509 произошло через программу вознаграждения за обнаружение ошибок.
Как отмечает в GitHub, какие-либо упоминания о ее реальной эксплуатации не встречались.
Мы хотели написать пост по поводу материала от команды CTI DomainTools в отношении иранской группы CyberAv3ngers, но дальше второго абзаца уйти не смогли:
The ongoing conflict between Iran and Israel has intensified across both physical and digital fronts. In the last two weeks alone, Iran has launched multi-warhead missile attacks targeting major Israeli cities such as Tel Aviv and Haifa. In response, Israel conducted retaliatory airstrikes against Iranian military installations, nuclear sites, and key IRGC-Cyber Electronic Command (IRGC-CEC) facilities in cities like Isfahan and Tehran.
В принципе, это все, что надо знать об объективности в современной инфосек индустрии. И эти люди втирают нам про "достоверные TTP's".
В истории с "мегаутечкой на 16 млрд паролей" появились новые 🚰подробности. Cтатья на сайте Сybernews обновилась.
Оказалось, что, по заявлению Cybernews, обнаружил её OSINTер 🇺🇦Боб Дьяченко (Bob Diachenko).
«Ни в одной из этих компаний не было централизованной утечки данных....Учетные данные, которые мы видели в логах инфостилеров, содержали URL-адреса входа на страницы Apple, Facebook и Google»
«По многочисленным просьбам мы выкладываем несколько скриншотов в качестве доказательства того, что такие наборы данных существуют. Ниже вы можете увидеть, что они действительно включают URL-адреса страниц входа в Facebook, Google, Github, Zoom, Twitch и другие сервисы»
«Некоторые из открытых наборов данных включали в себя такую информацию, как файлы cookie и сессионные токены, что усложняет устранение последствий такого воздействия. Эти куки часто могут использоваться для обхода методов 2FA, и не все сервисы сбрасывают куки после смены пароля учетной записи. В этом случае лучше всего сменить пароли, включить 2FA, если он еще не включен, внимательно следить за своими аккаунтами и обращаться в службу поддержки при обнаружении подозрительной активности»
«Cybernews неоднократно выпускал фейковые истории, которые подхватывались большинством сайтов новостей о технологиях. Они часто утверждают, что эти истории исходят от исследователей безопасности, но они неверно истолковывают основные факты. Они делают это уже довольно давно»
«Недавние сообщения об утечке 16 миллиардов учетных данных вызвали широкую озабоченность, причем утверждается, что это одна из крупнейших утечек в истории. Однако анализ, проведенный компанией Hudson Rock, показывает, что эта «утечка» гораздо менее значительна, чем предполагалось, и состоит из переработанных, устаревших и потенциально сфабрикованных данных, а не из нового взлома»
«Для того чтобы утечка cоставляла 16 миллиардов учетных данных, необходимо 320 миллионов зараженных устройств, а это нереально, учитывая глобальные тенденции заражения. Нам это говорит о том, что в набор данных добавлены избыточные, устаревшие или искусственно созданные данные»
Разработчики Teleport предупреждают о критической уязвимости в платформе с открытым исходным кодом, которая позволяет удаленным злоумышленникам обойти аутентификацию SSH и получить доступ к управляемым системам.
Teleport обеспечивает подключение, аутентификацию и контроль доступа для серверов и облачных приложений, поддерживая такие протоколы, как SSH, RDP и HTTPS, и также может использоваться с Kubernetes и различными базами данных.
Критическая CVE-2025-49825 имеет оценку CVSS 9,8 и может быть использована для обхода аутентификации SSH, что позволяет злоумышленникам получить доступ к системам, управляемым Teleport.
Проблема затрагивает версии Teleport Community Edition до 17.5.1 и была устранена с выпуском 17.5.2, 16.5.12, 15.5.3, 14.4.1, 13.4.27 и 12.4.35.
Teleport отмечает, что, хотя исправления были автоматически применены для его облачных клиентов, выделенные агенты Teleport должны быть обновлены как можно скорее.
По данным Fortinet, уязвимость затрагивает все системы, на которых работают агенты Teleport SSH, интегрированные развертывания OpenSSH и настройки прокси-сервера Teleport Git.
В настоящее время не существует общедоступных PoC, а также каких-либо доказательств того, что эта уязвимость была использована в реальных условиях.
Тем не менее, в компании заявляют, что все узлы необходимо обновить до исправленной версии Teleport, соответствующей основной версии вашего кластера.
При этом агенты, работающие в Kubernetes, следует настраивать с помощью средства обновления teleport-kube-agent, а не teleport-update.
IBM поспешила с обновлениями безопасности для устранения нелепой уязвимости в своих серверах резервного копирования Storage Protect.
Как утверждает сам компания, злоумышленники могут обойти аутентификацию, используя встроенную учетную запись администратора.
Проблема затрагивает все версии, выпущенные с апреля 2021 года.
Их коллеги, можно сказать по цеху, из ASUS также недостаточно внимания уделили жестко закодированным учетным данным API в приложении MyASUS.
Как удалось выяснить инженеру-программисту из Новой Зеландии, учетные данные находились внутри файлов DLL, установленных приложением MyASUS.
Учетные данные включали права администратора и могли позволить злоумышленникам получить доступ к любой учетной записи ASUS.
При этом ошибка затрагивает все версии MyASUS с момента выпуска приложения в августе 2022 года и, вероятно, затрагивает миллионы пользователей, включая тех, кто создал учетные записи ASUS для других продуктов.
В числе потенциально скомпрометированных данных - имена пользователей, номера телефонов, даты рождения, адреса, содержимое любых тикетов поддержки и потенциальные запросы RMA.
PoC и технические детали были направлены в ASUS в конце апреля, проблема была исправлена 20 мая с выпуском MyAsus 4.2.35.0.
Ожидается, что CVE для этой уязвимости будет назначена к 31 июля, а вознаграждение - нет.
Как оказалось, программа BugBounty в ASUS работает исключительно на альтруистических началах, так что, по всей видимости, в следующий раз - отчеты об ошибках поставщику будут присылать по результатам расследования инцидентов.
Правительство Австрии намерено напялить «демократический» цифровой колпак на пользователей в национальном Интернет-сегменте.
Для этого чиновники согласовали правовую базу, позволяющую силовикам перехватывать и контролировать защищенные шифрованием сообщения подозреваемых в Интернет-месснджерах.
Свои вторжения в частную жизнь правительство намерено оправдывать борьбой с терроризмом и шпионажем, поскольку в данных вопросах местные силы правопорядка находятся в «слепой зоне ЕС» и им приходится полностью полагаться на коллег из Великобритания и США.
Журналисты Reuters в своей публикации даже ссылаются на якобы предотвращенное благодаря такому сотрудничеству Управлением государственной безопасности и разведки (DSN) нападения на участников концерта Тейлор Свифт в Вене в августе прошлого года.
Отвечающие за надзор над спецслужбами местные депутаты называют «сегодняшнее решение кабинета министров - важной вехой в борьбе с терроризмом и шпионажем в Австрии.
Согласно новой системе, контроль переписки должен быть одобрен коллегией из трех судей и применяться только к ограниченному числу случаев. Как заявляет Министр внутренних дел Герхард Карнер, ожидается, что новый порядок будет применяться лишь в отношении 25-30 человек в год.
Правительство отмечает, что если число таких случаев превысит 30, спецслужбы должны будут отчитываться перед соответствующим парламентским комитет, дабы избежать организации массовой слежки и нарушения неприкосновенности частной жизни граждан.
После утверждения новых законодательных требований, правительством будет реализован тендер на поставку соответствующих средств мониторинга, проведение которого запланировано не ранее 2027 года.
По всей видимости, такой временной лаг обусловлен необходимостью гармонизации национального законодательства стран - участников Еврозоны, о чем мы уже ранее также сообщали.
Все уже предрешено, к тому времени и поставщиков spyware обязательно причешут и легализуют.
В завершении недели отметим наиболее трендовые уязвимости и угрозы, а также связанные с ними рекомендации и обновления:
1. BeyondTrust выпустила обновление для исправления ошибки удаленного выполнения кода в своих приложениях удаленного рабочего стола.
CVE-2025-5309 была обнаружена исследователями Resilion и влияет на продукты BeyondTrust Remote Support и Privileged Remote Access.
Она позволяет удаленным злоумышленникам внедрять вредоносный код в шаблонизатор BeyondTrust и захватывать неисправленные серверы.
2. Citrix выпустила обновления для четырех уязвимостей в трех продуктах, включая критическую проблему (CVE-2025-5777) в NetScaler ADC и NetScaler Gateway.
Citrix не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но пользователям рекомендуется обновить свои установки как можно скорее.
3. Джонатан Мэннхен отыскал ошибку в стандартной библиотеке Erlang/OTP ZIP-процедур, которая позволяет проводить атаки с обходом абсолютного пути, позволяя злоумышленникам перезаписывать или создавать любой путь по своему усмотрению.
4. Исследователи CrowdStrike представили обзор наступательной техники, известной как обход AMSI без патчей, ее недавнего злоупотребления и способов ее обнаружения.
5. Cisco выкатила два бюллетеня безопасности для различных своих решений.
6. Atlassian объявила о выпуске исправлений для пяти уязвимостей в сторонних зависимостях Bamboo, Bitbucket, Confluence, Crowd и Jira.
К ним относятся CVE-2025-22228 (неправильная авторизация в Spring), CVE-2025-24970 (DoS в фреймворке Netty), CVE-2024-38816 (обход пути, связанный с веб-фреймворками WebMvc.fn и WebFlux.fn), CVE-2024-57699 (DoS в Netplex Json-smart) и CVE-2025-31650 (DoS в Apache Tomcat).
7. Microsoft объявила о планах периодического удаления устаревших драйверов из каталога Центра обновления Windows для снижения рисков безопасности и совместимости.
8. GreyNoise предупреждает о всплеске попыток эксплуатации CVE-2023-28771 (оценка CVSS 9,8) в межсетевых экранах Zyxel, которой уже два года.
Исследователи подозревают, что попытки эксплуатации связаны с вариантом ботнета Mirai.
9. Недавняя критическая уязвимость Langflow, известная как CVE-2025-3248, использовалась для вовлечения устройств в ботнет Flodrix, о чем сообщила Trend Micro.
В частности, злоумышленники сканировали интернет на предмет уязвимых экземпляров Langflow, а затем использовали один из общедоступных PoC, чтобы получить доступ к оболочке в системе и запустить различные команды в разведывательных целях.