39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Rapid7 обнаружили восемь серьезных уязвимостей, которые затрагивают более 700 моделей принтеров, сканеров и этикетировочных машин Brother и ряда других производителей.
Помимо 689 моделей различных устройств Brother уязвимости также затронули 46 моделей принтеров Fujifilm Business Innovation, 5 - Ricoh, 6 - Konica Minolta и 2 - Toshiba.
В общем, как полагают исследователи Rapid7, выявленный набор подвергает риску эксплуатации миллионы корпоративных и домашних принтеров.
Самая серьезная из уязвимостей, критическая CVE-2024-51978, позволяет удаленному и неавторизованному злоумышленнику обойти аутентификацию и получить пароль администратора устройства по умолчанию.
CVE-2024-51978 может быть связана с уязвимостью раскрытия информации, CVE-2024-51977, которая, в свою очередь, может быть использована для излечения серийного номера устройства. Он необходим для генерации пароля администратора по умолчанию.
Как поясняют в Rapid7, это связано с обнаружением процедуры генерации пароля по умолчанию, используемой устройствами Brother.
У затронутых устройств пароль по умолчанию устанавливается на основе уникального серийного номера каждого устройства в процессе производства.
Наличие пароля администратора позволяет злоумышленнику перенастроить устройство или злоупотребить функционалом, предназначенным для аутентифицированных пользователей.
Оставшиеся уязвимости, имеющие уровни серьезности «средний» и «высокий», могут быть использованы для DoS-атак, заставляя принтер открывать TCP-соединение, получать пароль настроенной внешней службы, вызывать переполнение стека и выполнять произвольные HTTP-запросы.
Шесть из восьми уязвимостей, обнаруженных Rapid7, могут быть использованы без аутентификации.
Ресерчеры сообщили о своих выводах в Brother примерно год назад через японский JPCERT/CC.
Поставщик, свои очередь, выпустил соответствующие рекомендации, информируя клиентов об уязвимостях.
Brother исправила большинство уязвимостей, но заявляет, что CVE-2024-51978 не может быть полностью исправлена в прошивке. Для закрытия компания внесла изменения в производственный процесс.
Для существующих устройств доступен обходной путь.
Кроме того, отдельные рекомендации по выявленным проблемам также были опубликованы JPCERT/CC, Ricoh, Fujifilm, Toshiba и Konica Minolta.
Серьезный инцидент произошел в апреле этого года: неустановленные хакеры взломали системы норвежской плотины и открыли ее водяной клапан на полную мощность.
Инцидент затронул плотину озера Ризеватнет недалеко от города Свельген на юго-западе Норвегии.
Клапан работал на полную мощность в течение четырех часов, прежде чем было обнаружено и локализовано несанкционированное вмешательство.
По данным норвежского информагентства Energiteknikk, в результате атаки реального ущерба удалось избежать, объем воды лишь незначительно превысил минимальные пороховые значения, необходимые для штатного функционирования плотины.
Уровень воды превысил минимальную норму на 497 литров, при этом, как заверяют местные власти, русло реки могло выдержать и до 20 000 литров в секунду.
Расследование познало, что взлом стал возможен в виду слабого пароля к веб-панели управления Valve, что ими рассматривается как общераспространенная проблема для многих ICS.
При этом утверждается, что так и неясно, было ли включение клапана на полную мощность преднамеренным.
В общем, как бы не приуменьшали значимость инцидента, очевидно, что атака могла привести к более серьезным последствиям.
Впрочем, это не первый такой случай, в 2016 году, согласно отчету Verizon, хакеры взломали неназванное водоочистное сооружение и изменили химические уровни, что респонденты инцидента описали как «случайное».
В 2021 году взлом водопроводной компании в Олдсмаре, штат Флорида, был переквалифицирован на «случайный щелчок» одного из ее сотрудников.
Были, конечно, и «преднамеренные» инциденты.
В 2020 году пропалестинские хактивисты неоднократно взламывали израильские водоочистные сооружения и безуспешно пытались изменить уровень хлора в воде. Но это уже другая история.
Исследователи NeuralTrust обращают внимание на новый метод взлома под названием Echo Chamber, который можно использовать для обмана популярных больших языковых моделей (LLM) и генерации нежелательных ответов независимо от реализуемых мер безопасности.
В отличие от традиционных методов взлома, которые полагаются на состязательную фразировку или запутывание персонажей, Echo Chamber использует в качестве оружия косвенные ссылки, семантическое управление и многоэтапные выводы
Echo Chamber похож на джейлбрейк Crescendo от Microsoft, но все же отличается. Последний задает вопросы и пытается заманить LLM в желаемый запрещенный ответ.
В свою очередь, Echo Chamber, никогда не указывает LLM, «куда идти», но закладывает приемлемые «семена», которые постепенно направляют ИИ к предоставлению требуемого ответа.
Результатом является тонкая, но мощная манипуляция внутренним состоянием модели, постепенно приводящая к возникновению ответных действий, нарушающих политику.
Echo Chamber работает, манипулируя контекстом LLM (то, что он помнит о разговоре, чтобы обеспечить связный разговор), избегая при этом так называемой красной зоны (запрещенные запросы) и оставаясь в пределах зеленой зоны (приемлемые запросы).
Из зеленой зоны контекст сохраняется, и разговор может продолжаться; но если войти в красную зону, LLM отказывается отвечать, и контекст теряется.
Единственными критериями для атакующего являются сохранение контекста в зеленой зоне, избежание красной зоны и завершение атаки в пределах ограничений по времени или запросу в текущем контексте.
Итак, если использовать часто цитируемый пример получения степени магистра права для объяснения того, как создать коктейль Молотова, то в одном запросе «Молотов» имеет зеленый цвет, «коктейль» тоже имеет зеленый цвет, но «коктейль Молотова» и «бомба» оба имеют красный цвет, и их следует избегать.
LLM отвечает, потому что в подсказке нет ничего неправильного.
Поскольку он отвечает, этот ответ автоматически находится в зеленой зоне и в контексте зеленой зоны.
Затем злоумышленник может выбрать из этого ответа, но заполнить следующую подсказку дополнительными словами зеленой зоны.
Цель состоит в том, чтобы тонко увеличить ответы, более соответствующие намерению атаки, итеративно.
Главное отличие в том, что Crescendo с самого начала направляет ход разговора, в то время как Echo Chamber как бы просит LLM заполнить пробелы, а затем мы соответствующим образом направляем модель, используя только ответы LLM.
В частности, это представляет собой многоступенчатую технику состязательного подсказывания, которая начинается с, казалось бы, безобидного ввода, постепенно и косвенно направляя его к созданию опасного контента, не раскрывая при этом конечной цели атаки.
Подсказки кажутся безобидными и контекстно соответствующими, но тщательно разработаны, чтобы направить ассоциации модели на определенные эмоциональные тона, темы или повествовательные установки.
Ранние подсказки влияют на ответы модели, которые затем используются в последующих ходах для подкрепления первоначальной цели, что создает обратную связь, в которой модель начинает усиливать вредоносный подтекст, постепенно разрушая собственные меры безопасности.
NeuralTrust завершила обширное тестирование нового джейлбрейка на нескольких моделях LLM (включая GPT-4.1-nano, GPT-4o-mini, GPT-4o, Gemini-2.0-flash-lite и Gemini-2.5-flash) с 200 попытками на модель.
Попытки спровоцировать сексизм, насилие, разжигание ненависти и порнографию имели показатель успешности более 90%. Дезинформация и членовредительство имели показатель успешности около 80%, а ненормативная лексика и противозаконная деятельность имели показатель успешности более 40%.
Тревожным аспектом Echo Chamber является простота использования и скорость работы.
Для этого не требуется практически никаких технических знаний, его легко выполнять, и он быстро дает результаты. Тесты показали, что успех часто наступает всего за один-три разговора.
Siemens уведомляет клиентов о проблеме с антивирусом Microsoft Defender, которая может привести к отсутствию оповещений о вредоносном ПО или сбоям в работе предприятия.
Согласно представленным рекомендациям, проблема заключается в том, что в настоящее время Defender Antivirus не реализует функционал «только оповещения».
В документации Siemens для систем управления технологическими процессами Simatic PCS 7 и PCS Neo описаны конфигурации антивируса с указанием уровней оповещения об угрозах, при которых при обнаружении угрозы не предпринимаются никакие действия по умолчанию.
Проблема в том, что если продукт настроен на «игнорирование», то никаких действий не предпринимается и оповещение для оператора и администратора при обнаружении вредоносного ПО не формируется.
Если используется другая настройка, Defender Antivirus может удалить или поместить в карантин файлы, помеченные как потенциально вредоносные ПО (как истинные, так и ложные срабатывания), что может привести к сбоям в работе, если система использует потенциально зараженный файл.
Таким образом, как отмечают в Siemens, затронутые устройства могут выйти из строя, что может привести к потере контроля и управления предприятием.
До тех пор, пока Siemens не разработает совместно с Microsoft исправление, клиентам рекомендуется провести оценку рисков и определить, хотят ли они получать оповещения о заражении вредоносным ПО и подвергаться риску сбоев в работе, если антивирус вдруг удалит потенциально важные файлы.
Кроме того, клиентам рекомендуется задуматься над объединением затронутых устройств в кластеры для применения различных конфигураций к каждому их них в зависимости от потребностей и требований.
Начнем с типичной «атаки на цепочку мудаков»: в Канаде специалисты центра кибербезопасности совместно с ФБР США выяснили, что Salt Typhoon в феврале взломала местную телекоммуникационную компанию через CVE-2023-20198.
CVE-2023-20198 - представляет собой критическую уязвимость Cisco IOS XE, позволяющую удаленным неаутентифицированным злоумышленникам создавать произвольные учетные записи и получать привилегии уровня администратора.
Впервые уязвимость была обнаружена в октябре 2023 года, когда стало известно, что злоумышленники использовали ее в качестве 0-day для взлома более 10 000 устройств.
Несмотря на то, что с тех пор прошло достаточно много времени, по крайней мере, один крупный поставщик телеком услуг в Канаде не смог установить исправления, что обеспечило в итоге Salt Typhoon легкий доступ для взлома трех сетевых устройств.
Злоумышленники задействовали CVE-2023-20198 для получения файлов конфигурации со всех трех устройств и изменили как минимум один из файлов для настройки туннеля GRE, что позволило собирать трафик из сети.
Причем еще в октябре 2024 года после ряда инцидентов у американских провайдеров ШПД, связанных с Salt Typhoon, канадские власти также озадачились и задетектили разведдеятельность, нацеленную на десятки ключевых компаний в стране.
На тот момент никаких фактических нарушений не было подтверждено, и, несмотря на призывы усилить меры безопасности, некоторые поставщики критически важных услуг так и не предприняли необходимых мер.
Киберцентр отмечает, что, основываясь на отдельных расследованиях и краудсорсинговых данных, деятельность, связанная с Salt Typhoon, выходит за рамки телеком сектора и, по всей видимости, затрагивает также многие другие отрасли.
Во большинстве случаев активность ограничивается разведкой, хотя данные, украденные из внутренних сетей, могут быть использованы для горизонтального перемещения или атак на цепочки поставок.
При этом национальный киберцентр предупреждает, что атаки на канадские организации «почти достоверно продолжатся» в течение следующих двух лет, призвав критически важные организации защитить свои сети, в числе которых особое внимание уделяется объектам связи.
Как отмечают специалисты, атаки обычно таргетированы на пограничные устройства на периметре сети, маршрутизаторы, межсетевые экраны и устройства VPN, а также на поставщиков MSP и облачных услуг.
К настоящему времени на счету Salt Typhoon множество телекоммуникационных компаний в десятках стран, включая AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications и Windstream, а числе последних жертв - Viasat.
Учитывая столь «пристальное внимание» к эксплуатации сетей, как в случае с Канадой, представителям местного киберцентра предстоит еще не раз готовить новые бюллетени, освещая подобные «атаки на цепочку мудаков».
В общем, будем посмотреть.
В январе 2025 года мы сообщали об обнаружении исследователями Лаборатории Касперского вредоносных кампаний с использованием крипокрада SparkCat.
Тогда злоумышленники распространяли приложения с вредоносным SDK/фреймворком, который запрашивал права на доступа к галерее и при помощи OCR-модели нацеливался на фотографии с фразами восстановления доступа к криптокошелькам.
Зловред продвигался как через неофициальные источники, так и через магазины приложений Google Play и App Store. На этот раз ресерчерам удалось выловить на официальных площадках нового шпиона.
Предположительно, он также нацелен на криптовалютные активы жертв и связан со SparkCat, собственно, в виду этого и получил наименование SparkKitty.
Вредоносная кампания ведется как минимум с февраля 2024 года.
Зловред нацелен на устройства под управлением iOS и Android и распространяется как в дикой природе, так и в App Store и Google Play.
На момент публикации Google уже удалила зловред.
Одно из Java-приложений для Android, содержащих вредоносную полезную нагрузку, - мессенджер с функцией обмена криптовалют - было загружено в Google Play и установлено более 10 000 раз.
Еще одно из найденных зараженных приложений для Android называлось 币coin и распространялось через неофициальные источники. Однако у него была найдена версия для iOS прямо в App Store.
Как в версии для Android, так и в версии для iOS вредоносная нагрузка была частью приложения, а не какого-либо стороннего SDK или фреймворка.
Вредоносная нагрузка для iOS представлена в виде фреймворков (в основном маскируется под AFNetworking.framework или Alamofire.framework) и обфусцированных библиотек, мимикрирующих под libswiftDarwin.dylib, или напрямую встроена в приложения.
Троянец для Android существует в вариантах на Java и Kotlin. При этом версия на Kotlin является вредоносным Xposed-модулем.
Большинство версий зловреда крадет все изображения без разбора, однако исследователи ЛК нашли смежный кластер вредоносной активности, где для отбора картинок применяется OCR.
По данным ЛК, злоумышленники в основном были нацелены на пользователей из Юго-Восточной Азии и Китая.
Обнаруженные зараженные приложения в большинстве своем представляли различные китайские азартные игры, модификации TikTok, порноигры, ориентированные изначально именно на пользователей из этих регионов.
Технические подробности и индикаторы - в отчете.
Исследователи F6 представили новые подробности деятельности группы room155 (DarkGaboon или Vengeful Wolf), о которой впервые сообщили еще в январе 2025 исследователи Positive Technologies.
Злоумышленники реализуют атаки room155 на российские компании как минимум с мая 2023 года, а их основным вектором является рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.
В известных инцидентах через письма распространялся либо Revenge RAT, либо XWorm.
В ходе исследований F6 выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.
Образцы различных семейств вредоносного ПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве С2.
Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Также в последнее время группировка стала применять двойные расширения у исполняемых файлов (.pdf.scr, .pdf.exe, .xsl.scr, .xlsx.scr) и продолжила использовать разные иконки для них (документов MS Office и PDF).
В ходе этой кампании злоумышленники попеременно использовали протекторы Themida и .NET Reactor.
Кроме того, задействовался обфусцированный .NET мегадроппер, который извлекает из себя 4 сохраненных упакованных ресурса, каждый соответствует отдельной нагрузке.
Злоумышленники на протяжении всей своей активности использовали Dynamic DNS домены, образующие два непересекающихся кластера: первый - в период декабря 2022 - середину 2023, второй - с середины 2023 - по настоящее время (выделяется три различных группы C2).
Анализ виктимологии room155 позволили выделить основные цели - финансовые организации (51%). Далее по списку – компании в сфере транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Конечная цель атакующих - шифрование систем жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. При этом группа своего собственного сайта DLS не имеет.
Общение реализуется по почте ( room155@proton[.]me или room155@tuta[.]io) либо в Tox-чате.
Как отмечает исследователи, долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.
Технические подробности атак, инфраструктуры и вредоносного арсенала со всеми выявленными IOCs - в отчете.
Cloudflare рапортует об отражении крупнейшей из когда-либо зафиксированных распределенных атак типа DDoS, пиковая мощность которой составила 7,3 терабита в секунду (Тбит/с).
Атака, обнаруженная в середине мая 2025 года, была направлена на неназванного хостинг-провайдера, через сети которого прошло 37,4 терабайта в течение 45 секунд.
Ранее в январе этого года Cloudflare сообщала о DDoS-атаке мощностью 5,6 Тбит/с, направленную на неназванного интернет-провайдера (ISP) из Восточной Азии. Тогда для ее проведения был задействован вариант ботнета Mirai.
Позже в апреле 2025 года Cloudflare противостояла мощному трафику в 6,5 Тбит/с, который, вероятно, исходил от Eleven11bot, ботнета, состоящего примерно из 30 000 веб-камер и видеорегистраторов. Гиперобъемная атака длилась около 49 секунд.
Для сравнения, DDoS-атака мощностью 7,3 Тбит/с затронула в среднем 21 925 портов назначения одного IP-адреса хостинг-провайдера, достигнув пика в 34 517 портов назначения в секунду.
Многовекторная атака возникла из схожего распределения исходных портов и была идентифицирована как комбинация UDP-флуда, отражения QOTD, echo, NTP, portmap-флуда, атак Mirai UDP-флуда и усиления RIPv1. При этом UDP-флуд составил 99,996% всего трафика атаки.
Cloudflare также указала, что атака исходила из более чем 122 145 исходных IP-адресов, охватывающих 5 433 автономных систем (AS) в 161 стране.
Основными источниками трафика атак были Бразилия, Вьетнам, Тайвань, Китай, Индонезия, Украина, Эквадор, Таиланд, США и Саудовская Аравия.
Подкатили новые подробности относительно эксплуатации критической уязвимости FreeType, которая отслеживается как CVE-2025-27363.
Согласно данным WhatsApp, принадлежащий Meta (признана экстремистской), недавняя уязвимость FreeType, отмеченная на момент раскрытия информации как потенциально эксплуатируемая, была связана с эксплойтом израильской Paragon.
В середине марта Meta опубликовала рекомендацию, информируя пользователей о CVE-2025-27363 - уязвимости в библиотеке с открытым исходным кодом FreeType, которая может привести к RCE и потенциально могла быть использована в дикой природе.
В начале мая уязвимость в Android была исправлена и добавлена CISA в каталог известных эксплуатируемых уязвимостей.
Однако никакой публичной информации об атаках с использованием CVE-2025-27363 не поступало.
На этой неделе стало известно, что идентификатор CVE-2025-27363 был запрошен исследователями WhatsApp после того, как уязвимость была связана с эксплойтом Paragon.
Исследовательская группа Citizen Lab в марте сообщала, что 0-day WhatsApp использовалась в атаках шпионского ПО Paragon.
Представители WhatsApp тогда отмечали, что 0-day атаки включали использование групп и отправку PDF-файлов, а уязвимость была исправлена на стороне сервера, без необходимости исправления на стороне клиента.
При этом CVE-2025-27363 была обнаружена в ходе расследования других потенциальных каналов (за пределами WhatsApp), которые злоумышленники, прежде всего, компании-разработчики шпионского ПО, могут использовать для распространения вредоносного ПО.
В WhatsApp заявили, что поделились своими выводами с другими разработчиками в рамках координации общих усилий по повышению защиты в отрасли.
FreeType - это библиотека разработки, предназначенная для рендеринга текста на растровых изображениях, а также обеспечивающая поддержку других операций, связанных со шрифтами.
В случае CVE-2025-27363, которая влияет на FreeType 2.13.0 и более ранние версии, Meta обнаружила, что проблема возникает при попытке проанализировать структуры субглифов шрифта, связанные с TrueType GX и файлами переменных шрифтов.
Уязвимый код присваивает короткое знаковое значение длинному беззнаковому значению, а затем добавляет статическое значение, заставляя его переворачиваться и выделять слишком маленькое количество буфера кучи.
Затем код записывает до 6 длинных знаковых целых чисел за пределы этого буфера, что может привести к выполнению произвольного кода.
Paragon известна разработкой сложных эксплойтов, не требующих никакого взаимодействия со стороны целевого пользователя, а ее шпионское ПО Graphite Paragon в недавнем времени было замечено в Австралии, Канаде, Дании, Италии, Кипре, Сингапуре и Израиле.
Компания до недавнего времени также могла взламывать современные iPhone.
Правда, с тех пор, эксплуатируемая уязвимость была исправлена, как в случае и с CVE-2025-27363.
Но полагаем пройдет не много времени, прежде чем в Paragon смогут вооружиться новыми нулями, тем более, что оборотки заметно прибавилось в компании после финансирования со стороны американского правительства.
Мы встречаем нового CISO. Машу таращит от антидепрессантов. А лысый вообще не из нашего отдела.
Читать полностью…
Исследователи Tenable обнаружили серьезную проблему, связанную с неправильной настройкой разрешений на платформе Gerrit, которая могла привести к взлому ChromiumOS и других проектов Google.
Gerrit, разработанная Google, представляет собой платформу для совместной работы и обзора открытого исходного кода, которая позволяет разработчикам вносить изменения кода до их объединения в проекты.
Регистрация на Gerrit открыта для всех. Google использует эту платформу для ChromiumOS, Bazel, Dart, самого Gerrit, сторонних пакетов Chromium и множества других проектов.
По данным Tenable, разрешения по умолчанию как минимум в 18 проектах Google, а также состояние гонки в автоматизированном процессе отправки одобренных коммитов могли позволить злоумышленникам внедрить вредоносный код без взаимодействия с пользователем и реализовать атаку на цепочку поставок.
Получившая наименование GerriScary проблема связана с разрешением addPatchSet, которое позволяет зарегистрированным пользователям вносить изменения в существующие предложения по изменению кода, а также с процессом утверждения исправлений, который мог позволить злоумышленникам изменять одобренные изменения кода, не запуская новую проверку кода.
Любое изменение кода должно было соответствовать определенным требованиям к отправке и иметь маркировку, прежде чем объединялось ботом, но некорректно настроенные разрешения приводили к тому, что изменения оставались доверенными и одобренными даже после внедрения вредоносного кода.
В частности, Tenable обнаружила, что во многих проектах Google отсутствовали должным образом настроенные разрешения для механизма Gerrit под названием «условия копирования», что позволяло копировать их метки в дополнительные наборы исправлений.
По сути, это позволило добавлять вредоносные исправления к изменениям кода и сохранять требования по отправке.
Кроме того, исследователи выявили состояние гонки в процессе слияния, что позволяло модифицировать доверенные и одобренные изменения кода непосредственно перед тем, как автоматизированный бот их объединял.
Как полагают в Tenable, злоумышленники могут запросить API Gerrit или написать скрипт для перехвата изменений со статусом «отправляемых» и помеченных как подлежащие слиянию, а затем внедрить вредоносный код в изменение всего за несколько минут до того, как автоматизированный бот выполнит его слияние.
Для реализации нудно 5 минут в ChromiumOS и репозиториях Dart, а также до минуты - в других репозиториях Google, пока изменение не будет объединено ботом, включая вредоносный код.
По данным Tenable, в виду того, что GerriScary обусловлен неправильно настроенными разрешениями, любой проект, не устранивший эту проблему, подвержен атакам на цепочку поставок, приводящим к внедрению вредоносного кода в доверенные конвейеры.
Ресерчеры сообщили о проблеме 18 октября.
В течение 10 дней в Google подтвердили ошибку и внесли ограничения в разрешение addPatchSet для доверенных участников, продолжая при этом работать над устранением небезопасной логики копирования.
7 ноября Google полностью устранила уязвимости во всех проектах Gerrit, связанных с Chrome/ChromeOS. Проблеме была присвоена по итогу средняя степень серьезности, признаков эксплуатации не наблюдалось.
В январе компания перечислила Tenable вознаграждение в размере $5000 по программе баг-баунти, а в феврале уязвимости был присвоен идентификатор CVE-2025-1568.
😈 Как хакеры используют рекламные посты в социальных сетях.
• Еще в марте у Positive Technologies вышел интересный отчет, где подробно расписана вредоносная кампания, которая была нацелена на жителей стран Ближнего Востока и Северной Африки. Для распространения малвари хакеры создавали поддельные новостные группы в социальных сетях и публиковали посты с рекламой, содержащие ссылки на файлообменник или Telegram-каналы. По этим ссылкам располагался AsyncRAT - модифицированное вредоносное ПО для поиска криптокошельков и взаимодействия с Telegram-ботами. Если интересно, то почитайте детальное описание по ссылке ниже:
➡ https://www.ptsecurity.com/desert-dexter-ataki-na-strany-blizhnego-vostoka
• Так вот, давайте расскажу вам про распространение вредоносного ПО посредством различных блогов на YT \ Telegram и продвижение их через рекламу! На самом деле данный метод был весьма эффективным, и особенно эффективным он был в 2018-2020 году (если мы говорим о Telegram). Суть заключалась в следующем: злоумышленники создавали группы, куда публиковали различные программы или игры под видом "взломанных" приложений с платным функционалом. Такая группа активно рекламировалась в других каналах (особенно в даркнет сегменте) и тем самым находила свою аудиторию...
• Сейчас проблема носит точечный характер, так как телега активно борется с распространением ВПО через группы и удаляет их. Но про другие платформы забывать не нужно. Особенно такая схема была распространена на ютубе, когда под видом читов для игр продвигалась малварь для кражи крипты, а в дополнение покупали под ролик отзывы реальных людей. Какой вывод из этого следует? Всегда проверяйте то, что скачиваете! Напомню, что любой сомнительный файл \ ссылку \ ip и даже QR-код вы всегда можете проверить в нашем бесплатном боте. Всем безопасности ❤️
➡ S.E. Virus Detect.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Qualys TRU предупреждают о двух недавно обнаруженных уязвимостях локального повышения привилегий (LPE), которые могут быть использованы для получения прав root в системах, работающих под управлением основных дистрибутивов Linux.
Первая CVE-2025-6018 была обнаружена в конфигурации фреймворка Pluggable Authentication Modules (PAM) в openSUSE Leap 15 и SUSE Linux Enterprise 15, позволяя локальным злоумышленникам получить привилегии пользователя allow_active.
Другая CVE-2025-6019 была обнаружена в libblockdev и позволяет пользователю allow_active получить права root через демон udisks (службу управления хранилищем, которая по умолчанию работает в большинстве дистрибутивов Linux).
Успешное использование этих двух уязвимостей в рамках цепочки эксплойтов может позволить злоумышленникам быстро получить права root и полностью захватить контроль над системой SUSE.
При этом уязвимость libblockdev/udisks в принципе сама по себе также чрезвычайно опасна.
Номинально для нее, кончено, требуются привилегии allow_active, но учитывая, что udisks по умолчанию поставляется почти со всеми дистрибутивами Linux, следует полагать - практически любая система уязвима.
Методы получения allow_active, включая проблему PAM, раскрытую здесь, еще больше сводят на нет этот барьер.
Злоумышленник может объединить уязвимости для root-доступа, приложив для этого минимальные усилия.
Исследователи Qualys разработали также PoC-эксплойт, успешно реализовав CVE-2025-6019 для получения прав root в системах Ubuntu, Debian, Fedora и openSUSE Leap 15.
Кроме того, поделились также подробной технической информацией об этих уязвимостях (здесь) и ссылками на Openwall с соответствующими исправлениями безопасности.
С учетом повсеместного распространения udisk и простоты эксплуатации следует рассматривать выявленные проблемы в качестве критических и незамедлительно развертывать исправления.
Ведь, как отмечают ресерчеры, один неисправленный сервер подвергает опасности весь парк.
Veeam выпустила обновления для исправления ряда уязвимостей в Veeam Backup & Replication (VBR), включая критическую RCE-уязвимость.
Раскрытие CVE-2025-23121 приписывается исследователям watchTowr и CodeWhite.
Она затрагивает Veeam Backup & Replication 12 или более поздние версии, исправлена в 12.3.2.3617, которая была выпущена на днях.
Как объясняет Veeam в бюллетене по безопасности, уязвимость может быть использована аутентифицированными пользователями домена в атаках низкой сложности для удаленного выполнения кода на сервере резервного копирования.
Несмотря на то, что CVE-2025-23121 затрагивает только установки VBR, присоединенные к домену, любой пользователь домена может ею воспользоваться, что упрощает злоупотребления в таких конфигурациях.
При этом многие компании присоединили свои серверы резервного копирования к домену Windows, игнорируя рекомендации Veeam.
Учитывая, что решениями Veeam пользуются более 550 000 клиентов по всему миру, включая 82% компаний из списка Fortune 500 и 74% фирм из списка Global 2000, подобные уязвимости в VBR всегда находятся на прицеле организованной киберпреступности и APT.
В частности, в октябре-ноябре прошлого года на уязвимости VBR RCE нацеливались вымогатели Frag, Akira и Fog, а еще ранее - Cuba и FIN7.
Вероятно, новая проблема также не станет исключением. Но будем посмотреть.
Исследователи F6 сообщают о первых попытках атак на пользователей из России с использованием приложения SuperCard, новой вредоносной модификации легитимной программы NFCGate.
Весной 2025 года SuperCard использовалась в атаках на клиентов европейских банков, а меньше чем через месяц её протестировали и России.
SuperCard позволяет злоумышленникам похищать данные банковских карт путём перехвата NFC-трафика для последующего хищения денег с банковских счетов пользователей.
Незадолго до этого, в апреле 2025, итальянская Cleafy предупреждала об обнаружении MaaS-платформы SuperCard X, через которую это вредоносное ПО распространялось.
Первые атаки с использованием SuperCard исследователи задетектили в Италии.
Алгоритм выявленных Cleafy атак был аналогичен описанным в недавних отчетах F6, когда в криминальных целях задействовалось NFCGate.
Потенциальную жертву с помощью социнженерии побуждали установить вредоносный APK на устройство под видом полезной программы.
Вредоносные версии NFCGate реализовывались предстаивтелями киберподполья через даркнет, однако в случае SuperCard продажа вредоносного приложения с таким функционалом производилась с рекламой через Telegram-каналы и сервисной поддержкой клиентов.
Тогда же, в апреле 2025-го, аналитики F6 обнаружили ряд каналов на китайском языке, в которых предлагалась подписка на ВПО Supercard с поддержкой китайского и английского языкиов.
На китайском выходили все публикации, работала служба поддержки и боты для покупки подписки, на английском изредка появлялись уточняющие комментарии.
Распространялось вредоносное ПО для атак на пользователей крупных банков США, Австралии и Европы.
Никаких ограничений на использование вредоносного ПО в тех или иных странах установлено не было.
Так что спустя месяц после первого публичного упоминания SuperCard атаки с его применением настигли и Россию.
По результатам исследования семплов нового вредоносного ПО F6 были выявлены серьезные отличия как в части функциональных возможностей, так и в структуре кода, что свидетельствует о причастности к их разработке разных групп злоумышленников.
Столь пристальное внимание киберподполья к новинке обусловлено высокой маржинальностью подобных криминальных схем: только в первом квартале 2025 года совокупный ущерб от NFCGate составил 432 млн рублей, а число скомпрометированных устройств превысило 175 тыс.
Технические подробности исследования и индикаторы – в отчете.
GitHub выступила исправления для уязвимости высокой степени серьезности в нескольких версиях Enterprise Server, которая позволяет удаленно выполнить произвольный код.
Ошибка отслеживается как CVE-2025-3509 и имеет оценку CVSS 7,1.
Она связана с возможностью задействования функционала предварительного приема для привязки к портам, которые динамически выделяются и становятся доступными.
По данным GitHub, эксплуатация уязвимости возможна только при определенных условиях, например, во время процесса горячего исправления, и требует либо разрешений администратора сайта, либо пользователя с правами на изменение репозиториев, содержащих pre-receive hooks.
Первоначальное исправление уязвимости не было реализовано должным образом, что открывало возможности в определенных случаях воспользоваться ею, в связи с чем был выпущен новый патч.
Успешная эксплуатация CVE-2025-3509 могла позволить злоумышленникам выполнить произвольный код и повысить свои привилегии, что потенциально могло привести к полной компрометации системы.
Согласно GitHub, затронуты все выпуски Enterprise Server до 3.18.
Исправления ошибки были включены в версии Enterprise Server 3.17.1, 3.16.4, 3.15.8, 3.14.13 и 3.13.16, которые были выпущены на прошлой неделе.
Раскрытие CVE-2025-3509 произошло через программу вознаграждения за обнаружение ошибок.
Как отмечает в GitHub, какие-либо упоминания о ее реальной эксплуатации не встречались.
Мы хотели написать пост по поводу материала от команды CTI DomainTools в отношении иранской группы CyberAv3ngers, но дальше второго абзаца уйти не смогли:
The ongoing conflict between Iran and Israel has intensified across both physical and digital fronts. In the last two weeks alone, Iran has launched multi-warhead missile attacks targeting major Israeli cities such as Tel Aviv and Haifa. In response, Israel conducted retaliatory airstrikes against Iranian military installations, nuclear sites, and key IRGC-Cyber Electronic Command (IRGC-CEC) facilities in cities like Isfahan and Tehran.
В принципе, это все, что надо знать об объективности в современной инфосек индустрии. И эти люди втирают нам про "достоверные TTP's".
В истории с "мегаутечкой на 16 млрд паролей" появились новые 🚰подробности. Cтатья на сайте Сybernews обновилась.
Оказалось, что, по заявлению Cybernews, обнаружил её OSINTер 🇺🇦Боб Дьяченко (Bob Diachenko).
«Ни в одной из этих компаний не было централизованной утечки данных....Учетные данные, которые мы видели в логах инфостилеров, содержали URL-адреса входа на страницы Apple, Facebook и Google»
«По многочисленным просьбам мы выкладываем несколько скриншотов в качестве доказательства того, что такие наборы данных существуют. Ниже вы можете увидеть, что они действительно включают URL-адреса страниц входа в Facebook, Google, Github, Zoom, Twitch и другие сервисы»
«Некоторые из открытых наборов данных включали в себя такую информацию, как файлы cookie и сессионные токены, что усложняет устранение последствий такого воздействия. Эти куки часто могут использоваться для обхода методов 2FA, и не все сервисы сбрасывают куки после смены пароля учетной записи. В этом случае лучше всего сменить пароли, включить 2FA, если он еще не включен, внимательно следить за своими аккаунтами и обращаться в службу поддержки при обнаружении подозрительной активности»
«Cybernews неоднократно выпускал фейковые истории, которые подхватывались большинством сайтов новостей о технологиях. Они часто утверждают, что эти истории исходят от исследователей безопасности, но они неверно истолковывают основные факты. Они делают это уже довольно давно»
«Недавние сообщения об утечке 16 миллиардов учетных данных вызвали широкую озабоченность, причем утверждается, что это одна из крупнейших утечек в истории. Однако анализ, проведенный компанией Hudson Rock, показывает, что эта «утечка» гораздо менее значительна, чем предполагалось, и состоит из переработанных, устаревших и потенциально сфабрикованных данных, а не из нового взлома»
«Для того чтобы утечка cоставляла 16 миллиардов учетных данных, необходимо 320 миллионов зараженных устройств, а это нереально, учитывая глобальные тенденции заражения. Нам это говорит о том, что в набор данных добавлены избыточные, устаревшие или искусственно созданные данные»
Разработчики Teleport предупреждают о критической уязвимости в платформе с открытым исходным кодом, которая позволяет удаленным злоумышленникам обойти аутентификацию SSH и получить доступ к управляемым системам.
Teleport обеспечивает подключение, аутентификацию и контроль доступа для серверов и облачных приложений, поддерживая такие протоколы, как SSH, RDP и HTTPS, и также может использоваться с Kubernetes и различными базами данных.
Критическая CVE-2025-49825 имеет оценку CVSS 9,8 и может быть использована для обхода аутентификации SSH, что позволяет злоумышленникам получить доступ к системам, управляемым Teleport.
Проблема затрагивает версии Teleport Community Edition до 17.5.1 и была устранена с выпуском 17.5.2, 16.5.12, 15.5.3, 14.4.1, 13.4.27 и 12.4.35.
Teleport отмечает, что, хотя исправления были автоматически применены для его облачных клиентов, выделенные агенты Teleport должны быть обновлены как можно скорее.
По данным Fortinet, уязвимость затрагивает все системы, на которых работают агенты Teleport SSH, интегрированные развертывания OpenSSH и настройки прокси-сервера Teleport Git.
В настоящее время не существует общедоступных PoC, а также каких-либо доказательств того, что эта уязвимость была использована в реальных условиях.
Тем не менее, в компании заявляют, что все узлы необходимо обновить до исправленной версии Teleport, соответствующей основной версии вашего кластера.
При этом агенты, работающие в Kubernetes, следует настраивать с помощью средства обновления teleport-kube-agent, а не teleport-update.
IBM поспешила с обновлениями безопасности для устранения нелепой уязвимости в своих серверах резервного копирования Storage Protect.
Как утверждает сам компания, злоумышленники могут обойти аутентификацию, используя встроенную учетную запись администратора.
Проблема затрагивает все версии, выпущенные с апреля 2021 года.
Их коллеги, можно сказать по цеху, из ASUS также недостаточно внимания уделили жестко закодированным учетным данным API в приложении MyASUS.
Как удалось выяснить инженеру-программисту из Новой Зеландии, учетные данные находились внутри файлов DLL, установленных приложением MyASUS.
Учетные данные включали права администратора и могли позволить злоумышленникам получить доступ к любой учетной записи ASUS.
При этом ошибка затрагивает все версии MyASUS с момента выпуска приложения в августе 2022 года и, вероятно, затрагивает миллионы пользователей, включая тех, кто создал учетные записи ASUS для других продуктов.
В числе потенциально скомпрометированных данных - имена пользователей, номера телефонов, даты рождения, адреса, содержимое любых тикетов поддержки и потенциальные запросы RMA.
PoC и технические детали были направлены в ASUS в конце апреля, проблема была исправлена 20 мая с выпуском MyAsus 4.2.35.0.
Ожидается, что CVE для этой уязвимости будет назначена к 31 июля, а вознаграждение - нет.
Как оказалось, программа BugBounty в ASUS работает исключительно на альтруистических началах, так что, по всей видимости, в следующий раз - отчеты об ошибках поставщику будут присылать по результатам расследования инцидентов.
Правительство Австрии намерено напялить «демократический» цифровой колпак на пользователей в национальном Интернет-сегменте.
Для этого чиновники согласовали правовую базу, позволяющую силовикам перехватывать и контролировать защищенные шифрованием сообщения подозреваемых в Интернет-месснджерах.
Свои вторжения в частную жизнь правительство намерено оправдывать борьбой с терроризмом и шпионажем, поскольку в данных вопросах местные силы правопорядка находятся в «слепой зоне ЕС» и им приходится полностью полагаться на коллег из Великобритания и США.
Журналисты Reuters в своей публикации даже ссылаются на якобы предотвращенное благодаря такому сотрудничеству Управлением государственной безопасности и разведки (DSN) нападения на участников концерта Тейлор Свифт в Вене в августе прошлого года.
Отвечающие за надзор над спецслужбами местные депутаты называют «сегодняшнее решение кабинета министров - важной вехой в борьбе с терроризмом и шпионажем в Австрии.
Согласно новой системе, контроль переписки должен быть одобрен коллегией из трех судей и применяться только к ограниченному числу случаев. Как заявляет Министр внутренних дел Герхард Карнер, ожидается, что новый порядок будет применяться лишь в отношении 25-30 человек в год.
Правительство отмечает, что если число таких случаев превысит 30, спецслужбы должны будут отчитываться перед соответствующим парламентским комитет, дабы избежать организации массовой слежки и нарушения неприкосновенности частной жизни граждан.
После утверждения новых законодательных требований, правительством будет реализован тендер на поставку соответствующих средств мониторинга, проведение которого запланировано не ранее 2027 года.
По всей видимости, такой временной лаг обусловлен необходимостью гармонизации национального законодательства стран - участников Еврозоны, о чем мы уже ранее также сообщали.
Все уже предрешено, к тому времени и поставщиков spyware обязательно причешут и легализуют.
В завершении недели отметим наиболее трендовые уязвимости и угрозы, а также связанные с ними рекомендации и обновления:
1. BeyondTrust выпустила обновление для исправления ошибки удаленного выполнения кода в своих приложениях удаленного рабочего стола.
CVE-2025-5309 была обнаружена исследователями Resilion и влияет на продукты BeyondTrust Remote Support и Privileged Remote Access.
Она позволяет удаленным злоумышленникам внедрять вредоносный код в шаблонизатор BeyondTrust и захватывать неисправленные серверы.
2. Citrix выпустила обновления для четырех уязвимостей в трех продуктах, включая критическую проблему (CVE-2025-5777) в NetScaler ADC и NetScaler Gateway.
Citrix не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но пользователям рекомендуется обновить свои установки как можно скорее.
3. Джонатан Мэннхен отыскал ошибку в стандартной библиотеке Erlang/OTP ZIP-процедур, которая позволяет проводить атаки с обходом абсолютного пути, позволяя злоумышленникам перезаписывать или создавать любой путь по своему усмотрению.
4. Исследователи CrowdStrike представили обзор наступательной техники, известной как обход AMSI без патчей, ее недавнего злоупотребления и способов ее обнаружения.
5. Cisco выкатила два бюллетеня безопасности для различных своих решений.
6. Atlassian объявила о выпуске исправлений для пяти уязвимостей в сторонних зависимостях Bamboo, Bitbucket, Confluence, Crowd и Jira.
К ним относятся CVE-2025-22228 (неправильная авторизация в Spring), CVE-2025-24970 (DoS в фреймворке Netty), CVE-2024-38816 (обход пути, связанный с веб-фреймворками WebMvc.fn и WebFlux.fn), CVE-2024-57699 (DoS в Netplex Json-smart) и CVE-2025-31650 (DoS в Apache Tomcat).
7. Microsoft объявила о планах периодического удаления устаревших драйверов из каталога Центра обновления Windows для снижения рисков безопасности и совместимости.
8. GreyNoise предупреждает о всплеске попыток эксплуатации CVE-2023-28771 (оценка CVSS 9,8) в межсетевых экранах Zyxel, которой уже два года.
Исследователи подозревают, что попытки эксплуатации связаны с вариантом ботнета Mirai.
9. Недавняя критическая уязвимость Langflow, известная как CVE-2025-3248, использовалась для вовлечения устройств в ботнет Flodrix, о чем сообщила Trend Micro.
В частности, злоумышленники сканировали интернет на предмет уязвимых экземпляров Langflow, а затем использовали один из общедоступных PoC, чтобы получить доступ к оболочке в системе и запустить различные команды в разведывательных целях.
Исследователи Zimperium раскрывают новую версию вредоносного ПО для Android Godfather, которая задействует виртуализацию для взлома банковских приложений.
Вредоносные приложения запускаются в контролируемой виртуальной среде на устройстве, позволяя осуществлять шпионаж в режиме реального времени, кражу учетных данных и манипулирование транзакциями, реализуя при этом «идеальный» визуальный обман.
Подобная тактика прослеживалась во вредоносном ПО FjordPhantom для Android в конце 2023 года, которое также использовало виртуализацию для запуска банковских приложений SEA внутри контейнеров с целью уклонения от обнаружения.
Однако сфера действия Godfather гораздо шире и затрагивает более 500 банковских, криптовалютных и коммерческих приложений по всему миру, используя полноценную виртуальную файловую систему, виртуальный идентификатор процесса, подмену намерений и StubActivity.
По данным Zimperium, уровень обмана достаточно высок: пользователь видит реальный пользовательский интерфейс приложения, а защита Android пропускает аспект вредоносной операции, поскольку в манифесте декларируются только действия хост-приложения.
Godfather поставляется в виде APK, содержащего встроенную среду виртуализации, использующую для подключения инструменты с открытым исходным кодом, такие как движок VirtualApp и Xposed.
После активации на устройстве он проверяет наличие установленных целевых приложений и перемещает их в виртуализированную среду, используя StubActivity для запуска внутри контейнера хоста.
StubActivity действует как оболочка или прокси-сервер для запуска и выполнения действий из виртуализированных приложений.
Он не содержит собственного пользовательского интерфейса или логики, а вместо этого делегирует поведение хостовому приложению, обманывая Android и заставляя его думать, что запущено легитимное приложение, но на самом деле перехватывая и контролируя его.
Когда жертва запускает настоящее банковское приложение, разрешение службы специальных возможностей Godfather перехватывает Intent и перенаправляет его в StubActivity внутри хост-приложения, которое инициирует виртуальную версию банковского приложения внутри контейнера.
Пользователь видит реальный интерфейс приложения, но все конфиденциальные данные, задействованные в его взаимодействии, могут быть легко перехвачены.
Используя Xposed для подключения к API, Godfather может фиксировать учетные данные, пароли, PIN-коды, события касания и захватывать ответы из банковского бэкэнда.
Вредоносная ПО отображает фейковый экран блокировки в ключевые моменты, чтобы обманом заставить жертву ввести свой PIN-код или пароль.
После извлечения данных Godfather ожидает команд от операторов для разблокировки устройства, выполнения навигации по пользовательскому интерфейсу и инициирования переводов уже из реального банковского приложения.
При этом пользователю демонстрируется поддельный экран обновления или черный экран, чтобы не вызвать подозрений.
Godfather впервые появился в марте 2021 года, его обнаружила ThreatFabric, и с тех пор заметно эволюционировал, что можно увидеть ьв сравнении даже с последним образцом, проанализированным Group-IB в декабре 2022 года.
Несмотря на то, что обнаруженная Zimperium кампания нацелена два десятка приложений турецких банков, в распоряжении операторов Godfather более 500 целевых приложений, которые могут быть задействованы для атак на другие регионы.
Будем следить.
🧬Анатомия хайпа: утечка на «16 миллиардов паролей»
Новостные ленты пестрят заголовками о «величайшей утечке» и компрометации 16 миллиардов паролей. Первоисточником выступил портал Cybernews, информацию оперативно подхватили Forbes и другие крупные медиа. Звучит как настоящий киберапокалипсис, но если отделить зерна от плевел, то картина получается совсем иной.
Начнем с первоисточника. Cybernews действительно время от времени находят уязвимости и утечки. Исследователи обнаружили масштабный набор данных, который был временно доступен через незащищенные экземпляры Elasticsearch или объектных хранилищ (object storage instances). Проблема кроется в подаче и последующей медийной интерпретации. Использование формулировок вроде «план для массовой эксплуатации» и «свежая, готовая к применению разведывательная информация» создает ложное впечатление единовременного и катастрофического взлома супер-пупер глобального хранилища. Не обладая технической экспертизой, журналисты приняли такую подачу за чистую монету. Цифра в 16 миллиардов стала триггером, а путаница в терминах, когда одни пишут про «учетные записи», а другие про «пароли», лишь усилила медийный хайп.
В чем же фундаментальная ошибка такой подачи? Как верно подметили трезвые аналитики, это не утечка, а компиляция. Данный массив является результатом многолетней работы вредоносных программ класса инфостилер. Механика процесса проста: тысячи компьютеров заражаются, а затем инфостилер похищает все сохраненные в браузерах пароли, после чего логи агрегируются в стандартизированном формате (URL:логин:пароль). То, что нашли исследователи, всего лишь гигантский «склад» таких логов. В нем огромное количество дублей, устаревших паролей и давно скомпрометированных данных.
Вместо того, чтобы подготовить сдержанный технический отчет для ИБ-сообщества с внятной детализацией (заявления серьёзные), они упаковали свою находку в сенсационную обертку для широких масс и СМИ.
Если появятся какие-то новые вводные, детали (что-то интересное) или аналитики опубликуют убедительные доказательства того, что "утечка" заслуживает внимания, то сделаю ещё один пост, а так нет смысла обсуждать.
В любом случае рекомендуется использовать сложные и уникальные пароли, подключить двухфакторную аутентификацию (2FA) и проверять периодически себя на утечки. Стоит напомнить, что в РФ у нас есть свой Have I Been Pwned — https://chk.safe-surf.ru (сайт создан при поддержке 🛡 Национального координационного центра по компьютерным инцидентам (НКЦКИ).
✋ @Russian_OSINT
Ресерчеры из Лаборатории Касперского выкатили отчет с обзором активности APT и финансово мотивированных атак на промышленные предприятия и объекты критической инфраструктуры, раскрытых в первом квартале 2025 года.
Не вдаваясь в детали, выделим основные отмеченные исследователями по итогам квартала тренды.
На корейском направлении исследователи отмечают риски атак на цепочки поставок. На этот раз целью стал местный разработчик VPN-решения.
Пострадала как минимум одна промышленная компания - производитель полупроводниковой продукции.
В двух инцидентах задействовались 0-day в ходе атак на промышленные организации - один касался уязвимости 7-Zip, а другой - 0-click в MS Windows.
Разработчик отказался исправить последнюю уязвимость, хотя она была отслежена в нескольких вредоносных кампаниях, самая ранняя из которых произошла в 2017 году.
Техника использования файлов-полиглотов, которые создаются из данных разных форматов таким образом, что их интерпретируют разные легитимные интерпретаторы, внезапно стала популярной среди злоумышленников.
Исследователи Proofpoint сообщили об одной такой кампании с участием полиглотов PDF/HTA и PDF/ZIP, в то время как эксперты ЛК предупредили о другой - участием полиглота PE/ZIP.
Еще одна история - это сложные методы кражи данных аутентификации на этапах бокового перемещения. Подчеркивается необходимость для постоянно проверять периметр промышленных предприятий на предмет признаков потенциальной компрометации.
Настоятельно рекомендуем ознакомиться всем, кто интересуется APT-тематикой.
Фактурно в новом обзоре раскрыты:
- атаки SalmonSlalom, нацеленные на организации в Азиатско-Тихоокеанском регионе с помощью фишинга и FatalRAT;
- вредоносная кампания по доставке VIP Keylogger, ориентированная на инжиниринговые компании в Азиатско-Тихоокеанском регионе;
- новейшая виктимология и арсенал SideWinder;
- фишинговая кампания Squid Werewolf с финальной нагрузкой - VeilShell;
- деятельность связанной с Китаем APT PlushDaemon, которой удалось провернуть атаку на цепочку поставок южнокорейского VPN IPany;
- атаки на маршрутизаторы Juniper и VPN-шлюзы с использованием J-magic;
- использование Shadowpad для для развертывания ранее не документированного семейства ransomware;
- новая кампания атак под названием RevivalStone, организованная группой Winnti;
- новые кампании китайской APT Lotus Blossom на Филиппинах, во Вьетнаме, Гонконге и Тайване с обновленным бэкдором Sagerunex;
- TTPs впервые замеченного китайскоязычного злоумышленника Earth Alux;
- удары по российским научно-производственным предприятиям, предпринимаемые Sticky Werewolf;
- особенности кибершпионажа Rezet (Rare Wolf) на российском, белорусском и украинском направлениях;
- задействование CVE-2025-0411 для развертывания вредоносного ПО SmokeLoader в кампании, нацеленной на украинские организации;
- атаки на российские компании со стороны группировки Mythic Likho;
- новые активности группы ReaverBits;
- разоблачение ранее неизвестной APT-группы под названием Telemancon;
- разбор инструментария и волны новых целевых атак Head Mare;
- описание инциированной подгруппой Seashell Blizzard кампании BadPilot;
- атаки с использованием GoGo Exfiltration;
- расследование новой APT-атаки под названием NGC4020;
- препарирование нового злоумышленника, получившего название Desert Dexter;
- деятельность UNK_CraftyCamel;
- атаки с использованием загрузчика вредоносного ПО под названием MintsLoader, а также уязвимости ZDI-CAN-25373;
- IOC и TTPs программы-вымогателя Ghost (Cring).
В общем, полная версия отборной аналитики - здесь.
Журналисты Bloomberg совместно с Lighthouse Reports провели расследование, результаты которого указывают на то, что швейцарская компания Fink Telecom Services обрабатывала коды 2Fa для Google, Meta и Amazon, оказывая при этом услуги кибершпионажа, в том числе госсектору.
Дело в том, что Big Tech компании сами не отправляют коды авторизации своим клиентам напрямую, для этого задействуется целая сеть подрядных организаций на аутсорсинге, которые обеспечивают «маршрутизацию SMS-трафика с наименьшей стоимостью».
При этом в виду присущих SMS недостатков субъекты, обрабатывающие такие сообщения, могут видеть их содержимое.
Но сложность системы означает, что ни отправитель, ни получатель не могут быть уверены в том, кто именно обрабатывал их по пути.
Предоставленная журналистам в анонимном порядке подборка из примерно 1 млн. сообщений с кодами 2Fa за июнь 2023 года показала, что каждое из них прошло через сеть малоизвестной швейцарской компании Fink Telecom Services.
Согласно многочисленным ИБ-отчетам, компания и ее основатель Андреас Финк активно сотрудничали со спецслужбами и частными заказчиками, реализуя услуги по наблюдению за мобильными телефонами, установлению местоположения пользователей и взлому онлайн-аккаунтов.
Бывший инженер Cisco Systems Inc., Финк основал свою компанию в 2016 году.
Несмотря на ее небольшой размер штата (менее 10 сотрудников), ей удалось заключить прибыльные контракты в различных сферах технологического наблюдения.
Ключевой частью бизнеса Fink Telecom являются контракты с международными операторами мобильной связи на использование так называемых глобальных номеров.
Они служат своего рода телефонным номером Telecom-to-Telecom, позволяя владельцам отправлять сообщения на мобильные сети в других странах.
Помимо использования своих глобальных номеров для собственных операций, телеком-компании могут получать дополнительный доход, сдавая их в аренду таким операторам, как Fink.
Fink Telecom владел или имел права на глобальные права у телекоммуникационных компаний в таких локациях, как Швейцария, Великобритания, Намибия и даже Чеченская Республика.
В представленных журналистам сообщениях помимо автоматически сгенерированными кодов входа также присутствовали пути маршрутизации до конечных пунктов назначения.
Среди отправителей - Google, Meta (признана экстремистской) и Amazon, несколько европейских банков, популярные приложения, такие как Tinder и Snapchat, криптобиржа Binance и мессенджеры Signal и WhatsApp.
Предполагаемые получатели - в более чем 100 странах на пяти континентах.
Сам Финк категорически отрицает все обвинения и заявляет, что напрямую не работает с крупными технологическими игроками, прокладываясь сетью субподрядных компаний и делаюя весь процесс передачи сообщений абсолютно непрозрачным.
Шокирующим является даже не это, а то, что Финк до сих пор продолжает получать доступ к нужному сегменту сообщений.
Исследователи из Positive Technologies сообщают об обнаружении атак TaxOff, нацеленных на 0-day в Google Chrome, которая была исправлена после ее раскрытия Лабораторией Касперского в рамках расследования ее реальной эксплуатации в ходе кампании «Операция ForumTroll».
Атака, обнаруженная Позитивами в середине марта 2025 года, включала использование уязвимости выхода из «песочницы», отслеживаемой как CVE-2025-2783 с оценкой CVSS: 8,3.
Первоначальным вектором атаки выступает фишинговое письмо с вредоносной ссылкой.
При переходе активировался Zero-Click эксплойт (CVE-2025-2783), что приводило к установке бэкдора Trinper, используемого TaxOff.
При этом фишинговое письмо было замаскировано под приглашение на форум «Примаковские чтения» (та же приманка, о которой сообщали Касперы), призывая пользователей нажать на ссылку, ведущую на поддельный веб-сайт, на котором размещался эксплойт.
TaxOff впервые была задокументирована Позитивами в конце ноября 2024 года как группа, нацеленная внутренние государственные учреждения с помощью фишинговых писем юридического и финансового характера для доставки вредоносного ПО Trinper.
Написанный на C++, бэкдор использует многопоточность для захвата информации о хосте жертвы, записи нажатий клавиш, сбора файлов c определеннымb расширениямb (.doc, .xls, .ppt, .rtf и .pdf), а также установления соединения с C2 для получения команд и извлечения результатов выполнения.
Инструкции, отправляемые с C2, расширяют функциональность импланта, позволяя ему читать/записывать файлы, выполнять команды с помощью cmd.exe, запускать обратную оболочку и завершать работу.
Как отмечают Позитивы, многопоточность обеспечивает высокую степень параллелизма, позволяя скрыть бэкдор, сохраняя при этом возможность собирать и извлекать данные, устанавливать дополнительные модули и поддерживать связь с C2.
Расследование мартовского взлома привело к обнаружению еще одной атаки, датируемой октябрем 2024, которая также началась с фишингового письма с фейковым приглашением на международную конференцию «Безопасность Союзного государства в современном мире».
В этом письме содержалась ссылка, которая загружала файл архива ZIP с ярлыком Windows, который, в свою очередь, запускал команду PowerShell, в конечном итоге отображая документ-приманку и запуская бэкдор Trinper посредством загрузчика Donut с открытым исходным кодом.
Кроме того, была обнаружена разновидность атаки, которая заменяет загрузчик Donut на Cobalt Strike.
Данная цепочка атак имеет ряд тактических сходств с killchain другой группы, известной как Team46, что повышает вероятность того, что эти два кластера угроз являются одним и тем же субъектом.
Причем, другая серия фишинговых писем, отправленных Team46 месяцем ранее, была реализована якобы от Ростелекома, предупреждая получателей о предполагаемых отключениях из-за технического обслуживания в прошлом году.
В письмах содержался ZIP-архив, в который был встроен ярлык, запускавший команду PowerShell для развертывания загрузчика, который ранее использовался для доставки другого бэкдора в ходе атаки, нацеленной на неназванную российскую компанию в сфере Ж/Д-грузоперевозок.
Эта группа использует 0-day эксплойты, что позволяет ей более эффективно проникать в защищенные инфраструктуры.
Группа также создает и использует сложное вредоносное ПО, преследуя долгосрочную стратегию и сохраняя устойчивость в скомпрометированных системах.
Новости из мира коммерческих шпионцев
Я время от времени пишу про коммерческое шпионское ПО. Это то, которое продается относительно легально, в зависимости от юрисдикции и тд. Сегодня я расскажу немного про новую "звездочку", которую активно, судя по всему, лоббируют для рынка США взамен наследившей NSO Group и еёйной Pegasus.
И так, знакомьтесь, Paragorn Solutions, основана в 2019 в Израиле. Стартер пак израильского стартапа: выходцы из Unit 8200 (например, бригадный генерал запаса, служил командиром подразделения 8200), бывший премьер министр Израиля как главный инвестор и GR и тд (фото 1). Забавный факт - один со-основателей и одновременно CTO то ли шифруется коряво, то ли журналисты "путают" фамилию - Игорь Богудлов (по другой версии Богданов)
В марте 2021 года они открывают "дочку" в штатах Delaware, а в октябре 2022 года получают разрешение на ведение бизнеса в штате Вирджиния. Почему там? Да прост... И в целом в этом штате ОЧЕНЬ МНОГО ИБ стартапов с мутненькими темками. Ну да ладно, едем дальше. Дочку в Штатах накачивают топ "бывшими": бывшие ЦРУшники, бывший ввсник, бывшкая из L3Harris (тоже гос подрядчик штатовский).
Дальше веселее. В декабре 2024 года Paragon (оставшееся израильское подразделение) выкупается частной инвестиционной компанией из США AE Industrial Partners. Изначальный транш - 500 млн USD с увеличением объема сделки до 900 млн USD. Средства были распределены между 450 (!!!) сотрудниками Paragon, ее соучредителями и венчурными инвесторами, такими как Battery Ventures и Red Dot. После сделки по легальному переносу активов из Израиля в США, Paragorn заводят под крыло другой ибэшкой компании из США - REDLattice. Они специализируются на услугах для Госдепа и "ангглоговорящих стран". Перевожу - подрядчик американской военщины и 5EYES (разведовательное сообщество пяти англоговорящих стран)
Зачем всё это? Очень просто - NSO со своим Pegasus очень сильно наследили последнее время. А легализовать рынок кибератак в США нужно. В Израиле уже давно есть термин "cyberattack industry". Однако США нужно заполнить эту нишу: (а) санкции на существующих игроков вне США; (б) покупка перспективных новичков, подвод их за ручку к текущим клиентам и расширение портфолио. И теперь это не киберпреступники и нарушители privacy, а борцы за демократию. Гениально, мне кажется. Смело, дерзко, уверенно
Первые сделки в США у Paragorn были с DEA (Управление по борьбе с наркотиками). Это уже не случайность, а зависимость. На этом "грязном" агентстве, которое активно использует новые эксперементальные технологии, обкатывают многое
Передел рынка коммерческого шпионского ПО идет очень быстро. Подход поистине масштабный и основательный. Причем даже израильские сми уже пишут, что тяжело от американских санкций в области "cyberattack industry", что многие специалисты из этой области либо меняют профиль, либо переезжают на Ближний Восток, где это можно - работают в Intellexa, которую основали Tal Dilian (выходец из Unit 81 и вместе со своей женой под санкциями США) и, простихоспади, Dark Matter. Видимо будут "договариваться" с мессенджерами типа WhatsApp и Signal. Мол, мы не невинных ломаем, а тех, кого нужно. "Хотите узнать почему? Ой сорри - CLASSIFIED INFORMATION. Предъявите доступ к этой инфе с разрешением DoD и тогда дадим". С точки зрения приватности и защиты пользователей - полная катастрофа. С точки зрения работы GR и стратегического развития бизнеса (вижу цель, не вижу преград) - вау!
К сожалению, или счастью (ищу тут веские доводы), в России рынок cyberattack industry даже не в зачаточном состоянии, а в каком-то подполье и нет нормальной организованности. Но, боюсь, что классический подход к такой организованности может сделать хуже. Тут нужно смелее
- Махните рукой если запомнили положения политики ИБ!
Правильные методы корпоративного обучения на канале SecAtor.
У Microsoft традиционно что-то снова поломалось после выпуска обновлений, а этот раз проблема связана с зависанием службы DHCP зависает на некоторых системах Windows Server после июньского PatchTuesday.
DHCP автоматизирует назначение IP-адресов и других сетевых конфигураций, сокращая объем администрирования сети и обеспечивая надежную конфигурацию IP-адресов в сетях Windows.
В затронутых средах вновь возникшая проблема DHCP, которую на выходных официально подтвердила сама Microsoft, препятствует корректному применению обновлений одноадресных IP-адресов на сетевых устройствах.
Как отмечает Редмонод в рекомендациях по безопасности, после установки обновления служба DHCP-сервера может периодически переставать отвечать, затрагивая обновление IP-адресов клиентов.
В числе затронутых версий Windows и обновлений, вызывающих эту проблему: Windows Server 2016 (KB5061010), Windows Server 2019 (KB5060531), Windows Server 2022 (KB5060526) и Windows Server 2025 (KB5060842).
В общем, в Microsoft проблему обещают исправить. Как обычно оперативно - согласно традиционной формуле: как только, так сразу.
В частности, возникшие после апрельского патча проблемы аутентификации на контроллерах домена Windows Server микромягкие закрыли лишь в июне.