39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи из Лаборатории Касперского рассказали о результатах своего расследования инцидента, жертвой которого стал блокчейн-разработчик из России.
Как оказалось, фейковое расширение для редактора кода Cursor AI IDE заражало устройства инструментами удаленного доступа и инфостилерами, что в случае с упомянутым разрабом привело к краже у него криптовалюты на 500 000 долл.
Cursor AI IDE представляет собой среду разработки с ИИ, основанную на Visual Studio Code от Microsoft.
Она включает поддержку Open VSX, альтернативы Visual Studio Marketplace, что позволяет устанавливать совместимые с VSCode расширения для расширения функциональности ПО.
Примечателоьно, что ОС жертвы была установлена всего за несколько дней до инцидента. На зараженное устройство были загружены лишь самые необходимые и популярные программы.
Но, как сообщается, не было установлено антивирусное ПО, использовались бесплатные онлайн-сервисы.
Получив образ жесткого диска устройства и, проанализировав его, исследователи ЛК обнаружили вредоносный JavaScript-файл с именем extension.js, расположенный в каталоге .cursor/extensions.
Расширение получило название Solidity Language и было опубликовано в реестре Open VSX. Заявлено, что это инструмент подсветки синтаксиса для работы со смарт-контрактами Ethereum.
Несмотря на то, что плагин выдавал себя за легитимное расширение подсветки синтаксиса Solidity, на самом деле выполнял скрипт PowerShell с удаленного хоста angelic[.]su для загрузки дополнительных вредоносных полезных данных.
Удаленный скрипт PowerShell проверял, установлен ли уже ScreenConnect, и, если нет, запускал другой скрипт для его установки.
После этого злоумышленники получили полный удалённый доступ к компьютеру разработчика.
Используя ScreenConnect, загрузили и выполнили файлы VBScript, которые использовались для загрузки дополнительных полезных данных на устройство.
Последний скрипт атаки загружал вредоносный исполняемый файл с archive[.]org, содержащий загрузчик, известный как VMDetector, который устанавливал: Quasar RAT (способный выполнять команды на устройствах) и стиллер PureLogs (крадет учетные данные и файлы cookie аутентификации из веб-браузеров, а также данные криптокошельков).
По данным Лаборатории Касперского, Open VSX показал, что расширение было загружено 54 000 раз, прежде чем оно было удалено 2 июля.
Однако исследователи полагают, что число установок было искусственно завышено, чтобы придать ему видимость легитимности.
Днем позже злоумышленники опубликовали практически идентичную версию под названием solidity, увеличив количество установок этого расширения почти до двух миллионов.
Злоумышленники смогли повысить рейтинг своего расширения выше легитимного в результатах поиска Open VSX, обойдя алгоритм и резко завысив количество установок, что и побудило жертву установить вредоносное расширение, приняв его за легитимное.
Исследователи также обнаружили схожие расширения в магазине Microsoft Visual Studio Code под под названиями solaibot, among-eth и blankebesxstnion, которые также запускали скрипт PowerShell для установки ScreenConnect и инфостилеров.
Таким образом, в ЛК настоятельно рекомендуют разработчикам с осторожностью загружать пакеты и расширения из открытых репозиториев, которые в последнее время все чаще становятся источниками заражения вредоносным ПО.
Вредоносные opensource-пакеты продолжают представлять серьёзную угрозу для криптоиндустрии и до сих пор остаются для злоумышленников привлекательным способом заработка, ведь ногие проекты сегодня полагаются на инструменты с открытым исходным кодом.
Исследователи Binarly предупреждают об уязвимостях [1, 2, 3, 4], затрагивающих несколько реализаций прошивки Gigabyte, которые позволяют злоумышленникам отключать механизмы безопасности UEFI и получать контроль над уязвимыми системами.
Проблемы были обнаружены в режиме управления системой (SMM) - высокопривилегированном режиме ЦП, который обрабатывает низкоуровневые системные операции, позволяя UEFI напрямую взаимодействовать с оборудованием.
Операции SMM выполняются в защищенной памяти и доступны только через обработчики прерываний системного управления (SMI), которые используют определенные буферы для обработки данных.
Как отмечают в CERT (CERT/CC) Университета Карнеги-Меллона, ненадлежащая проверка этих буферов открывает злоумышленникам возможности выполнить произвольный код до загрузки ОС, а модули UEFI в прошивке Gigabyte делают системы уязвимыми для таких атак.
Злоумышленник может воспользоваться одной или несколькими из уязвимостей для повышения привилегий и выполнения произвольного кода в среде SMM процессора с поддержкой UEFI.
Первоначально проблемы были обнаружены в прошивке AMI, и производитель ранее устранил их с помощью конфиденциальных сообщений.
Однако теперь они вновь обнаружены в прошивке Gigabyte, и, как сообщается, затрагивают десятки продуктов.
CVE-2025-7026, CVE-2025-7027, CVE-2025-7028 и CVE-2025-7029 позволяют записывать данные в указанную злоумышленником память, записывать произвольное содержимое в SMRAM и управлять критически важными операциями флэш-памяти.
Злоумышленник с локальными или удаленными правами администратора может воспользоваться этими уязвимостями для выполнения произвольного кода в режиме управления системой (кольцо 2), обходя защиту на уровне ОС.
Успешная эксплуатация позволит отключить механизмы безопасности UEFI, включая безопасную загрузку, и внедрить бэкдоры или импланты прошивки, получив постоянный контроль над системой.
Такие импланты не будут обнаружены традиционными средствами защиты конечных точек, поскольку SMM работает на более низком уровне, чем ОС.
Как полагают исследователи Binarly, уязвимости также могут быть использованы для обхода некоторых типов изоляции памяти гипервизоров.
Gigabyte признала наличие уязвимостей месяц назад и выпустила обновления прошивки для устранения проблем.
Пользователям следует мониторить обновления на сайте безопасности производителя.
Исследователи Trellix сообщают о новых атаках связанной с Индией APT DoNot Team (APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger), нацеленных на структуры МИД Европы с помощью вредоносного ПО под названием LoptikMod с целью кибершпионажа.
DoNot APT действует с 2016 года и известна использованием вредоносного ПО для Windows, в том числе бэкдоров, таких как YTY и GEdit, которые часто распространяются через фишинговые письма или вредоносные документы.
Группа обычно таргетируется на государственные структуры, министерства иностранных дел, оборонные организации и НПО, преимущественно в Южной Азии и Европе.
Цепочка атак начинается с фишинговых писем, цель которых - заставить получателей нажать на ссылку Google Drive для загрузки RAR-архива, открывая путь для развертывания LoptikMod, которое использовалось группировкой с 2018 года.
По данным Trellix, для рассылки сообщении задействуются с адреса Gmail, мимикрирующие под должностных лиц министерства обороны, а в теме письма упоминается визит итальянского военного атташе в Дакку, Бангладеш.
Для повышения легитимности особое внимание уделяется к деталям: в одном из писем применялось форматирование HTML с кодировкой UTF-8 для правильного отображения специальных символов, таких как «é» в слове «Attaché».
Архив RAR, распространяемый по электронной почте, содержит вредоносный исполняемый файл, имитирующий PDF-документ, открытие которого приводит к запуску трояна удаленного доступа LoptikMod.
Закрепление на хосте реализуется с помощью запланированных задач.
Он подключается к удаленному серверу для отправки системной информации, получения дополнительных команд, загрузки модулей и кражи данных.
LoptikMod также использует обфускацию ASCII-кода, затрудняя выполнение в виртуальных средах и обеспечивая уклонение от анализа, что значительно осложняет определение назначения инструмента.
Более того, злоумышленник обеспечивает работу в скомпрометированной системе лишь одного экземпляра вредоносного ПО.
На момент исследования Trellix сервер C2, использовавшийся в этой кампании, был неактивен, в связи с чем изучить точный набор передаваемых команд на зараженные конечные точки и возвращаемых в качестве ответов данных не представилось возможным.
По всей видимости, инфраструктура либо временно отключена, либо злоумышленник переехал на совершенно иной сервер.
Тем не менее, APT-операции DoNot характеризуются долгосрочным доступом и кражей данных, а основная активность сфокусирована на Южной Азии, включая Пакистан, Шри-Ланка и Бангладеш.
Новый инцидент затрагивает теперь Европу, что свидетельствует о явном расширении их развединтересов на европейском направлении.
Хотя как отмечают в Trellix, DoNot APT в единичных случая нападал на европейцев: в 2016 году их жертвами становились ряд британских компаний и телеком-оператор в Норвегии.
Однако по результатам нового расследования можно констатировать эскалацию угрозы, о чем свидетельствует первое задокументированное использование LoptikMod в отношении европейского госсектора.
Как полагают исследователи, APT реализует переход от конъюнктурных атак к полноформатному сбору дипломатической информации, что указывает на расширение их оперативных возможностей и соответственно разведзадач со стороны кураторов.
Но будем посмотреть.
Группа исследователей из Университета Торонто реализовали практическую демонстрацию GPUHammer - атаку Rowhammer на графические процессоры, которая приводит к снижению точности моделей машинного обучения, доказав возможность и осуществимость подобных атак.
Метод атаки Rowhammer известен уже более десяти лет.
Он заключается в многократном доступе (или «ударе») к строке памяти DRAM, что может вызвать электрические помехи, приводящие к инвертированию битов в соседних областях.
За прошедшие годы исследователи продемонстрировали, что атаки Rowhammer могут привести к повышению привилегий, несанкционированному доступу к данным, повреждению данных и нарушению изоляции памяти (в виртуализированных средах).
Однако до сих пор атаки Rowhammer были сосредоточены на центральных процессорах и памяти на их основе.
Однако исследователи из Университета Торонто решили проверить, можно ли проводить подобные атаки в отношении графических процессоров, особенно в свете их растущего использования в системах ИИ и машинного обучения.
По итогу им удалось успешно реализовать атаку Rowhammer на память GDDR6 в графическом процессоре NVIDIA A6000.
Они смогли оценить влияние GPUHammer на модели машинного обучения на основе глубоких нейронных сетей (DNN), в частности, на модели ImageNet, используемых для распознавания визуальных объектов.
Тесты показали, что изменение одного бита может привести к снижению точности модели машинного обучения с 80% до 0,1%.
В опубликованном бюллетене Nvidia подтвердила результаты исследования и сообщила клиентам, что системный код коррекции ошибок (ECC) - известный способ защиты от Rowhammer - может предотвратить атаки.
Производитель графических процессоров поделился конкретными инструкциями для различных продуктов.
Однако исследователи отмечают, что включение ECC снижает роизводительность и объем памяти.
Кроме того, исследователи заявили, что их PoC потенциально можно модифицировать и под другие графические процессоры на базе архитектуры Ampere от Nvidia.
Правда тесты на других графических процессорах, как утверждают исследователи, в отличие от центральных, где модули DRAM можно легко заменить, в графических процессорах они впаяны, что делает подобные тесты весьма накладными.
Исследователи разработали специализированный сайт для GPUHammer и представили статью с изложением всех своих выводов.
Исследователи Huntress предупреждают начале масштабной эксплуатации недавно обнаруженной критической уязвимости, затрагивающей FTP-сервер Wing.
Уязвимость отслеживается как CVE-2025-47812 и получила максимальную оценку CVSS: 10,0.
Ошибка связана с некорректной обработкой нулевых байтов ('\0') в веб-интерфейсе сервера, что реализует RCE. Устранена в версии 7.4.4.
Веб-интерфейсы пользователя и администратора неправильно обрабатывают байты '\0', что в конечном итоге позволяет внедрять произвольный код Lua в файлы сеансов пользователя, что может привести к выполнению произвольных системных команд с привилегиями FTP-сервиса (по умолчанию root или SYSTEM).
Ещё более тревожным является тот факт, что уязвимость можно эксплуатировать через анонимные FTP-аккаунты.
Подробный технический анализ уязвимости был опубликован в конце июня 2025 года исследователем RCE Security Джулиену Аренсу.
В свою очередь, исследователи Huntress обнаружили, что злоумышленники задействуют уязвимость для загрузки и выполнения вредоносных файлов Lua, проведения разведки и установки ПО для удаленного мониторинга и управления.
Поскольку CVE-2025-47812 связана с обработкой нулевых байтов в параметре имени пользователя (в частности, в loginok.html, отвечающим за аутентификацию), это позволяет удалённым злоумышленникам выполнить Lua-инъекцию после использования нулевого байта в параметре имени пользователя.
Воспользовавшись внедрением нулевого байта, злоумышленник нарушает ожидаемый ввод в файле Lua, в котором хранятся эти характеристики сеанса.
Артефакты активной эксплуатации были впервые обнаружены у одного из клиентов 1 июля 2025 года, всего через день после раскрытия подробностей об эксплойте.
Получив доступ, злоумышленники выполнили команды сканирования и разведки, создали новых пользователей для обеспечения персистентности и загрузили файлы Lua для установки ScreenConnect.
Атаку удалось оперативно вскрыть и нейтрализовать, избежав её дальнейшего развития.
Кто стоит за этой активностью пока неясно.
По данным Censys, в сети присутствует почти 8103 общедоступных устройств, использующих Wing FTP Server, из которых 5004 имеют открытый веб-интерфейс.
Большинство устройств расположены в США, Китае, Германии, Великобритании и Индии.
В связи с активной эксплуатацией уязвимости пользователям необходимо как можно скорее установить последние исправления и обновить свои FTP-серверы Wing до версии 7.4.4 или более поздней.
🤫 Секреты...
• Два месяца назад GitHub опубликовали интересный отчет о выявленных утечках конфиденциальных данных (ключи шифрования, пароли к СУБД и токены доступа к API) за 2024 год. В общем итоге было выявлено более 39 миллионов случаев подобных утечек.
• Как правило, конфиденциальные данные оставляют в коде по недосмотру. Например, в репозиторий попадают файлы конфигурации с паролями к СУБД, а также прописанные в коде токены или ключи доступа к API, которые часто добавляют в процессе тестирования, но забывают удалить перед сохранением изменений в Git или не учитывают, что они могут остаться в сопутствующих файлах с ресурсами (например, могут остаться в предкомпилированном файле с байткодом, несмотря на удаление в исходном коде).
➡ https://github.blog/next-evolution-github-advanced-security
• Напомню, что на эту тему есть хорошая статья на хабре, где автор восстанавливал удаленные файлы в GitHub репозиториях, находил недостижимые объекты, распаковывал .pack - файлы и находил API-ключи, активные токены и учетки. А когда он сообщил компаниям об утечках, заработал более $64 тыс. на баг-баунти.
➡️ https://habr.com/ru/post/916752
• В дополнение: grep.app и code-search — инструменты, которые предназначены для поиска по тексту и коду, с удобным интерфейсом для поиска в публичных репо. Эти тулзы будут полезны не только разработчикам, но и помогут в защите от утечек данных! Основные возможности следующие:
➡Поиск по публичным репозиториям;
➡Поддержка регулярных выражений;
➡Фильтрация по языкам программирования;
➡Поиск с учетом регистра;
➡Оптимизация для быстрого поиска.
➡ https://grep.app
➡ https://github.com/features/code-search
S.E. ▪️ infosec.work ▪️ VT
Подошли новости об уходе с рынка ransomware банды вымогателей Satanlock, которая заявила об этом на своем DLS, обещая раскрыть украденные данные всех своих жертв.
Причину закрытия группировка не назвала. Satanlock стартовала в начале апреля, за время работы ей удалось наработать более 70 жертв, по крайней мере, так заявлялось самими хакерами.
Команда исследователей из Технического университета Вены и Университета Байройта (Филипп Бир, Марко Скварчина, Себастьян Рот, Мартина Линдорфер) разработала новый метод tapjacking, который будет представлен на предстоящем симпозиуме USENIX.
В отличие от традиционного тапджекинга с использованием оверлея, атаки TapTrap задействуют анимацию пользовательского интерфейса для обхода системы разрешений Android, получения доступа к конфиденциальным данным или инициирования определенных действий.
TapTrap злоупотребляет способом обработки переходов активности Android с помощью специальных анимаций, создавая визуальное несоответствие между тем, что видит пользователь, и тем, что фактически регистрирует устройство.
Вредоносное приложение, установленное на целевом устройстве, запускает конфиденциальный системный экран (запрос на разрешение, системные настройки и т.д.) из другого приложения, используя startActivity() с пользовательской анимацией с низкой непрозрачностью.
Ключом к эффективности TapTrap является использование анимации, которая делает целевую активность практически невидимой.
Этого можно добиться, определив пользовательскую анимацию с начальной и конечной непрозрачностью (альфа), установленной на низкое значение, например 0,01, что делает вредоносную или опасную активность почти полностью прозрачной.
При желании можно применить анимацию масштабирования для увеличения масштаба определенного элемента пользовательского интерфейса (например, кнопки разрешения), чтобы он занимал весь экран и увеличивал вероятность того, что пользователь нажмет на него.
Несмотря на то, что запущенное приглашение получает все сенсорные события, пользователь видит только базовое приложение, отображающее собственные элементы пользовательского интерфейса, поскольку поверх него прозрачный экран, с которым он фактически взаимодействует.
Думая, что он взаимодействует с приложением, пользователь может нажимать на определенные позиции на экране, которые соответствуют определенным действиям, например, на кнопки «разрешить» или «авторизовать» на почти невидимых подсказках.
Исследователи проанализировали около 100 000 приложений из Play Store и обнаружили, что 76% из них уязвимы для TapTrap.
При этом в Android 15 анимация включена (пока пользователь не отключит ее в параметрах разработчика или настройках специальных возможностей), что делает устройства уязвимыми для атак TapTrap.
Тесты, проведенные исследователями, оказали, что в Android 16 проблема также остается нерешенной.
Разработчики GrapheneOS подтверждают, что последняя версия Android 16 уязвима для TapTrap, и заверили об исправлении проблемы в следующем выпуске.
Аналогичное заявление сделали представители Google.
Решения Ruckus Wireless Virtual SmartZone (vSZ) и Network Director (RND) подвержены многочисленным уязвимостям, которые могут позволить злоумышленникам скомпрометировать управляемые среды, оставаясь при этом неисправленными до настоящего времени.
Ruckus Wireless (Ruckus Networks) реализует широкую линейку сетевых устройств и программного обеспечения для операторов мобильной связи, поставщиков услуг широкополосного доступа и корпоративного сектора.
Программное обеспечение для управления vSZ поддерживает управление крупными сетями - до 10 000 точек доступа Ruckus, - а RND позволяет управлять несколькими кластерами vSZ.
Обеспокоенность высказали представители CERT Университета Карнеги-Меллона (CERT/CC) в своих недавних рекомендациях, обращая внимание на 9 недостатков, обнаруженных Claroty Team82, которые приводят к обходу аутентификации, произвольному чтению файлов и RCE.
Приложение vSZ содержит несколько жёстко запрограммированных данных, включая ключ подписи JWT и ключи API, что позволяет злоумышленникам получить доступ к устройству с высокими привилегиями. Проблема отслеживается как CVE-2025-44957.
Используя заголовки HTTP и действительный ключ API, можно логически обойти методы аутентификации, предоставив доступ на уровне администратора любому, кто это сделает.
Другая ошибка в vSZ, CVE-2025-44962, позволяет аутентифицированным пользователям перемещаться по путям каталогов и считывать конфиденциальные файлы.
Кроме того, vSZ хранит открытые и закрытые ключи RSA по умолчанию для встроенного пользователя с привилегиями root в каталоге SSH пользователя (CVE-2025-44954), предоставляя любому, кто знает ключи, права root через SSH, приводя к неаутентифицированному RCE.
Две другие RCE-уязвимости в vSZ обусловлены отсутствием очистки контролируемого пользователем параметра в маршруте API (CVE-2025-44960) и предоставленного пользователем IP в качестве аргумента, который может быть командой вместо адреса (CVE-2025-44961).
В свою очередь, RND также использует жёстко запрограммированные данные, включая токен JWT, для внутреннего веб-сервера, что позволяет злоумышленникам создавать действительный JWT, обходить аутентификацию и получать доступ с правами администратора (CVE-2025-4496).
Кроме того, RND содержит встроенный джейлбрейк, поддерживающий настройку устройства без доступа к командной оболочке базовой ОС. Жёстко запрограммированный пароль, отслеживаемый как CVE-2025-44955, обеспечивает доступ к серверу с правами root.
Платформа RND также имеет жестко запрограммированные ключи SSH (CVE-2025-6243) для встроенной учетной записи «sshuser», которая имеет привилегии root и использует жестко запрограммированный слабый секретный ключ (CVE-2025-44958) для шифрования паролей, возвращая при этом пароли в виде открытого текста.
Влияние всех этих уязвимостей варьируется от утечки информации до полного нарушения безопасности беспроводной среды, управляемой уязвимыми продуктами.
При этом ряд уязвимостей могут быть объединены в цепочку, позволяя злоумышленнику комбинировать атаки для обхода различных средств защиты.
По данным CERT/CC, попытки связаться с Ruckus Wireless или головной компанией Commscope остались без ответа, а исправлений для этих уязвимостей пока нет.
Пользователям следует ограничить доступ к уязвимым продуктам.
Более миллиона пользователей установили расширения для браузеров, которые фактически превращают их в прокси-серверы для ботнета, который задействуется для сбора данных в Интернете.
Все они включают библиотеку Mellowtel, которая ожидает перехода пользователей в состояние неактивности, отключает средства защиты страницы, а затем грузит удалённый сайт в скрытый iframe. После этого сайт отправляется на удалённый URL для анализа.
Исследователи SecureAnnex обнаружили библиотеку Mellowtel в 245 расширениях для Chrome, Edge и Firefox.
Некоторые разработчики начали удалять Mellowtel из своего кода после того, как разработчики браузеров приступили к исправлению проблемы.
Тем не менее на данный момент лишь 12 из 45 расширений Chrome удалили Mellowtel, 8 из 129 в Edge и 2 из 69 в Firefox.
Mellowtel обрела популярность, продвигая свой продукт среди разработчиков и предлагая монетизацию расширений путем продажи «неиспользованной пропускной способности» пользователей.
SecureAnnex также обнаружила связи между Mellowtel и Olostep - онлайн-сервисом, рекламирующим «рентабельный API для веб-скрапинга», который позволяет избегать обнаружения ботами и распараллеливать до 100 000 запросов.
Джон Такнер, основатель SecureAnnex, полагает, что библиотека служит бэкэндом для Olostep, позволяя компании направлять часть веб-скрапинга через расширения Mellowtel.
Исследователи полагают, что подобная практика в ряде случаев противоречит законам (когда пользователи должным образом не были проинформированы), но в любом случае потенциальная «передача» своего браузера в чужие руки - не есть хорошая идея.
Во-первых, Mellowtel удаляет заголовки безопасности с сайтов, на которых загружает скрытый iframe, чтобы обеспечить веб-скрейпинг.
Во-вторых, Mellowtel может легко запускать вредоносный код внутри Интранет-порталов и других корпоративных приложений, открывая компании (посредством утраты контроля над браузерами своих пользователей) для непредвиденных атак.
И, наконец, неясно, кому Olostep или команда Mellowtel будут реализуют свои услуги и как будет использоваться библиотека в будущем.
Возможно, сегодня - это парсинг страниц, а на завтра - запуском фишинга.
Grafana выпустила обновления для устранения четырех уязвимостей высокой степени серьезности в библиотеке Chromium, используемой в плагине Grafana Image Renderer и Synthetic Monitoring Agent.
Наиболее важной из этих проблем является CVE-2025-6554 - путаница типов в движке JavaScript V8 браузера Chrome, которая может быть использована удаленно для выполнения произвольных операций чтения/записи.
Проблема использовалась в качестве 0-day и в Google на прошлой неделе официально также подтверждали существование эксплойта для CVE-2025-6554. Устранена в Chrome 138.0.7204.96/.97 для Windows, 138.0.7204.92/.93 для macOS и 138.0.7204.96 для Linux.
Grafana также выпустила исправления для CVE-2025-5959 - ошибки путаницы типов в движке V8, которая может позволить удаленным злоумышленникам выполнять произвольный код в «песочнице» с помощью специально созданных HTML-страниц.
Google устранила проблему в версиях Chrome 137.0.7151.103/.104 для Windows и macOS, 137.0.7151.103 для Linux.
Кроме того, плагин Image Renderer и Synthetic Monitoring Agent получили исправления для CVE-2025-6191, дефекта целочисленного переполнения в движке Chrome V8, и CVE-2025-6192, ошибки использования после освобождения памяти в компоненте браузера Profiler.
Ошибки были устранены в версиях Chrome 137.0.7151.119/.120 для Windows и macOS, 137.0.7151.119 для Linux.
Она позволяют удаленным злоумышленникам потенциально выполнять доступ к памяти за пределами выделенного пространства и эксплуатировать повреждение кучи соответственно.
По данным Grafana, эти уязвимости затрагивают версии Grafana Image Renderer до 3.12.9 и Synthetic Monitoring Agent до 0.38.3, пользователям следует как можно скорее обновиться до исправленных версий.
Пользователям, которые используют плагин Grafana Image Renderer или имеют локальную установку Synthetic Monitoring Agent, рекомендуется обновить свои системы. При этом облачные развертывания были автоматически обновлены.
Исследователи выкатили PoC-эксплойты для критической уязвимости Citrix NetScaler, известной как CVE-2025-5777 и получившей название CitrixBleed2, которая поддается достаточно простой эксплуатации, позволяя красть токены сеансов пользователей.
CitrixBleed 2 затрагивает устройства Citrix NetScaler ADC и Gateway и приводит к извлечению содержимоего памяти посредством простой отправки искаженных запросов POST в процессе попыток входа в систему.
Название CitrixBleed2 обусловлено ее схожестью с оригинальной ошибкой CitrixBleed (CVE-2023-4966) 2023 года, которая использовалась бандами вымогателей в атаках на правительственные учреждения.
Ресерчеры watchTowr и Horizon3 представили свои отчеты [1 и 2], подтверждая возможность использования путем отправки запроса на вход в систему, в котором параметр login= изменен таким образом, что он отправляется без знака равенства или значения.
Как отмечает watchTowr, это заставляет устройство NetScaler отображать содержимое памяти до первого нулевого символа в разделе <InitialValue></InitialValue> ответа.
Ошибка вызвана использованием функции snprintf вместе со строкой формата, содержащей %.*s.
По данным Horizon3, каждый запрос приводит к утечке 127 байт данных, что позволяет злоумышленникам выполнять повторные HTTP-запросы для извлечения дополнительного содержимого памяти до тех пор, пока они не будут найдены нужные конфиденциальные данные.
В отличие от WatchTowr, Horizon3 смогли продемонстрировать в видео реализацию уязвимости для кражи токенов сеансов пользователей.
При этом Horizon3 утверждает, что помимо конечных точек NetScaler уязвимость может быть также использована в отношении утилит конфигурации, используемых администраторами.
Как бы то ни было, Citrix продолжает настаивать на том, что уязвимость активно не эксплуатируется и в настоящее время нет никаких доказательств, позволяющих предположить эксплуатацию CVE-2025-5777.
Однако в июньском отчете ReliaQuest прямо приведены артефакты, указывающие на задействование CVE-2025-5777 для проведения атак, а в компании уже фиксируют рост числа случаев перехвата сеансов пользователей.
Кроме того, исследователь Кевин Бомонт также оспаривает заявление Citrix, утверждая, что уязвимость активно эксплуатируется с середины июня, причем злоумышленники используют ее для сброса памяти и перехвата сеансов.
При этом он выделил следующие индикаторы в журналах Netscaler:
- повторяющиеся запросы POST к *doAuthentication* - каждый из них выдает 126 байт ОЗУ;
- запросы к doAuthentication.do с "Content-Length: 5»;
- строки с *LOGOFF* и user = "*#*" (т.е. символ # в имени пользователя). ОЗУ воспроизводится в неправильное поле.
Служба поддержки Citrix не раскрыла никаких IOC и до сих пор заявляет (опять же - как это было с CitrixBleed), что никаких эксплуатаций не было.
Так или иначе ожидаем присоединения к обсуждениям по части эксплуатации представителей киберподполья. Будем следить.
Ресерчеры из Лаборатории Касперского сообщают о новом ранее недокументированном шпионском ПО Batavia, которое задействуется в атаках на российские компании.
Начиная с июля 2024 года реализуется кампания, связанная с использованием однотипных файлов с именами наподобие договор-2025-5.vbe, приложение.vbe, dogovor.vbe и др.
Сама целевая атака начинается с рассылки с вредоносными ссылками под предлогом подписания договора.
Жертвами кампании со шпионским ПО стали российские промышленные предприятия.
По данным телеметрии ЛК, вредоносные письма получили свыше 100 пользователей из нескольких десятков организаций.
Основная цель - заражение организаций ранее неизвестным шпионом Batavia с последующей кражей внутренних документов.
Кроме того, Batavia выгружает также такие данные, как список установленных программ, драйверов и компонентов ОС.
Кликая на ссылки для скачивания якобы служебного документа, получатель загружает на устройство скрипт, который запускает трехэтапное заражение машины. Зловред состоит из VBA-скрипта и двух исполняемых файлов.
При переходе по ссылке на устройство пользователя загружается архив, в котором содержится лишь один файл: скрипт, зашифрованный проприетарным алгоритмом Microsoft.
Он представляет собой загрузчик, который получает по прописанному в коде URL-адресу специально сформированную строку из 12 параметров, разделенных запятыми. Это аргументы для различных вредоносных функций.
Обратившись к URL-адресу, скрипт скачивает WebView.exe, сохраняет его в директорию %TEMP% и а затем запускает. Если версию ОС получить не удалось или она не совпадает с версией, полученной с C2, загрузчик использует метод Navigate(), в противном случае — Run().
WebView.exe, в свою очередь, представляет собой исполняемый файл, написанный на Delphi, размером 3 235 328 байт. Он также по ссылке грузит файлы в директорию C:\Users\[username]\AppData\Local\Temp\WebView, после чего отображает скачанные данные в своем окне.
На момент исследования ссылка была уже неактивна, но в ЛК предполагают, что по этому адресу должен находиться текст поддельного договора, о котором шла речь в письме.
Одновременно с показом окна зловред начинает сбор информации с зараженного компьютера и отправляет ее на адрес с другим доменом, но с определенным идентификатором заражения.
Единственное отличие от идентификатора из VBS-скрипта - добавление цифры 1 в начало аргумента, что может говорить о следующем этапе заражения.
Зловред собирает несколько категорий файлов, включая различные системные журналы и офисные документы на компьютере и съемных носителях. Кроме того, вредоносный модуль с определенной периодичностью делает и отправляет снимки экрана.
Кроме того, webview.exe загружает исполняемый файл следующего этапа и сохраняет его в %programdata%\jre_22.3\javav.exe.
Для запуска этого файла зловред создает ярлык в автозагрузке, который запускается после первой перезагрузки, начиная следующий этап вредоносной активности.
Исполняемый файл javav.exe, в отличие от webview.exe, написан на С++. Вредоносная функциональность этих файлов достаточно схожа, однако в javav.exe были добавлены новые возможности.
Новые собранные данные отправляются по аналогичному адресу, но к идентификатору заражения была добавлена цифра 2.
Также в коде вредоносного компонента появились две команды: set для смены командного центра и exa/exb для загрузки и запуска дополнительных файлов.
Индикаторы компрометации - в отчете.
Исследователи QiAnXin сообщили об обнаружении новой действующей из Северной Америки APT-группы, нацеленной на высокотехнологичные секторы Китая.
PanGu и RedDrip из QiAnXin раскрыли свои выводы на конференции по безопасности CYDES в Малайзии на прошлой неделе, а также опубликовали технический отчет на GitHub в прошлую пятницу.
Исследователи описывают NightEagle (APT-Q-95 и APT-C-78) как чрезвычайно скрытную и очень сложную.
Группировка использует новое вредоносное ПО, уникальную серверную инфраструктуру для каждой жертвы и потенциально задействует в атаках 0-day для Microsoft Exchange.
Каким образом группа получает доступ к сети цели пока остается неясным, тем не менее, проникнув внутрь, они устанавливают модифицированную версию Chisel, которое каждые несколько часов отправляет запросы на домен С2.
Записи DNS для любого из доменов C2 недоступны в 99% случаев и настроены на указание на тупиковый IP-адрес, например 127.0.0.1, 0.0.0.0, 0.0.0.1, 1.0.0.0 и 114.114.114.114.
По-видимому, домены серверов C2 активируются и разрешаются для преобразования в реальный IP-адрес только тогда, когда операторы активны, и немедленно отключаются в ином случае.
По данным QiAnXin, когда домены C2 активны, NightEagle взаимодействует с локальными серверами Microsoft Exchange и размещает в памяти бесфайловые импланты.
Опять же исследователи еще не выяснили, но, по-видимому, это делается с помощью цепочки 0-day эксплойтов для Exchange.
NightEagle задействует встроенный в память вирус для кражи электронных писем из почтовых ящиков Exchange организации.
Помимо электронной почты, группа также нацеливается на репозитории исходного кода и системы резервного хранения данных.
Группировка действует с 2023 года, а ее целями обычно являются китайские компании в сфере высоких технологий, включая производитство микросхем, квантовые технологии, искусственный интеллект, а также ВПК КНР.
QiAnXin назвала группу NightEagle, поскольку она действует только в ночное время в Китае, с 21:00 до 6:00 по пекинскому времени.
Причем вне этого хронометража группа никогда не работает. Исследователи полагают, что строгий график позволяет группе действовать в часовом поясе западного побережья Северной Америки.
QiAnXin официально не связывала APT с какой-либо страной, однако упоминание в названии Eagle говорит о многом по части атрибуции.
Официальное расследование Predatorgate так ни к чему и не привело.
Все началось в декабре 2022 года после журналистских разоблачений Inside Story и ряда других СМИ в отношении скандала с прослушкой телефонных разговоров.
Тогда правительство Кириакоса Мицотакиса приняло закон 5002/2022, направленный на обеспечение прозрачности закупок шпионского ПО в интересах национальных спецслужб.
Для того чтобы использование шпионского ПО спецслужбами было законным и конституционным, регулятор ADAE должен иметь возможность контролировать его использование, как в случае с контролем каналов связи.
Закон предусматривает также создание списка шпионского ПО, которое правительство планирует закупить.
Полномочия по ведению такого перечня были возложены на вновь созданный Координационный комитет по вопросам кибербезопасности.
Для принятия регламента работы комитета понадобилось 15 месяцев, а его формирования состоялось еще через семь месяцев, только 10 сентября 2024 года.
Правда, в ответ на требования ADAE предоставить список генеральный секретарь национальной безопасности канцелярии премьер-министра Танос Докос и по совместительству глава комитета выдал общие формулировки функционала вместо наименований поставщиков spyware.
Фактически своими действиями чиновники полностью лишили новый закон какой-либо реальной юридической силы, что позволило им продолжать производить закупки.
В общем спустя почти три года не было сделано абсолютно ничего, что указывает на задействование spyware Национальной разведслужбой, службой по борьбе с терроризмом и полицией ровно в той же серой правовой зоне, как и было ранее вне надзора со стороны ADAE.
Причем, как отмечают в InsideStory, само ADAE и вовсе осталось обезглавленным после отставки «неугодного» для правительства Христоса Раммоса.
Кроме того, чиновникам удалось также избавиться и от некоторых других «назойливых» членов ADAE.
Таким образом, можно констатировать: расследование греческого правительства по факту использования им шпионского ПО Predator зашло в тупик и фактически провалилось.
Для критической уязвимости SQLi в Fortinet FortiWeb стали доступны PoC, которые могут быть задействованы для RCE с предварительной аутентификацией на уязвимых серверах.
Уязвимость имеет оценку CVSS 9,8/10 и отслеживается как CVE-2025-25257.
Fortinet исправила её на прошлой неделе в версиях FortiWeb 7.6.4, 7.4.8, 7.2.11 и 7.0.11 (и более поздних).
Согласно бюллетеню Fortinet, неправильная нейтрализация специальных элементов, используемых в SQL-уязвимости в FortiWeb позволяет неаутентифицированному злоумышленнику выполнить несанкционированный SQL-код или команды с помощью специально созданных HTTP- или HTTPs-запросов.
Уязвимость была обнаружена Кентаро Каване из GMO Cybersecurity, который ранее также раскрыл уязвимость статического жестко запрограммированного пароля в Cisco ISE в прошлом месяце.
В свою очередь, исследователи WatchTowr совместно с исследователем false *ptrrr представили технические подробности и PoC, которые реализуют обратные оболочки или веб-шелл [1 и 2 соответственно].
При этом, как отмечается, уязвимость затрагивает Fabric Connector от FortiWeb - программное обеспечение, которое синхронизирует данные аутентификации и политики между продуктами Fortinet.
Ошибка кроется в get_fabric_user_by_token() функции, которая использует следующий код для выполнения запроса MySQL: snprintf(s, 0x400u, "select id from fabric_user.user_table where token='%s'", a1);
Этот код не обеспечивает надлежащую очистку токена-носителя, отправляемого в заголовках HTTP-запросов, что позволяет злоумышленникам внедрять пользовательский SQL-код в заголовок для реализации SQLi.
Злоумышленники могут активировать уязвимость через HTTP-запросы к конечной точке /api/fabric/device/status, внедрив SQL в заголовок Authorization (например, Bearer AAAAAA'or'1'='1), что позволяет злоумышленникам обходить проверки аутентификации.
Исследователи смогли расширить SQL-инъекцию до уровня удалённого выполнения кода, выполнив запрос MySQL SELECT … INTO OUTFILE через уязвимость SQLi для создания произвольных файлов на устройстве.
Это позволило им записать файл Python .pth в каталог site‑packages.
Поскольку файлы .pth автоматически загружаются и запускаются при выполнении Python, исследователи нашли скрипт FortiWeb CGI Python ( /cgi-bin/ml‑draw.py), который можно использовать для запуска вредоносного кода в файле .pth и достижения RCE.
Поскольку эксплойты теперь общедоступны, администраторам настоятельно рекомендуется накатить исправления, дабы предотвратить взлом серверов.
На данный момент нет никаких признаков того, что уязвимость активно эксплуатируется, но в ближайшем будущем ситуация, вероятно, изменится.
Но будем посмотреть.
📚 Искусство тестирования на проникновение в сеть.
• По ссылке ниже можно найти руководство по моделированию недостатков внутренней безопасности компании. В роли злоумышленника Вы пройдете все этапы профессионального пентеста, от сбора информации до захвата полного контроля над сетью. Подбирая пароли, обнаруживая открытые порты и повышая права доступа до уровня администратора, вы сможете усвоить, в чем заключаются сетевые уязвимости и как ими воспользоваться.
☁️ Руководство можно скачать бесплатно в нашем облаке.
S.E. ▪️ infosec.work ▪️ VT
Исследователи JFrog обнаружили критическую CVE-2025-6514 в проекте mcp-remote с открытым исходным кодом, которая может привести к выполнению произвольных команд операционной системы и имеет оценку CVSS 9,6 из 10,0.
Уязвимость позволяет злоумышленникам инициировать выполнение произвольной команды ОС на машине, на которой работает mcp-remote, когда она инициирует соединение с ненадежным сервером MCP, что создает риск полной компрометации системы.
Mcp-remote появился после выпуска Anthropic протокола контекста модели (MCP), фреймворка с открытым исходным кодом, который стандартизирует способ, посредством которого приложения на основе LLM интегрируют и обмениваются данными с внешними источниками данных и службами.
Он действует как локальный прокси-сервер, позволяя клиентам MCP, таким как Claude Desktop, взаимодействовать с удалёнными серверами MCP, а не запускать их локально на том же компьютере, что и приложение LLM. Пакет был скачан более 437 000 раз.
Уязвимость затрагивает все версии mcp-remote от 0.0.5 до 0.1.15, и была устранена в 0.1.16, выпущенной 17 июня 2025 года.
Как отмечают исследователи, ранее вышедшие исследования хоть и описывали риски, связанные с подключением клиентов MCP к вредоносным серверам, но это первый случай, когда в реальном сценарии на клиентской ОС достигается полное удаленное выполнение кода.
Недостаток связан с тем, как вредоносный сервер MCP, подконтрольный злоумышленнику, позволяет внедрить команду на этапе первоначального установления связи и авторизации, которая при обработке mcp-remote приводит к ее выполнению в базовой ОС.
Если эта проблема приводит к выполнению произвольных команд ОС в Windows с полным контролем параметров, в системах macOS и Linux - к выполнению произвольных исполняемых файлов с ограниченным контролем параметров.
Чтобы снизить риск, связанный с уязвимостью, пользователям рекомендуется обновить библиотеку до последней версии и подключаться только к доверенным серверам MCP, используя безопасные методы соединения, такие как HTTPS.
В противном случае уязвимости, подобные CVE-2025-6514, вероятно, приведут к захвату клиентов MCP в постоянно растущей экосистеме MCP.
Пока один уходят, возвращаются другие.
RansomedVC вновь объявилась после двухлетнего отсутствия и не с пустыми руками. Она раскрыла закрытую переписку Medusa, утверждая, что один из её администраторов исчез и, вероятно, был арестован.
По мнению RansomedVC, Medusa либо пытается соскамиться, либо была разоблачена силовиками. Аналитик Ракеш Кришнан опубликовал анализ утечки.
Кроме того, на горизонте нарисовались также новые игроки - Devman RaaS и D4Rk4Rmy. Последняя уже выкатила восемь жертв на своем DLS.
Впервые появившаяся в 2020 проиранская Pay2Key вновь вернулась в сеть с новой платформой RaaS. По данным Morphisec, с момента перезапуска в феврале этого года банда успела заработать более 4 миллионов долларов с 51 транша в качестве выкупов.
Примечательной особенностью последней версии Pay2Key.I2P является то, что это первая известная RaaS-платформа, размещенная на Invisible Internet Project (I2P). Кроме того, хакеры практикуют высокие выплаты операторам (до 80%).
Продолжая тему июльского PatchTuesday, хотелось бы отметить, что наступил он не у всех.
Впервые за шесть лет Google пришла к своим пользователям с пустыми руками: в этом месяце обновлений безопасности Android не будет.
Так что, лучше поглядим, что там у других поставщиков по части уязвимостей и исправлений:
1. Исследователи General Analysis обнаружили проблему на серверах Supabase MCP, которая может использоваться для утечки таблиц базы данных SQL.
Атака является результатом сочетания двух недостатков проектирования: чрезмерного привилегированного доступа к базе данных (service_role) и излишнего доверия к контенту, предоставленному пользователем.
2. Установки по умолчанию SailPoint IQService задействуют жёстко запрограммированный ключ шифрования, который позволяет удалённым злоумышленникам запускать вредоносный код в контексте служб SailPoint IAM.
По данным NetSPI, ключ шифрования хранится в одном из DLL-файлов.
SailPoint выпустила обновления, чтобы защитить свой сервис от возможных эксплойтов после майских обновлений безопасности.
При этом для ошибки доступен PoC.
3. Исследователи Silverfort обнаружили новую DoS-уязвимость в протоколе Netlogon от Microsoft.
CVE-2025-47978 получила название NOTLogon и позволяет любому компьютеру, подключенному к домену, с минимальными привилегиями отправлять специально созданный запрос аутентификации, который приводит к сбою контроллера домена и полной перезагрузке.
4. Группа учёных опубликовала подробности в отношении новой атаки на TLS-соединения, которая была названа Опоссум и может использоваться с позиций MitM для фиксации сеанса, запутывания ресурсов, XSS или утечки файлов cookie.
Исследователи утверждают, что атака очень надёжна, но необходимые условия выполняются крайне редко.
5. Исследовательская лаборатория Security Explorations польской AG Security Research провела широкий анализ eSIM и eUICC и обнаружила уязвимости, которые можно эксплуатировать для клонирования eSIM жертвы и контроля за ее мобильными коммуникациями.
Стоит отметить, что проект Security Explorations был сосредоточен на продуктах Kigen, чипы eUICC/eSIM от ряда других поставщиков могут быть уязвимы для аналогичных атак, поскольку основная проблема связана с серией уязвимостей, обнаруженных в Java Card от Oracle.
6. Обновления безопасности, выпущенные для Ivanti Connect Secure (ICS) и Policy Secure (IPS), Endpoint Manager Mobile (EPMM) и Endpoint Manager (EPM), устраняют в общей сложности 11 ошибок, для эксплуатации которых требуется аутентификация.
Традиционно в своем сообщении компания сообщает, что у нее нет никаких доказательств того, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях.
Но, как мы знаем, обычно клиенты Ivanti читают в обратно порядке.
7. Fortinet опубликовала восемь рекомендаций, в которых подробно описаны одна критическая, одна высокой, пять средней и одна низкой степени уязвимости, затрагивающие FortiAnalyzer, FortiIsolator, FortiManager, FortiOS, FortiProxy, FortiSandbox, FortiSASE, FortiVoice и FortiWeb.
Критическая CVE-2025-25257 (CVSS 9,6) связана с SQL-инъекцией в FortiWeb и может быть эксплуатирована посредством специально созданных HTTP/HTTPS-запросов для выполнения неавторизованного SQL-кода или команд.
Для успешной эксплуатации аутентификация не требуется.
Fortinet не упоминает о каких-либо эксплуатациях недавно устраненных уязвимостей.
8. Наиболее важные из 12 рекомендаций, опубликованных Splunk, устраняют критические и высокосерьёзные уязвимости в Splunk SOAR, Enterprise и DB Connect.
Большинство из них - это ошибки прошлого года, несколько CVE 2022 и 2023, а также одна проблема - от 2013 года.
Ведущие поставщики промышленных решений Siemens, Schneider Electric и Phoenix Contact выкатили рекомендации по безопасности ICS в рамках PatchTuesday за июль 2025 года.
Siemens выпустила девять новых рекомендаций, а также отдельный бюллетень по безопасности с отражением мер по защите своих промышленных систем в условиях растущих угроз на ландшафте ОТ.
В предупреждении упоминается текущая геополитическая ситуация и недавнее предупреждение правительства США о прогнозируемом росте числа атак со стороны Ирана.
Промышленный гигант также предупредил своих клиентов, что устройства Sentron Powermanager и Desigo CC не подвержены недавно обнаруженной RCE-уязвимости в Apache Tomcat.
Siemens устранила две критические и одну уязвимость высокой степени серьёзности в Sinec NMS. Все они могли привести к повышению привилегий и выполнению кода.
Высокосерьезные проблемы также былы обнаружены в инфраструктуре TIA Administrator (EoP и RCE), Sicam Toolbox II (MitM), Solid Edge (DoS или RCE), Ruggedcom ROS (MitM и несанкционированный доступ) и Simatic CN 4100 (DoS).
Проблемы средней степени серьёзности были устранены в продуктах Siemens выпустила девять новых рекомендаций, а Они могут привести к раскрытию конфиденциальной информации и DoS.
Schneider Electric опубликовала четыре новых бюллетеня, в одном из которых описаны ряд критических и высокосерьёзных уязвимостей, затрагивающих EcoStruxure IT Data Center Expert.
Ошибки могут быть использованы для удалённого выполнения кода без аутентификации, получения пароля root, удалённого выполнения команд и повышения привилегий.
В другом бюллетене описывается проблема раскрытия данных вций, а также отдельный бюллетень по безопасности с отражеВ двух других бюллетенях описывается влияние дефектов сторонних компонентов на EcoStruxure Power Operation и устаревшие промышленные ПК.
Phoenix Contact также представила четыре новых бюллетеня.
Два из них посвящены критическим уязвимостям в прошивке PLCnext, позволяющие злоумышленникам перезагружать ПЛК, получать доступ к файлам и выполнять их, вызывать DoS и выполнять другие действия.
Большинство проблем затрагивают компоненты сторонних производителей. Аналогичные информационные бюллетени также опубликованы VDE CERT.
Два других предупреждения Phoenix Contact затрагивают уязвимости в контроллерах зарядки электромобилей Charx, включая критические.
Они могут быть использованы для получения доступа к чтению/записи, вызова DoS и EoP.
Свои рекомендации отметили ABB (обход аутентификации RMC-100, уязвимости раскрытия информации) и Mitsubishi Electric (DoS в Melsec и выполнение кода в Melsoft).
Исследователи PCA Cyber Security обнаружили критические уязвимости в широко используемом стеке Bluetooth BlueSDK, которые позволяют реализовать RCE в автомобильных системах и использоваться для удаленного взлома миллионов автомобилей.
В общем же анализ фреймворка BlueSDK Bluetooth, разработанного OpenSynergy, позволил выявить проблемы, которые также позволяют обходить механизмы безопасности и приводят к утечке информации.
Они продемонстрировали возможность объединения их в так называемую атаку PerfektBlue для удалённого взлома информационно-развлекательной системы автомобиля.
Успешная атака откроет злоумышленнику возможность отслеживать местоположение автомобиля, записывать звук из салона и получать данные телефонной книги.
Кроме того, он также сможет проникнуть в другие системы и потенциально получить контроль над рулевым управлением, звуковым сигналам и работе стеклоочистителей.
Взлом PerfektBlue был апробирован на последних моделях информационно-развлекательных систем, поставляемых в Mercedes-Benz, Skoda и Volkswagen, а также на решениях, произведенных другим, неназванным OEM-производителем, который лишь недавно узнал о результатах проверки.
BlueSDK присутствует в миллионах устройств помимо автомобилильных систем, включая мобильные телефоны и другие портативные гаджеты, производимые десятками крупных технологических компаний.
Для проведения атаки хакеру необходимо находиться в зоне действия устройства и иметь возможность подключить свой ноутбук к целевой информационно-развлекательной системе по Bluetooth.
В некоторых случаях подключение возможно без взаимодействия с пользователем, в других - требуется подтверждение пользователя, а иногда и вовсе невозможно.
Как отмечают в PCA Cyber Security, по сути, для того, чтобы PerfektBlue был реализован злоумышленником по беспроводной связи, достаточно одного щелчка мыши со стороны пользователя.
Подробности уязвимостей PerfektBlue были раскрыты OpenSynergy еще в мае 2024 года и получили идентификаторы CVE: CVE-2024-45434, CVE-2024-45431, CVE-2024-45432 и CVE-2024-45433.
Исправления были разработаны и распространены среди клиентов, начиная с сентября 2024 года, несмотря на это, исследователи PCA Cyber Security не стали торопиться и выкатили отчет лишь недавно, дождавшись широкого распространения исправлений.
Пройдя успешную обкатку, схема легализации разведданых по типу TopSec и iSoon превращается в конвейер.
Подкатила очередная порция сливов про «всемогущую империю китайского кибершпионажа», по всей видимости, инициированная теми исполнителями при погонах.
На этот раз через DarkForums были легализованы две партии различных материалов, анализ которых приводят представители SpyCloud.
Первая партия посвящалась компании VenusTech, которая является крупным китайским поставщиком решений для информационной безопасности, ориентированным на госсектор.
Вторая якобы разоблачает ряд компаний, стоящих за атаками APT Salt Typhoon, и их государственных заказчиках.
Примечательно, что оба поста были опубликованы через вновь зарегистрированные аккаунты, которые, по-видимому, именно для этого и предназначались.
Формат и подача материалов реализованы так, чтобы четко был понятен источник их происхождения - объект 1 и объект 2.
Судя по результатам анализа материалов, на этот раз разведка отработала не так четко: представленные образцы, связанные с этими утечками, оказались далеко не так глубоки и обширны, как это было в случае с iSoon или TopSec.
Впрочем, для дальнейшей уже официальной копипасты в отчеты и расследования достаточно.
Microsoft анонсировала июльский PatchTuesday, который включает обновления безопасности для 137 уязвимостей, включая одну публично раскрытую 0-day.
В общей сложности исправлено 14 критических уязвимостей, 10 из которых представляют собой RCE-уязвимости, 1 - уязвимость раскрытия информации и 2 - атак по сторонним каналам AMD.
Общее распределение по категориям представлено следующим образом: 53 - уязвимости EoP, 8 - обхода функций безопасности, 41 - RCE, 18 - раскрытия информации, 6 - DoS, 4 - спуфинга.
В их число не вошли 4 проблемы Mariner и 3 проблемы в Microsoft Edge.
Публично раскрытая 0-day затрагивает Microsoft SQL Server и отслеживается как CVE-2025-49719. Она связана с раскрытием информации и позволяет удаленному неаутентифицированному злоумышленнику получить доступ к данным из неинициализированной памяти.
Неправильная проверка входных данных в SQL Server позволяет неавторизованному злоумышленнику раскрыть информацию по сети.
Администраторы могут устранить эту уязвимость, установив последнюю версию Microsoft SQL Server и драйвер Microsoft OLE DB 18 или 19.
Microsoft приписывает обнаружение этой уязвимости Владимиру Алексичу и не приводит подробностей ее раскрытия.
Microsoft также исправила многочисленные критические RCE-уязвимости в Microsoft Office, которые можно было использовать, просто открыв специально созданный документ или просматривая его через панель предварительного просмотра.
При этом, как отмечает Microsoft, обновления безопасности для устранения этих уязвимостей пока недоступны для Microsoft Office LTSC для Mac 2021 и 2024, но будут выпущены в ближайшее время.
Компания также исправила еще одну критическую RCE-уязвимость в Microsoft SharePoint, идентифицированную как VE-2025-49704, которую можно эксплуатировать удаленно, если у пользователя есть учетная запись на платформе.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
На прошлой неделе в Милане (Италия) был арестован гражданин Китая, которого местные спецслужбы подозревают в связях с APT Silk Typhoon, ответственной за кибератаки на американские организации и правительственные учреждения.
По данным итальянского издания ANSA, 33-летний Сюй Цзэвэй был арестован в миланском аэропорту Мальпенса 3 июля после прибытия рейсом из Китая.
Итальянская полиция действовала согласно международному ордеру, выданному правительством США.
ANSA поясняет, что Сюй выдвинули обвинения в связях с китайской Silk Typhoon, также известной как Hafnium, которая причастна к широкому спектру кибератак против США и других стран в целях кибершпионажа.
В частности, итальянские СМИ освещают связь Сюй с кибератаками Silk Typhoon 2020 года, жертвами которых стали исследователи в области инфекционных заболеваний и из числа организации здравоохранения, а главной целью - кража данных о вакцинах для COVID.
Тогда ФБР и CISA США выпустили совместное консультативное заключение по этому поводу, предупреждая об угрозах исследованиям, связанным с COVID-19.
Хакерская группа также была связана с более поздними кампаниями по кибершпионажу, в том числе в отношении Управления по контролю за иностранными активами (OFAC) Министерства финансов США и Комитета по иностранным инвестициям.
В марте Microsoft сообщала об атаках Silk Typhoon на цепочки поставок с помощью инструментов удаленного управления и облачных сервисов, получая таким образом доступ к сетям нижестоящих клиентов.
Возвращаясь к Сюй Цзэвэй, его поместили в тюрьмю Бусто-Арсицио в рамках начала иницииации процедуры экстрадиции в США, где он должен будет предстать перед судом после всестороннего уголовного расследования.
Будем следить.
🤔📂 По данным DarkEye, якобы полностью рабочий эксплойт 0-day RCE для последней и более ранних версий WinRAR предлагается на продажу за $80 000 на одном из 🎩околохакерских форумов.
🔍 Компания DarkEye обнаружила несколько случаев утечки данных, связанных с WinRAR (http://win-rar.com).
Исследователи Elastic Security Labs выкатили отчет, в котором отметили задействование инструмента пентестеров Shellter Elite v11.0 в кампаниях по распространению инфостилеров, включая Rhadamanthys, Lumma и Arechclient2.
Shellter Elite - это коммерческий загрузчик, используемый пентестерами для скрытного развертывания полезных нагрузок в легитимных двоичных файлах Windows и уклонения от инструментов EDR.
Разработчик инструмента, компания Shellter Project, подтвердил использование Shellter Elite для проведения реальных атак, полагая, что один из клиентов слил копию программного обеспечения.
Поставщик подчеркнул, что это первый известный случай неправомерного использования с момента введения строгой модели лицензирования в феврале 2023 года.
В свою очередь, исследователи Elastic выяснили, что активность началась как минимум с апреля, а метод распространения - через комментарии на YouTube и фишинговые письма.
На основании уникальных временных меток лицензий исследователи предположили, что злоумышленники использовали одну единственную утекшую копию, что впоследствии также официально подтвердила Shellter.
Elastic разработала средства обнаружения для образцов на основе версии 11.0, поэтому полезные нагрузки, созданные с помощью этой версии Shellter Elite, теперь можно обнаружить.
Для решения этой проблемы Shellter выпустила версию Elite 11.1, которую будет распространена исключительно среди проверенных клиентов.
Все бы ничего в этой истории, однако вместо открытых коммуникаций, исследователи до последнего не сообщали Shellter о выявленных злоупотреблениях, которые продолжались в течение нескольких месяцев.
Сам поставщик назвал отсутствие диалога со стороны Elastic Security Labs «безрассудным и непрофессиональным».
Как отметили в Shellter, вместо сотрудничества для смягчения угрозы, в Elastic Security Labs «решили скрывать информацию, отдав приоритет неожиданному разоблачению и публичности над общественной безопасностью».
По всей видимости, в реальности исследователи Elastic Security Labs как раз и преследовали именно эти интересы, и только после индентификации реального нарушителя вне контура разработчика - предоставили Shellter необходимые артефакты.
Последняя тем не менее извинилась перед клиентами и настоятельно заверила, что не сотрудничает с киберподпольем. Но, как говорится, дыма без огня не бывает.
Стремительно развивается расследование киберинцидента с ограблением бразильских банков на сумму в более 540 миллионов бразильских реалов (около 100 млн. долл.), о котором мы сообщали на прошлой неделе.
Атака затронула широко используемую в Бразилии систему мгновенных платежей, известную как PIX, которой пользуются 76,4% населения.
Она была реализована через C&M Software, компанию-разработчика ПО, обеспечивающего взаимодействие с Центробанком по части проведения транзакций PIX через финансовые учреждения.
Как отмечает в полиции Сан-Паулу, названные убытки в размере 100 мон. долл. относятся лишь к одному пострадавшему банку из числа клиентов C&M, а общие убытки могут быть еще выше.
По результатам проведенных мероприятий полицейским удалось выйти на 48-летнего программиста Жуан Назарено Роке, сотрудника C&M, который, предположительно, помог хакерам получить несанкционированный доступ к системам PIX.
По данным полиции, Роке продал доступ к своим рабочим аккаунтам за 900 долл., и затем получил еще 1800 долларов, выполнив запуск вредоносных команд в сети компании.
Хакерам удалось завербовать сотрудника C&M в баре в начале этого года, общение велось и координация осуществлялась по телефону и через Notion.
Хакеры получили таким образом доступ к резервным счетам финансовых учреждений для инициирования множества подставных переводов PIX через интеграционный шлюз C&M, подключённый к национальной инфраструктуре мгновенных расчётов.
Всю активную часть делюги хакеры провернули буквально за одну ночь и конвертировали средства в BTC, ETH и USDT через местные внебиржевые платформы.
Таким образом хакерам удалось выпотрошить шесть банков и похитить по разным оценкам около 185 млн. долл. При этом на средства клиентов банковских учреждений хакеры не посягались.
Полиция пытается идентифицировать других членов группы и полагает, что в кибератаке участвовало по меньшей мере еще четыре человека.
Отследив платежи, силовики совместно с Центробанком Бразилии сумели заморозить преступные транзакции на сумму в 270 млн. реалов (около 50 млн. долл.).
В общей сложности, хакеры смогли отмыть через крипту от 30 до 40 млн. долл. из общей суммы хищения.
На фоне выхода Call of Duty WWII в Game Pass для ПК разгорелся серьезный скандал, связанный с массовыми жалобами со стороны геймеров, которые столкнулись с RCE-атаками на свои системы.
Как сообщает Insider Gaming, злоумышленники, используя уязвимости многопользовательского режима, получают прямой контролья над системами жертв и выполняют произвольные команды на компьютерах пользователей во время игры и стриминга.
Десятки игроков сообщали о появлении на загадочных файлов, всплывающих окнах с выводом контента 18+, перезагрузках ПК и прочих девиациях прямо в ходе игры.
Дело в том, что задействованная в игре устаревшая P2P-архитектура (в отличие от современных игр с выделенными серверами) открывает доступ к IP адресам игроков, создавая предпосылки для подобных атак.
Узнав IP-адрес жертвы, злоумышленник может отправлять ей напрямую специально сформированные сетевые пакеты, мимикрирующие под легитимные игровые данные, но с вложением вредоносной нагрузки.
Так что речи о взломе серверов Activision не идет, хакеры реализуют атаки на клиентскую часть игры, что обусловлено проблемами в реализации механизмов для проверки и фильтрации таких данных.
В свою очередь, Activision отчиталась проведением плановых работ, но официально не подтвердила эксплуатацию RCE-уязвимости.
Впрочем, удивляться не стоит, ведь многие из ее прошлых Call of Duty уже сталкивались с подобными проблемами.
Виртуозную аферу провернули хакеры в Бразилии, сумев через подрядчика взломать и опустошить сразу шесть банков.
Как сообщает Reuters, Центральный банк Бразилии выступил в среду с заявлением, подтверждая инцидент, связанный с компрометацией C&M Software, обслуживающей почти два десятка финансовых учреждений страны, не имеющих собственной транзакционной инфраструктуры.
Подробностей относительно случившегося не разглашают, но всем клиентам C&M было приказано закрыть доступ к управляемой ей инфраструктуре.
В свою очередь, коммерческий директор C&M Software Камаль Зогейб заявил, что компания стала жертвой кибератаки, которая привела к злоупотреблениям учетными данными клиентов в целях доступа к их системам и услугам.
Проникнув в систему C&M, преступник получил доступ к нескольким счетам, включая - самое важное - счет BMP, поставщика банковских услуг, работающего с 1999 года.
При этом в C&M заявляют, что все критические системы остаются полностью работоспособными, инициировано расследование совместно со специалистами Центробанка и полицией штата Сан-Паулу.
По одним данным, убытки оцениваются в 185 миллионов долларов, а ряд источников сообщают, что клиенты не понесли никаких убытков.
Тем не менее Бразильский финансовый институт BMP реализует активную поддержку пострадавшим учреждениям. Клиенты BMP не понесут никаких потерь, поскольку учреждение внесло залог для покрытия украденной суммы.
Насколько критичен инцидент можно судить по прошлогодней валовой выручке BMP, которая составила 804 млн реалов, а чистая прибыль - 231 млн реалов (43 млн. долл.).
