39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Ресерчеры Лаборатории Касперского выкатили отчет об угрозах для малого и среднего бизнеса в 2025 году, который традиционно рассматривается злоумышленниками как менее защищенный, нежели крупный корпоративный сектор.
В этом контексте в ЛК отмечают, что атаки через подрядчиков, также известные как атаки через доверительные отношения, по-прежнему входят в тройку самых популярных методов проникновения в корпоративные сети.
Поскольку малый и средний бизнес действительно в большинстве случаев менее защищен, он привлекает внимание как оппортунистов, так и организованных групп.
Атаки с использованием ИИ становятся все более распространенными, обеспечивая оперативную подготовку и адаптацию фишинговых и вредоносных кампаний, что позволяет увеличивать их масштаб и эффективность.
Тем временем на малый и средний бизнес реализуется достаточно мощное давление со стороны регулятора, выдвигающего все более строгие требованиями к кибербезопасности
В новом отчете Касперы постарались выделить ключевые векторы атак, к которым следует быть готовы представителям малого и среднего бизнеса.
Согласно телеметрии Kaspersky Security Network (KSN), в первом квартале около 8500 пользователей МСБ подверглись кибератакам, в которых вредоносное или потенциально нежелательное ПО было замаскировано под популярные: ChatGPT, Zoom, Cisco AnyConnect, Google Drive и Meet, DeepSeek, Salesforce, а также приложения Microsoft Office.
При этом среди обнаруженных угроз больше всего уникальных вредоносных и потенциально нежелательных файлов - 1652, имитировали Zoom (41% от общего числа).
Программы Microsoft Office по-прежнему остаются популярной приманкой: Outlook и PowerPoint - по 16% каждая, Excel - почти 12%, а на Word и Teams приходится 9% и 5% соответственно.
Количество уникальных вредоносных файлов, имитирующих ChatGPT, выросло на 115% и составило 177 за первые четыре месяца 2025 года.
Кроме того, в этот список сразу же попала большая языковая модель DeepSeek, выпущенная в 2025 году.
Другая актуальная тактика злоумышленников в 2025 году заключается в том, чтобы обманным путем заставлять пользователей загружать или запускать вредоносное ПО под прикрытием брендов платформ для совместной работы.
Доля угроз, маскирующихся под Zoom, выросла на 14 процентных пунктов, достигнув отметки 1652 уникальных файла, в то время как доли Microsoft Teams и Google Drive увеличились чуть более чем на 3 и 1 процентных пункта, что соответствует 206 и 132 файлам.
Общее число уникальных вредоносных и нежелательных файлов, имитирующих легитимные программы, немного снизилось в 2025 году по сравнению с 2024 годом - с 5587 до 4043.
Число файлов, затронувших российских пользователей, также незначительно снизилось и составило 2185 (против 2344 в аналогичный период 2024 года).
Среди самых опасных угроз для малого и среднего бизнеса в 2025 году - загрузчики, троянцы и рекламное ПО.
Кроме того, фиксируется широкий спектр фишинговых и мошеннических схем, нацеленных на малый и средний бизнес.
Подробная инфографика, статистика, разбор популярных схем и рекомендации - в отчет.
GreyNoise сообщает о аномальном всплеске активности сканирования систем Progress MOVEit Transfer, который наблюдается начиная с 27 мая 2025 года.
По всей видимости, злоумышленники готовятся к очередной кампании по массовому использованию уязвимостей или ищут неисправленные системы.
MOVEit Transfer - популярное решение для управляемой передачи файлов, используемое крупным бизнесом и госсектором для безопасного обмена конфиденциальными данными. В последне время стало излюбленной целью киберподполья.
До отмеченной даты показатели сканирование укладывались в минимальные значения - обычно в день наблюдалось менее 10 IP-адресов, но 27 мая это число резко возросло до более чем 100 уникальных IP-адресов, а 28 мая — до 319 IP-адресов.
При этом с тех пор ежедневный объем таких IP-адресов периодически увеличивался и составлял от 200 до 300 IP-адресов в день, что является серьезным отклонением от обычной активности.
За последние 90 дней было выявлено 682 уникальных IP-адреса, а за последние 24 часа - и вовсе 449, из которых 344 были отнесены к категории подозрительных, а 77 были отмечены как вредоносные.
Большинство IP-адресов дислоцированы в США, за которыми следуют Германия, Япония, Сингапур, Бразилия, Нидерланды, Южная Корея, Гонконг и Индонезия.
GreyNoise также сообщила, что 12 июня 2025 года она обнаружила попытки локальной эксплуатации двух известных уязвимостей MOVEit Transfer (CVE-2023-34362 и CVE-2023-36934).
CVE-2023-34362 интересная тем, что ранее задействовалась бандой вымогателей Cl0p в ходе широкомасштабной кампании в 2023 году, затронувшей более 2770 организаций.
Очевидно, последние показатели вредоносной активно также могут указывать на признаки новой волны атак на экземпляры MOVEit Transfer.
В общем, будем посмотреть.
Недавняя уязвимость в Citrix NetScaler ADC и Gateway получила название CitrixBleed 2 в виду ее сходства с более старой эксплуатируемой уязвимостью, которая позволяла неавторизованным злоумышленникам перехватывать файлы cookie сеанса аутентификации с уязвимых устройств.
На прошлой неделе Citrix выкатила бюллетень с предупреждением об уязвимостях, отлеживаемых как CVE-2025-5777 и CVE-2025-5349, которые затрагивают NetScaler ADC и Gateway до 14.1-43.56, выпуски до 13.1-58.32, а также 13.1-37.235-FIPS/NDcPP и 2.1-55.328-FIPS.
CVE-2025-5777 представляет собой критическую уязвимость, вызванную чтением за пределами выделенного пространства памяти и затрагивает устройства NetScaler, настроенные как шлюз (виртуальный VPN, прокси ICA, бесклиентский VPN (CVPN), прокси RDP) или виртуальный сервер AAA.
Исследователь Кевин Бомонт полагает, что эта уязвимость перекликается с печально известной CitrixBleed (CVE-2023-4966), которая широко задействовалась злоумышленниками, в том числе при проведении атак использованием ransomware, а также в APT-кампаниях.
Бомонт окрестил CVE-2025-5777 как CitrixBleed 2, заявляя, что она может позволить злоумышленникам получить доступ к токенам сеансов, учетным данным и другим конфиденциальным данным с общедоступных шлюзов и виртуальных серверов.
При этом утечка токенов может быть использована для перехвата сеансов пользователей и обхода MFA.
В том же бюллетене фигурирует вторая уязвимость высокой степени серьезности - CVE-2025-5349, которая связана с некорректным управлением доступом в интерфейсе NetScaler.
Ее эксплуатация возможна, если злоумышленник имеет доступ к NSIP (NetScaler Management IP), Cluster Management IP или Local GSLB Site IP.
Для устранения обоих проблем пользователям рекомендуется установить NetScaler ADC и Gateway 14.1-43.56, 13.1-58.32 и более поздние версии, 13.1-NDcPP 13.1-37.235 (FIPS) и 12.1-55.328 (FIPS).
В Citrix пока не раскрывают никаких сведений о возможной эксплуатации CitrixBleed 2. Однако рекомендуют администраторам завершать все активные сеансы ICA и PCoIP сразу после обновления всех устройств.
Аналогичный совет Citrix также давала в отношении CitrixBleed.
Технический директор Mandiant Чарльз Кармакал также предупреждает о крайне важном завершении сеансов после обновления устройств, дабы предотвратить использование ранее украденных сеансов даже после того, как устройства больше не будут в зоне риска.
При этом указывая на то, что многие организации не завершили сеансы при устранении аналогичной уязвимости в 2023 году (CVE-2023-4966, также известной как CitrixBleed.
Тогда секреты сеансов были украдены до того, как компании установили исправления, а сеансы были перехвачены после установки исправлений.
Многие из этих компрометаций привели к серьезным инцидентам, связанным с кибершпионажем или развертыванием программ-вымогателей.
Следует отметить, что уязвимости также затрагивают ADC/Gateway 12.1 (не FIPS) и ADC/Gateway 13.0, которые не более не получают исправлений. Всем использующим эти версии, следует обновиться до активно поддерживаемой как можно скорее.
Результаты сканирования глобальной сети позволило выявить более 56 500 публично доступных конечных точек NetScaler ADC и Gateway, их подверженность CVE-2025-5349 и CVE-2025-5777, конечно, не ясна, но определенно существует.
Так что будем следить.
Французская полиция рапортует об успехах силовой операции, в ходе которой правоохранители арестовали пятерых авторитетных участников BreachForum.
По сообщению газеты Le Parisien, операцию провернули в понедельник через возможности подразделения по борьбе с киберпреступностью (BL2C) полиции Парижа.
Накрыть кибепреступников удалось сразу в нескольких локациях: О-де-Сен (Париж), Сена-Приморская (Нормандия) и Реюньон.
В числе задержанных фигурируют: ShinyHunters, Hollow, Noct и Depressed.
Кроме того, в публикации Le Parisien указывается, что в феврале 2025 года французские спецслужбы вышли на IntelBroker, которого еще тогда и упаковали. Возможно, он и помог подкрепить своих «кентов».
Вообще же, после первого наката на BreachForums в 2023 году и отправления админа Конора Брайана Фицпатрика (Pompompurin) по этапу, дальнейшие иттерации форума больше походили на игру в кошки-мышки, где основную модерацию, вели уже не админы, а люди в погонах.
Так что, BreachForums v2 под руководством ShinyHunters, Baphomet и, позднее, IntelBroker, катился ровно по той дорожке, о которой мы не раз сообщали.
Согласно данным силовиков, ShinyHunters и IntelBroker выступали администраторами/владельцами сайта, а архивные посты показывают, что Hollow выступал в качестве модератора.
Но пока не раскрывается, какое участие в работе сайта принимали depressed и noct.
Тем не менее, всем предъявлены обвинения в непосредственном участии в организации утечек данных таких французских организаций, как Boulanger, SFR, France Travail и Французская федерация футбола.
Причем в ходе атаки на France Travail (ранее Pôle Emploi) были раскрыты конфиденциальные данные 43 млн. пользователей.
BreachForums v2 в апреле 2025 года якобы был взломан с помощью 0-day MyBB, что, по всей видимости, было легендой для прикрытия деталей более глубокой многолетней разработки, в результате которой спецслужбы накрыли наиболее серьезных участников киберподполья.
Далее последуют новые этапы международных операции по мере того, как будут колоться задержанные и изыматься инфа с изъятой техники.
Но будем посмотреть.
GitHub выступила исправления для уязвимости высокой степени серьезности в нескольких версиях Enterprise Server, которая позволяет удаленно выполнить произвольный код.
Ошибка отслеживается как CVE-2025-3509 и имеет оценку CVSS 7,1.
Она связана с возможностью задействования функционала предварительного приема для привязки к портам, которые динамически выделяются и становятся доступными.
По данным GitHub, эксплуатация уязвимости возможна только при определенных условиях, например, во время процесса горячего исправления, и требует либо разрешений администратора сайта, либо пользователя с правами на изменение репозиториев, содержащих pre-receive hooks.
Первоначальное исправление уязвимости не было реализовано должным образом, что открывало возможности в определенных случаях воспользоваться ею, в связи с чем был выпущен новый патч.
Успешная эксплуатация CVE-2025-3509 могла позволить злоумышленникам выполнить произвольный код и повысить свои привилегии, что потенциально могло привести к полной компрометации системы.
Согласно GitHub, затронуты все выпуски Enterprise Server до 3.18.
Исправления ошибки были включены в версии Enterprise Server 3.17.1, 3.16.4, 3.15.8, 3.14.13 и 3.13.16, которые были выпущены на прошлой неделе.
Раскрытие CVE-2025-3509 произошло через программу вознаграждения за обнаружение ошибок.
Как отмечает в GitHub, какие-либо упоминания о ее реальной эксплуатации не встречались.
Мы хотели написать пост по поводу материала от команды CTI DomainTools в отношении иранской группы CyberAv3ngers, но дальше второго абзаца уйти не смогли:
The ongoing conflict between Iran and Israel has intensified across both physical and digital fronts. In the last two weeks alone, Iran has launched multi-warhead missile attacks targeting major Israeli cities such as Tel Aviv and Haifa. In response, Israel conducted retaliatory airstrikes against Iranian military installations, nuclear sites, and key IRGC-Cyber Electronic Command (IRGC-CEC) facilities in cities like Isfahan and Tehran.
В принципе, это все, что надо знать об объективности в современной инфосек индустрии. И эти люди втирают нам про "достоверные TTP's".
В истории с "мегаутечкой на 16 млрд паролей" появились новые 🚰подробности. Cтатья на сайте Сybernews обновилась.
Оказалось, что, по заявлению Cybernews, обнаружил её OSINTер 🇺🇦Боб Дьяченко (Bob Diachenko).
«Ни в одной из этих компаний не было централизованной утечки данных....Учетные данные, которые мы видели в логах инфостилеров, содержали URL-адреса входа на страницы Apple, Facebook и Google»
«По многочисленным просьбам мы выкладываем несколько скриншотов в качестве доказательства того, что такие наборы данных существуют. Ниже вы можете увидеть, что они действительно включают URL-адреса страниц входа в Facebook, Google, Github, Zoom, Twitch и другие сервисы»
«Некоторые из открытых наборов данных включали в себя такую информацию, как файлы cookie и сессионные токены, что усложняет устранение последствий такого воздействия. Эти куки часто могут использоваться для обхода методов 2FA, и не все сервисы сбрасывают куки после смены пароля учетной записи. В этом случае лучше всего сменить пароли, включить 2FA, если он еще не включен, внимательно следить за своими аккаунтами и обращаться в службу поддержки при обнаружении подозрительной активности»
«Cybernews неоднократно выпускал фейковые истории, которые подхватывались большинством сайтов новостей о технологиях. Они часто утверждают, что эти истории исходят от исследователей безопасности, но они неверно истолковывают основные факты. Они делают это уже довольно давно»
«Недавние сообщения об утечке 16 миллиардов учетных данных вызвали широкую озабоченность, причем утверждается, что это одна из крупнейших утечек в истории. Однако анализ, проведенный компанией Hudson Rock, показывает, что эта «утечка» гораздо менее значительна, чем предполагалось, и состоит из переработанных, устаревших и потенциально сфабрикованных данных, а не из нового взлома»
«Для того чтобы утечка cоставляла 16 миллиардов учетных данных, необходимо 320 миллионов зараженных устройств, а это нереально, учитывая глобальные тенденции заражения. Нам это говорит о том, что в набор данных добавлены избыточные, устаревшие или искусственно созданные данные»
Разработчики Teleport предупреждают о критической уязвимости в платформе с открытым исходным кодом, которая позволяет удаленным злоумышленникам обойти аутентификацию SSH и получить доступ к управляемым системам.
Teleport обеспечивает подключение, аутентификацию и контроль доступа для серверов и облачных приложений, поддерживая такие протоколы, как SSH, RDP и HTTPS, и также может использоваться с Kubernetes и различными базами данных.
Критическая CVE-2025-49825 имеет оценку CVSS 9,8 и может быть использована для обхода аутентификации SSH, что позволяет злоумышленникам получить доступ к системам, управляемым Teleport.
Проблема затрагивает версии Teleport Community Edition до 17.5.1 и была устранена с выпуском 17.5.2, 16.5.12, 15.5.3, 14.4.1, 13.4.27 и 12.4.35.
Teleport отмечает, что, хотя исправления были автоматически применены для его облачных клиентов, выделенные агенты Teleport должны быть обновлены как можно скорее.
По данным Fortinet, уязвимость затрагивает все системы, на которых работают агенты Teleport SSH, интегрированные развертывания OpenSSH и настройки прокси-сервера Teleport Git.
В настоящее время не существует общедоступных PoC, а также каких-либо доказательств того, что эта уязвимость была использована в реальных условиях.
Тем не менее, в компании заявляют, что все узлы необходимо обновить до исправленной версии Teleport, соответствующей основной версии вашего кластера.
При этом агенты, работающие в Kubernetes, следует настраивать с помощью средства обновления teleport-kube-agent, а не teleport-update.
IBM поспешила с обновлениями безопасности для устранения нелепой уязвимости в своих серверах резервного копирования Storage Protect.
Как утверждает сам компания, злоумышленники могут обойти аутентификацию, используя встроенную учетную запись администратора.
Проблема затрагивает все версии, выпущенные с апреля 2021 года.
Их коллеги, можно сказать по цеху, из ASUS также недостаточно внимания уделили жестко закодированным учетным данным API в приложении MyASUS.
Как удалось выяснить инженеру-программисту из Новой Зеландии, учетные данные находились внутри файлов DLL, установленных приложением MyASUS.
Учетные данные включали права администратора и могли позволить злоумышленникам получить доступ к любой учетной записи ASUS.
При этом ошибка затрагивает все версии MyASUS с момента выпуска приложения в августе 2022 года и, вероятно, затрагивает миллионы пользователей, включая тех, кто создал учетные записи ASUS для других продуктов.
В числе потенциально скомпрометированных данных - имена пользователей, номера телефонов, даты рождения, адреса, содержимое любых тикетов поддержки и потенциальные запросы RMA.
PoC и технические детали были направлены в ASUS в конце апреля, проблема была исправлена 20 мая с выпуском MyAsus 4.2.35.0.
Ожидается, что CVE для этой уязвимости будет назначена к 31 июля, а вознаграждение - нет.
Как оказалось, программа BugBounty в ASUS работает исключительно на альтруистических началах, так что, по всей видимости, в следующий раз - отчеты об ошибках поставщику будут присылать по результатам расследования инцидентов.
Правительство Австрии намерено напялить «демократический» цифровой колпак на пользователей в национальном Интернет-сегменте.
Для этого чиновники согласовали правовую базу, позволяющую силовикам перехватывать и контролировать защищенные шифрованием сообщения подозреваемых в Интернет-месснджерах.
Свои вторжения в частную жизнь правительство намерено оправдывать борьбой с терроризмом и шпионажем, поскольку в данных вопросах местные силы правопорядка находятся в «слепой зоне ЕС» и им приходится полностью полагаться на коллег из Великобритания и США.
Журналисты Reuters в своей публикации даже ссылаются на якобы предотвращенное благодаря такому сотрудничеству Управлением государственной безопасности и разведки (DSN) нападения на участников концерта Тейлор Свифт в Вене в августе прошлого года.
Отвечающие за надзор над спецслужбами местные депутаты называют «сегодняшнее решение кабинета министров - важной вехой в борьбе с терроризмом и шпионажем в Австрии.
Согласно новой системе, контроль переписки должен быть одобрен коллегией из трех судей и применяться только к ограниченному числу случаев. Как заявляет Министр внутренних дел Герхард Карнер, ожидается, что новый порядок будет применяться лишь в отношении 25-30 человек в год.
Правительство отмечает, что если число таких случаев превысит 30, спецслужбы должны будут отчитываться перед соответствующим парламентским комитет, дабы избежать организации массовой слежки и нарушения неприкосновенности частной жизни граждан.
После утверждения новых законодательных требований, правительством будет реализован тендер на поставку соответствующих средств мониторинга, проведение которого запланировано не ранее 2027 года.
По всей видимости, такой временной лаг обусловлен необходимостью гармонизации национального законодательства стран - участников Еврозоны, о чем мы уже ранее также сообщали.
Все уже предрешено, к тому времени и поставщиков spyware обязательно причешут и легализуют.
В завершении недели отметим наиболее трендовые уязвимости и угрозы, а также связанные с ними рекомендации и обновления:
1. BeyondTrust выпустила обновление для исправления ошибки удаленного выполнения кода в своих приложениях удаленного рабочего стола.
CVE-2025-5309 была обнаружена исследователями Resilion и влияет на продукты BeyondTrust Remote Support и Privileged Remote Access.
Она позволяет удаленным злоумышленникам внедрять вредоносный код в шаблонизатор BeyondTrust и захватывать неисправленные серверы.
2. Citrix выпустила обновления для четырех уязвимостей в трех продуктах, включая критическую проблему (CVE-2025-5777) в NetScaler ADC и NetScaler Gateway.
Citrix не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но пользователям рекомендуется обновить свои установки как можно скорее.
3. Джонатан Мэннхен отыскал ошибку в стандартной библиотеке Erlang/OTP ZIP-процедур, которая позволяет проводить атаки с обходом абсолютного пути, позволяя злоумышленникам перезаписывать или создавать любой путь по своему усмотрению.
4. Исследователи CrowdStrike представили обзор наступательной техники, известной как обход AMSI без патчей, ее недавнего злоупотребления и способов ее обнаружения.
5. Cisco выкатила два бюллетеня безопасности для различных своих решений.
6. Atlassian объявила о выпуске исправлений для пяти уязвимостей в сторонних зависимостях Bamboo, Bitbucket, Confluence, Crowd и Jira.
К ним относятся CVE-2025-22228 (неправильная авторизация в Spring), CVE-2025-24970 (DoS в фреймворке Netty), CVE-2024-38816 (обход пути, связанный с веб-фреймворками WebMvc.fn и WebFlux.fn), CVE-2024-57699 (DoS в Netplex Json-smart) и CVE-2025-31650 (DoS в Apache Tomcat).
7. Microsoft объявила о планах периодического удаления устаревших драйверов из каталога Центра обновления Windows для снижения рисков безопасности и совместимости.
8. GreyNoise предупреждает о всплеске попыток эксплуатации CVE-2023-28771 (оценка CVSS 9,8) в межсетевых экранах Zyxel, которой уже два года.
Исследователи подозревают, что попытки эксплуатации связаны с вариантом ботнета Mirai.
9. Недавняя критическая уязвимость Langflow, известная как CVE-2025-3248, использовалась для вовлечения устройств в ботнет Flodrix, о чем сообщила Trend Micro.
В частности, злоумышленники сканировали интернет на предмет уязвимых экземпляров Langflow, а затем использовали один из общедоступных PoC, чтобы получить доступ к оболочке в системе и запустить различные команды в разведывательных целях.
Исследователи Zimperium раскрывают новую версию вредоносного ПО для Android Godfather, которая задействует виртуализацию для взлома банковских приложений.
Вредоносные приложения запускаются в контролируемой виртуальной среде на устройстве, позволяя осуществлять шпионаж в режиме реального времени, кражу учетных данных и манипулирование транзакциями, реализуя при этом «идеальный» визуальный обман.
Подобная тактика прослеживалась во вредоносном ПО FjordPhantom для Android в конце 2023 года, которое также использовало виртуализацию для запуска банковских приложений SEA внутри контейнеров с целью уклонения от обнаружения.
Однако сфера действия Godfather гораздо шире и затрагивает более 500 банковских, криптовалютных и коммерческих приложений по всему миру, используя полноценную виртуальную файловую систему, виртуальный идентификатор процесса, подмену намерений и StubActivity.
По данным Zimperium, уровень обмана достаточно высок: пользователь видит реальный пользовательский интерфейс приложения, а защита Android пропускает аспект вредоносной операции, поскольку в манифесте декларируются только действия хост-приложения.
Godfather поставляется в виде APK, содержащего встроенную среду виртуализации, использующую для подключения инструменты с открытым исходным кодом, такие как движок VirtualApp и Xposed.
После активации на устройстве он проверяет наличие установленных целевых приложений и перемещает их в виртуализированную среду, используя StubActivity для запуска внутри контейнера хоста.
StubActivity действует как оболочка или прокси-сервер для запуска и выполнения действий из виртуализированных приложений.
Он не содержит собственного пользовательского интерфейса или логики, а вместо этого делегирует поведение хостовому приложению, обманывая Android и заставляя его думать, что запущено легитимное приложение, но на самом деле перехватывая и контролируя его.
Когда жертва запускает настоящее банковское приложение, разрешение службы специальных возможностей Godfather перехватывает Intent и перенаправляет его в StubActivity внутри хост-приложения, которое инициирует виртуальную версию банковского приложения внутри контейнера.
Пользователь видит реальный интерфейс приложения, но все конфиденциальные данные, задействованные в его взаимодействии, могут быть легко перехвачены.
Используя Xposed для подключения к API, Godfather может фиксировать учетные данные, пароли, PIN-коды, события касания и захватывать ответы из банковского бэкэнда.
Вредоносная ПО отображает фейковый экран блокировки в ключевые моменты, чтобы обманом заставить жертву ввести свой PIN-код или пароль.
После извлечения данных Godfather ожидает команд от операторов для разблокировки устройства, выполнения навигации по пользовательскому интерфейсу и инициирования переводов уже из реального банковского приложения.
При этом пользователю демонстрируется поддельный экран обновления или черный экран, чтобы не вызвать подозрений.
Godfather впервые появился в марте 2021 года, его обнаружила ThreatFabric, и с тех пор заметно эволюционировал, что можно увидеть ьв сравнении даже с последним образцом, проанализированным Group-IB в декабре 2022 года.
Несмотря на то, что обнаруженная Zimperium кампания нацелена два десятка приложений турецких банков, в распоряжении операторов Godfather более 500 целевых приложений, которые могут быть задействованы для атак на другие регионы.
Будем следить.
🧬Анатомия хайпа: утечка на «16 миллиардов паролей»
Новостные ленты пестрят заголовками о «величайшей утечке» и компрометации 16 миллиардов паролей. Первоисточником выступил портал Cybernews, информацию оперативно подхватили Forbes и другие крупные медиа. Звучит как настоящий киберапокалипсис, но если отделить зерна от плевел, то картина получается совсем иной.
Начнем с первоисточника. Cybernews действительно время от времени находят уязвимости и утечки. Исследователи обнаружили масштабный набор данных, который был временно доступен через незащищенные экземпляры Elasticsearch или объектных хранилищ (object storage instances). Проблема кроется в подаче и последующей медийной интерпретации. Использование формулировок вроде «план для массовой эксплуатации» и «свежая, готовая к применению разведывательная информация» создает ложное впечатление единовременного и катастрофического взлома супер-пупер глобального хранилища. Не обладая технической экспертизой, журналисты приняли такую подачу за чистую монету. Цифра в 16 миллиардов стала триггером, а путаница в терминах, когда одни пишут про «учетные записи», а другие про «пароли», лишь усилила медийный хайп.
В чем же фундаментальная ошибка такой подачи? Как верно подметили трезвые аналитики, это не утечка, а компиляция. Данный массив является результатом многолетней работы вредоносных программ класса инфостилер. Механика процесса проста: тысячи компьютеров заражаются, а затем инфостилер похищает все сохраненные в браузерах пароли, после чего логи агрегируются в стандартизированном формате (URL:логин:пароль). То, что нашли исследователи, всего лишь гигантский «склад» таких логов. В нем огромное количество дублей, устаревших паролей и давно скомпрометированных данных.
Вместо того, чтобы подготовить сдержанный технический отчет для ИБ-сообщества с внятной детализацией (заявления серьёзные), они упаковали свою находку в сенсационную обертку для широких масс и СМИ.
Если появятся какие-то новые вводные, детали (что-то интересное) или аналитики опубликуют убедительные доказательства того, что "утечка" заслуживает внимания, то сделаю ещё один пост, а так нет смысла обсуждать.
В любом случае рекомендуется использовать сложные и уникальные пароли, подключить двухфакторную аутентификацию (2FA) и проверять периодически себя на утечки. Стоит напомнить, что в РФ у нас есть свой Have I Been Pwned — https://chk.safe-surf.ru (сайт создан при поддержке 🛡 Национального координационного центра по компьютерным инцидентам (НКЦКИ).
✋ @Russian_OSINT
Ресерчеры из Лаборатории Касперского выкатили отчет с обзором активности APT и финансово мотивированных атак на промышленные предприятия и объекты критической инфраструктуры, раскрытых в первом квартале 2025 года.
Не вдаваясь в детали, выделим основные отмеченные исследователями по итогам квартала тренды.
На корейском направлении исследователи отмечают риски атак на цепочки поставок. На этот раз целью стал местный разработчик VPN-решения.
Пострадала как минимум одна промышленная компания - производитель полупроводниковой продукции.
В двух инцидентах задействовались 0-day в ходе атак на промышленные организации - один касался уязвимости 7-Zip, а другой - 0-click в MS Windows.
Разработчик отказался исправить последнюю уязвимость, хотя она была отслежена в нескольких вредоносных кампаниях, самая ранняя из которых произошла в 2017 году.
Техника использования файлов-полиглотов, которые создаются из данных разных форматов таким образом, что их интерпретируют разные легитимные интерпретаторы, внезапно стала популярной среди злоумышленников.
Исследователи Proofpoint сообщили об одной такой кампании с участием полиглотов PDF/HTA и PDF/ZIP, в то время как эксперты ЛК предупредили о другой - участием полиглота PE/ZIP.
Еще одна история - это сложные методы кражи данных аутентификации на этапах бокового перемещения. Подчеркивается необходимость для постоянно проверять периметр промышленных предприятий на предмет признаков потенциальной компрометации.
Настоятельно рекомендуем ознакомиться всем, кто интересуется APT-тематикой.
Фактурно в новом обзоре раскрыты:
- атаки SalmonSlalom, нацеленные на организации в Азиатско-Тихоокеанском регионе с помощью фишинга и FatalRAT;
- вредоносная кампания по доставке VIP Keylogger, ориентированная на инжиниринговые компании в Азиатско-Тихоокеанском регионе;
- новейшая виктимология и арсенал SideWinder;
- фишинговая кампания Squid Werewolf с финальной нагрузкой - VeilShell;
- деятельность связанной с Китаем APT PlushDaemon, которой удалось провернуть атаку на цепочку поставок южнокорейского VPN IPany;
- атаки на маршрутизаторы Juniper и VPN-шлюзы с использованием J-magic;
- использование Shadowpad для для развертывания ранее не документированного семейства ransomware;
- новая кампания атак под названием RevivalStone, организованная группой Winnti;
- новые кампании китайской APT Lotus Blossom на Филиппинах, во Вьетнаме, Гонконге и Тайване с обновленным бэкдором Sagerunex;
- TTPs впервые замеченного китайскоязычного злоумышленника Earth Alux;
- удары по российским научно-производственным предприятиям, предпринимаемые Sticky Werewolf;
- особенности кибершпионажа Rezet (Rare Wolf) на российском, белорусском и украинском направлениях;
- задействование CVE-2025-0411 для развертывания вредоносного ПО SmokeLoader в кампании, нацеленной на украинские организации;
- атаки на российские компании со стороны группировки Mythic Likho;
- новые активности группы ReaverBits;
- разоблачение ранее неизвестной APT-группы под названием Telemancon;
- разбор инструментария и волны новых целевых атак Head Mare;
- описание инциированной подгруппой Seashell Blizzard кампании BadPilot;
- атаки с использованием GoGo Exfiltration;
- расследование новой APT-атаки под названием NGC4020;
- препарирование нового злоумышленника, получившего название Desert Dexter;
- деятельность UNK_CraftyCamel;
- атаки с использованием загрузчика вредоносного ПО под названием MintsLoader, а также уязвимости ZDI-CAN-25373;
- IOC и TTPs программы-вымогателя Ghost (Cring).
В общем, полная версия отборной аналитики - здесь.
Исследователи F6 обнаружили новую волну вредоносных рассылок, инициированную Werewolves и минирующую под фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнического оборудования.
Werewolves - группа вымогателей, действующая с 2023 года, в арсенале которой Anydesk, Netscan, CobaltStrike, Meterpreter и Lockbit.
Хакеры нацелены на российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.
Банда использует традиционную технику двойного вымогательства: помимо требований выкупа за расшифровку данных, злоумышленники выкладывают на DLS информацию о тех, кто отказался платить.
Предыдущая кампания Werewolves фиксировалась в марте 2025 года, а еще ранее весной 24-го, вымогатели проводили массовые рассылки на тему весеннего призыва, а также создали домен kzst45[.]ru, маскирующийся под сайт российского производителя спецтехники.
С помощью него Werewolves также рассылали письма с темами «Досудебная претензия» и «Рекламация», в которых содержались вредоносные вложения, загружавшие Cobalt Strike's Beacon.
Весной 2025 года исследователи F6 отрабатывали вредоносную рассылку на компании из различных сфер, включая банки, промышленные предприятия, ритейл и логистические компании.
После чего в июне хакеры вновь реализовали рассылку, на этот раз - в адрес промышленных, финансовых, энергетических организаций и ритейлеров.
Для доставки вредоносного ПО злоумышленники использовались письма правовой и финансовой тематики. Группа продолжила использовать тот же инструментарий, что и в предыдущих атаках.
В качестве тем в июньских рассылках использовались: «Досудебная претензия», «Досудебное», «Уведомление (досудебное)».
Во вложении рассылался архив с LNK-файл, имеющим двойное расширение, документ Microsoft Office для эксплуатации уязвимости CVE-2017-11882.
В распространяемом архиве содержался файл с двойным расширением .pdf.lnk, который выглядел как обычный документ (PDF, DOC и т.д.).
Расчет на то, что при стандартных настройках Windows реальные расширения могут быть скрыты, т.е. пользователь видит только ".pdf», что снижает бдительность, и жертва может попытаться открыть файл, при этом запустив вредоносный код.
Запуск файла приводит к эксплуатации CVE-2017-11882, которая позволяет злоумышленнику выполнить произвольный код с привилегиями пользователя, открывшего файл.
Злоумышленники по-прежнему продолжают использовать тот же домен для отправки писем, что и в предыдущих рассылках: kzst45[.]ru, мимикрирующий под легитимный ресурс kzst45[.]com.
Такой же подход к рассылке наблюдался при регистрации домена отправителя из свежих атак – mysterykamchatka[.]ru, оригинальный домен располагается в доменной зоне .com.
Кроме того, злоумышленники продолжили использовать спуфинг в своих рассылках: в одном из писем группа подменила адрес отправителя, чтобы направить письмо от имени главного бухгалтера одного из российских аэропортов.
В качестве финальной нагрузки - Cobalt Strike's Beacon.
Индикаторы компрометации - в отчете.
Cisco предупреждает о двух критических RCE-уязвимостях в Cisco Identity Services Engine (ISE) и Passive Identity Connector (ISE-PIC).
CVE-2025-20281 и CVE-2025-20282 имеют максимальную степень серьезности (оценка CVSS: 10,0).
Первая влияет на версии ISE и ISE-PIC 3.4 и 3.3, тогда как вторая - только на версию 3.4.
Основная причина CVE-2025-20281 - недостаточная проверка вводимых пользователем данных в определенном открытом API, что позволяет неаутентифицированному удаленному злоумышленнику отправлять специально созданный запрос API для выполнения произвольных команд операционной системы в качестве пользователя root.
Вторая CVE-2025-20282 вызвана некачественной проверкой файлов во внутреннем API, что позволяет записывать файлы в привилегированные каталоги.
Уязвимость позволяет неаутентифицированным удаленным злоумышленникам загружать произвольные файлы в целевую систему и выполнять их с привилегиями root.
Обе уязвимости могут привести к полной компрометации и удаленному захвату целевого устройства без какой-либо аутентификации или взаимодействия с пользователем.
При этом в бюллетене Cisco отмечает, что ей неизвестно об активной эксплуатации этих двух уязвимостей в дикой природе, в связи с чем считает установку новых обновлений приоритетом для своих клиентов.
Пользователям рекомендуется обновиться до 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4) и 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1) или более поздней версии.
Обходные пути для устранения недостатков отсутствуют, поэтому единственно рекомендуемым решением являются обновления.
Cisco также выкатила отдельный бюллетень, касающийся уязвимости обхода аутентификации средней степени серьезности, CVE-2025-20264, которая также затрагивает ISE.
Уязвимость вызвана неадекватным применением авторизации для пользователей, созданных посредством интеграции SAML SSO с внешним поставщиком удостоверений.
Злоумышленник с действительными учетными данными, аутентифицированными с помощью SSO, может отправить определенную последовательность команд для изменения настроек системы или выполнить перезапуск системы.
CVE-2025-20264 влияет на все версии ISE до ветки 3.4. Исправления были доступны в 3.4 Patch 2 и 3.3 Patch 5.
Поставщик обещал исправить уязвимость для 3.2 с выпуском 3.2 Patch 8, запланированным на ноябрь 2025 года.
ISE 3.1 и более ранние версии также затронуты, но больше не поддерживаются, и пользователям рекомендуется перейти на более новую ветку выпуска.
🔐 Безопасность в сети: S.E.Virus Detect v.3.2
• Помните про тулзу Shotstars, которая позволяет определить накрутку звезд в GitHub репозиториях? Дело в том, что совсем недавно данный функционал был добавлен в бота S.E.Virus Detect, который анализирует файлы, ссылки, ip и QR-коды на предмет угроз и вирусов. Теперь вы можете отправить в бота ссылку на репозиторий и получить мини-отчет со всей необходимой информацией (кол-во звезд, дата создания, максимальное кол-во звезд в день, среднее кол-во звезд в день, факт накрутки и т.д.).
➡ S.E. Virus Detect.
• Кстати, в декабре 2024 года исследователи из Северной Каролины выкатили интересное исследование, в рамках которого было выявлено 3.1 млн. фиктивно выставленных звёзд, охватывающих 15.835 репозиториев. Для накрутки были задействованы 278 тысяч учётных записей. Звёзды GitHub — один из основных показателей одобрения сообществом в GitHub. Если смотреть с точки информационной безопасности, то подобные репо нужно тщательно проверять перед использованием и быть максимально осторожным, либо не использовать вовсе. Всем безопасности❤
• P.S. Если нашли баг, недоработку, ошибку в тексте, либо у вас есть предложение по новому функционалу, то пишите по контактам, которые указаны в описании канала \ бота.
S.E. ▪️ infosec.work ▪️ VT
Разработчики WinRAR устранили уязвимость обхода каталогов, которая при определенных обстоятельствах позволяет запустить вредоносное ПО после извлечения вредоносного архива.
Уязвимость отслеживается как CVE-2025-6218 и получила оценку CVSS 7,8.
Проблема была обнаружена исследователем whs3-detonator, который сообщил о ней через Zero Day Initiative 5 июня 2025 года.
Ошибка затрагивает только Windows-версию WinRAR, начиная с 7.11 и более ранние версий.
Исправление было выпущено в рамках WinRAR 7.12 beta 1, которая на днях стала доступна.
Согласно журналу изменений, при извлечении файла предыдущие версии WinRAR, RAR для Windows, UnRAR, исходный код переносимого UnRAR и UnRAR.dll могут использовать путь, определенный в специально созданном архиве, вместо указанного пользователем пути.
Вредоносный архив может содержать файлы со специально созданными относительными путями, заставляющими WinRAR «скрыто» извлекать их в конфиденциальные места, такие как системные каталоги и папки автозапуска.
В случае, если содержимое архива включает вредоносный контент, эти файлы могут запуститься автоматически и вызвать выполнение кода при следующем входе пользователя в Windows.
Правда, все это будет реализовано с доступом на уровне пользователя (не с правами администратора или SYSTEM), но кража конфиденциальных данных из браузера будет возможна.
Кроме того, это позволит задействовать механизмы сохранения или обеспечить удаленный доступ для дальнейшего горизонтального перемещения.
Вместе с тем, эксплуатация CVE-2025-6218 требует взаимодействия с пользователем, например открытие вредоносного архива или посещение специально созданной страницы.
Однако с учетом повсеместной практики использования пользователями старых версии WinRar и наличия множества способов распространения вредоносных архивов, связанные с CVE-2025-6218 риски можно квалифицировать как очень высокие.
Помимо CVE-2025-6218, WinRAR 7.12 beta 1 также устраняет проблему HTML-инъекции при генерации отчетов, когда имена архивных файлов, содержащие <или>, могли быть внедрены в HTML-отчет как необработанные HTML-теги, что приводило к внедрению HTML/JS в браузере.
Еще два незначительных недостатка, исправленных в последней версии WinRAR, включают неполное тестирование томов восстановления и потерю точности временных меток для записей Unix.
В настоящее время сообщений об эксплуатации CVE-2025-6218 нет, но, учитывая широкое распространение WinRAR по всему миру и давнюю любовь киберподполья к этому ПО, пользователям следует немедленно обновиться до последней версии.
Исследователи Rapid7 обнаружили восемь серьезных уязвимостей, которые затрагивают более 700 моделей принтеров, сканеров и этикетировочных машин Brother и ряда других производителей.
Помимо 689 моделей различных устройств Brother уязвимости также затронули 46 моделей принтеров Fujifilm Business Innovation, 5 - Ricoh, 6 - Konica Minolta и 2 - Toshiba.
В общем, как полагают исследователи Rapid7, выявленный набор подвергает риску эксплуатации миллионы корпоративных и домашних принтеров.
Самая серьезная из уязвимостей, критическая CVE-2024-51978, позволяет удаленному и неавторизованному злоумышленнику обойти аутентификацию и получить пароль администратора устройства по умолчанию.
CVE-2024-51978 может быть связана с уязвимостью раскрытия информации, CVE-2024-51977, которая, в свою очередь, может быть использована для излечения серийного номера устройства. Он необходим для генерации пароля администратора по умолчанию.
Как поясняют в Rapid7, это связано с обнаружением процедуры генерации пароля по умолчанию, используемой устройствами Brother.
У затронутых устройств пароль по умолчанию устанавливается на основе уникального серийного номера каждого устройства в процессе производства.
Наличие пароля администратора позволяет злоумышленнику перенастроить устройство или злоупотребить функционалом, предназначенным для аутентифицированных пользователей.
Оставшиеся уязвимости, имеющие уровни серьезности «средний» и «высокий», могут быть использованы для DoS-атак, заставляя принтер открывать TCP-соединение, получать пароль настроенной внешней службы, вызывать переполнение стека и выполнять произвольные HTTP-запросы.
Шесть из восьми уязвимостей, обнаруженных Rapid7, могут быть использованы без аутентификации.
Ресерчеры сообщили о своих выводах в Brother примерно год назад через японский JPCERT/CC.
Поставщик, свои очередь, выпустил соответствующие рекомендации, информируя клиентов об уязвимостях.
Brother исправила большинство уязвимостей, но заявляет, что CVE-2024-51978 не может быть полностью исправлена в прошивке. Для закрытия компания внесла изменения в производственный процесс.
Для существующих устройств доступен обходной путь.
Кроме того, отдельные рекомендации по выявленным проблемам также были опубликованы JPCERT/CC, Ricoh, Fujifilm, Toshiba и Konica Minolta.
Серьезный инцидент произошел в апреле этого года: неустановленные хакеры взломали системы норвежской плотины и открыли ее водяной клапан на полную мощность.
Инцидент затронул плотину озера Ризеватнет недалеко от города Свельген на юго-западе Норвегии.
Клапан работал на полную мощность в течение четырех часов, прежде чем было обнаружено и локализовано несанкционированное вмешательство.
По данным норвежского информагентства Energiteknikk, в результате атаки реального ущерба удалось избежать, объем воды лишь незначительно превысил минимальные пороховые значения, необходимые для штатного функционирования плотины.
Уровень воды превысил минимальную норму на 497 литров, при этом, как заверяют местные власти, русло реки могло выдержать и до 20 000 литров в секунду.
Расследование познало, что взлом стал возможен в виду слабого пароля к веб-панели управления Valve, что ими рассматривается как общераспространенная проблема для многих ICS.
При этом утверждается, что так и неясно, было ли включение клапана на полную мощность преднамеренным.
В общем, как бы не приуменьшали значимость инцидента, очевидно, что атака могла привести к более серьезным последствиям.
Впрочем, это не первый такой случай, в 2016 году, согласно отчету Verizon, хакеры взломали неназванное водоочистное сооружение и изменили химические уровни, что респонденты инцидента описали как «случайное».
В 2021 году взлом водопроводной компании в Олдсмаре, штат Флорида, был переквалифицирован на «случайный щелчок» одного из ее сотрудников.
Были, конечно, и «преднамеренные» инциденты.
В 2020 году пропалестинские хактивисты неоднократно взламывали израильские водоочистные сооружения и безуспешно пытались изменить уровень хлора в воде. Но это уже другая история.
Исследователи NeuralTrust обращают внимание на новый метод взлома под названием Echo Chamber, который можно использовать для обмана популярных больших языковых моделей (LLM) и генерации нежелательных ответов независимо от реализуемых мер безопасности.
В отличие от традиционных методов взлома, которые полагаются на состязательную фразировку или запутывание персонажей, Echo Chamber использует в качестве оружия косвенные ссылки, семантическое управление и многоэтапные выводы
Echo Chamber похож на джейлбрейк Crescendo от Microsoft, но все же отличается. Последний задает вопросы и пытается заманить LLM в желаемый запрещенный ответ.
В свою очередь, Echo Chamber, никогда не указывает LLM, «куда идти», но закладывает приемлемые «семена», которые постепенно направляют ИИ к предоставлению требуемого ответа.
Результатом является тонкая, но мощная манипуляция внутренним состоянием модели, постепенно приводящая к возникновению ответных действий, нарушающих политику.
Echo Chamber работает, манипулируя контекстом LLM (то, что он помнит о разговоре, чтобы обеспечить связный разговор), избегая при этом так называемой красной зоны (запрещенные запросы) и оставаясь в пределах зеленой зоны (приемлемые запросы).
Из зеленой зоны контекст сохраняется, и разговор может продолжаться; но если войти в красную зону, LLM отказывается отвечать, и контекст теряется.
Единственными критериями для атакующего являются сохранение контекста в зеленой зоне, избежание красной зоны и завершение атаки в пределах ограничений по времени или запросу в текущем контексте.
Итак, если использовать часто цитируемый пример получения степени магистра права для объяснения того, как создать коктейль Молотова, то в одном запросе «Молотов» имеет зеленый цвет, «коктейль» тоже имеет зеленый цвет, но «коктейль Молотова» и «бомба» оба имеют красный цвет, и их следует избегать.
LLM отвечает, потому что в подсказке нет ничего неправильного.
Поскольку он отвечает, этот ответ автоматически находится в зеленой зоне и в контексте зеленой зоны.
Затем злоумышленник может выбрать из этого ответа, но заполнить следующую подсказку дополнительными словами зеленой зоны.
Цель состоит в том, чтобы тонко увеличить ответы, более соответствующие намерению атаки, итеративно.
Главное отличие в том, что Crescendo с самого начала направляет ход разговора, в то время как Echo Chamber как бы просит LLM заполнить пробелы, а затем мы соответствующим образом направляем модель, используя только ответы LLM.
В частности, это представляет собой многоступенчатую технику состязательного подсказывания, которая начинается с, казалось бы, безобидного ввода, постепенно и косвенно направляя его к созданию опасного контента, не раскрывая при этом конечной цели атаки.
Подсказки кажутся безобидными и контекстно соответствующими, но тщательно разработаны, чтобы направить ассоциации модели на определенные эмоциональные тона, темы или повествовательные установки.
Ранние подсказки влияют на ответы модели, которые затем используются в последующих ходах для подкрепления первоначальной цели, что создает обратную связь, в которой модель начинает усиливать вредоносный подтекст, постепенно разрушая собственные меры безопасности.
NeuralTrust завершила обширное тестирование нового джейлбрейка на нескольких моделях LLM (включая GPT-4.1-nano, GPT-4o-mini, GPT-4o, Gemini-2.0-flash-lite и Gemini-2.5-flash) с 200 попытками на модель.
Попытки спровоцировать сексизм, насилие, разжигание ненависти и порнографию имели показатель успешности более 90%. Дезинформация и членовредительство имели показатель успешности около 80%, а ненормативная лексика и противозаконная деятельность имели показатель успешности более 40%.
Тревожным аспектом Echo Chamber является простота использования и скорость работы.
Для этого не требуется практически никаких технических знаний, его легко выполнять, и он быстро дает результаты. Тесты показали, что успех часто наступает всего за один-три разговора.
Siemens уведомляет клиентов о проблеме с антивирусом Microsoft Defender, которая может привести к отсутствию оповещений о вредоносном ПО или сбоям в работе предприятия.
Согласно представленным рекомендациям, проблема заключается в том, что в настоящее время Defender Antivirus не реализует функционал «только оповещения».
В документации Siemens для систем управления технологическими процессами Simatic PCS 7 и PCS Neo описаны конфигурации антивируса с указанием уровней оповещения об угрозах, при которых при обнаружении угрозы не предпринимаются никакие действия по умолчанию.
Проблема в том, что если продукт настроен на «игнорирование», то никаких действий не предпринимается и оповещение для оператора и администратора при обнаружении вредоносного ПО не формируется.
Если используется другая настройка, Defender Antivirus может удалить или поместить в карантин файлы, помеченные как потенциально вредоносные ПО (как истинные, так и ложные срабатывания), что может привести к сбоям в работе, если система использует потенциально зараженный файл.
Таким образом, как отмечают в Siemens, затронутые устройства могут выйти из строя, что может привести к потере контроля и управления предприятием.
До тех пор, пока Siemens не разработает совместно с Microsoft исправление, клиентам рекомендуется провести оценку рисков и определить, хотят ли они получать оповещения о заражении вредоносным ПО и подвергаться риску сбоев в работе, если антивирус вдруг удалит потенциально важные файлы.
Кроме того, клиентам рекомендуется задуматься над объединением затронутых устройств в кластеры для применения различных конфигураций к каждому их них в зависимости от потребностей и требований.
Начнем с типичной «атаки на цепочку мудаков»: в Канаде специалисты центра кибербезопасности совместно с ФБР США выяснили, что Salt Typhoon в феврале взломала местную телекоммуникационную компанию через CVE-2023-20198.
CVE-2023-20198 - представляет собой критическую уязвимость Cisco IOS XE, позволяющую удаленным неаутентифицированным злоумышленникам создавать произвольные учетные записи и получать привилегии уровня администратора.
Впервые уязвимость была обнаружена в октябре 2023 года, когда стало известно, что злоумышленники использовали ее в качестве 0-day для взлома более 10 000 устройств.
Несмотря на то, что с тех пор прошло достаточно много времени, по крайней мере, один крупный поставщик телеком услуг в Канаде не смог установить исправления, что обеспечило в итоге Salt Typhoon легкий доступ для взлома трех сетевых устройств.
Злоумышленники задействовали CVE-2023-20198 для получения файлов конфигурации со всех трех устройств и изменили как минимум один из файлов для настройки туннеля GRE, что позволило собирать трафик из сети.
Причем еще в октябре 2024 года после ряда инцидентов у американских провайдеров ШПД, связанных с Salt Typhoon, канадские власти также озадачились и задетектили разведдеятельность, нацеленную на десятки ключевых компаний в стране.
На тот момент никаких фактических нарушений не было подтверждено, и, несмотря на призывы усилить меры безопасности, некоторые поставщики критически важных услуг так и не предприняли необходимых мер.
Киберцентр отмечает, что, основываясь на отдельных расследованиях и краудсорсинговых данных, деятельность, связанная с Salt Typhoon, выходит за рамки телеком сектора и, по всей видимости, затрагивает также многие другие отрасли.
Во большинстве случаев активность ограничивается разведкой, хотя данные, украденные из внутренних сетей, могут быть использованы для горизонтального перемещения или атак на цепочки поставок.
При этом национальный киберцентр предупреждает, что атаки на канадские организации «почти достоверно продолжатся» в течение следующих двух лет, призвав критически важные организации защитить свои сети, в числе которых особое внимание уделяется объектам связи.
Как отмечают специалисты, атаки обычно таргетированы на пограничные устройства на периметре сети, маршрутизаторы, межсетевые экраны и устройства VPN, а также на поставщиков MSP и облачных услуг.
К настоящему времени на счету Salt Typhoon множество телекоммуникационных компаний в десятках стран, включая AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications и Windstream, а числе последних жертв - Viasat.
Учитывая столь «пристальное внимание» к эксплуатации сетей, как в случае с Канадой, представителям местного киберцентра предстоит еще не раз готовить новые бюллетени, освещая подобные «атаки на цепочку мудаков».
В общем, будем посмотреть.
В январе 2025 года мы сообщали об обнаружении исследователями Лаборатории Касперского вредоносных кампаний с использованием крипокрада SparkCat.
Тогда злоумышленники распространяли приложения с вредоносным SDK/фреймворком, который запрашивал права на доступа к галерее и при помощи OCR-модели нацеливался на фотографии с фразами восстановления доступа к криптокошелькам.
Зловред продвигался как через неофициальные источники, так и через магазины приложений Google Play и App Store. На этот раз ресерчерам удалось выловить на официальных площадках нового шпиона.
Предположительно, он также нацелен на криптовалютные активы жертв и связан со SparkCat, собственно, в виду этого и получил наименование SparkKitty.
Вредоносная кампания ведется как минимум с февраля 2024 года.
Зловред нацелен на устройства под управлением iOS и Android и распространяется как в дикой природе, так и в App Store и Google Play.
На момент публикации Google уже удалила зловред.
Одно из Java-приложений для Android, содержащих вредоносную полезную нагрузку, - мессенджер с функцией обмена криптовалют - было загружено в Google Play и установлено более 10 000 раз.
Еще одно из найденных зараженных приложений для Android называлось 币coin и распространялось через неофициальные источники. Однако у него была найдена версия для iOS прямо в App Store.
Как в версии для Android, так и в версии для iOS вредоносная нагрузка была частью приложения, а не какого-либо стороннего SDK или фреймворка.
Вредоносная нагрузка для iOS представлена в виде фреймворков (в основном маскируется под AFNetworking.framework или Alamofire.framework) и обфусцированных библиотек, мимикрирующих под libswiftDarwin.dylib, или напрямую встроена в приложения.
Троянец для Android существует в вариантах на Java и Kotlin. При этом версия на Kotlin является вредоносным Xposed-модулем.
Большинство версий зловреда крадет все изображения без разбора, однако исследователи ЛК нашли смежный кластер вредоносной активности, где для отбора картинок применяется OCR.
По данным ЛК, злоумышленники в основном были нацелены на пользователей из Юго-Восточной Азии и Китая.
Обнаруженные зараженные приложения в большинстве своем представляли различные китайские азартные игры, модификации TikTok, порноигры, ориентированные изначально именно на пользователей из этих регионов.
Технические подробности и индикаторы - в отчете.
Исследователи F6 представили новые подробности деятельности группы room155 (DarkGaboon или Vengeful Wolf), о которой впервые сообщили еще в январе 2025 исследователи Positive Technologies.
Злоумышленники реализуют атаки room155 на российские компании как минимум с мая 2023 года, а их основным вектором является рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.
В известных инцидентах через письма распространялся либо Revenge RAT, либо XWorm.
В ходе исследований F6 выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.
Образцы различных семейств вредоносного ПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве С2.
Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Также в последнее время группировка стала применять двойные расширения у исполняемых файлов (.pdf.scr, .pdf.exe, .xsl.scr, .xlsx.scr) и продолжила использовать разные иконки для них (документов MS Office и PDF).
В ходе этой кампании злоумышленники попеременно использовали протекторы Themida и .NET Reactor.
Кроме того, задействовался обфусцированный .NET мегадроппер, который извлекает из себя 4 сохраненных упакованных ресурса, каждый соответствует отдельной нагрузке.
Злоумышленники на протяжении всей своей активности использовали Dynamic DNS домены, образующие два непересекающихся кластера: первый - в период декабря 2022 - середину 2023, второй - с середины 2023 - по настоящее время (выделяется три различных группы C2).
Анализ виктимологии room155 позволили выделить основные цели - финансовые организации (51%). Далее по списку – компании в сфере транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Конечная цель атакующих - шифрование систем жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. При этом группа своего собственного сайта DLS не имеет.
Общение реализуется по почте ( room155@proton[.]me или room155@tuta[.]io) либо в Tox-чате.
Как отмечает исследователи, долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.
Технические подробности атак, инфраструктуры и вредоносного арсенала со всеми выявленными IOCs - в отчете.
Cloudflare рапортует об отражении крупнейшей из когда-либо зафиксированных распределенных атак типа DDoS, пиковая мощность которой составила 7,3 терабита в секунду (Тбит/с).
Атака, обнаруженная в середине мая 2025 года, была направлена на неназванного хостинг-провайдера, через сети которого прошло 37,4 терабайта в течение 45 секунд.
Ранее в январе этого года Cloudflare сообщала о DDoS-атаке мощностью 5,6 Тбит/с, направленную на неназванного интернет-провайдера (ISP) из Восточной Азии. Тогда для ее проведения был задействован вариант ботнета Mirai.
Позже в апреле 2025 года Cloudflare противостояла мощному трафику в 6,5 Тбит/с, который, вероятно, исходил от Eleven11bot, ботнета, состоящего примерно из 30 000 веб-камер и видеорегистраторов. Гиперобъемная атака длилась около 49 секунд.
Для сравнения, DDoS-атака мощностью 7,3 Тбит/с затронула в среднем 21 925 портов назначения одного IP-адреса хостинг-провайдера, достигнув пика в 34 517 портов назначения в секунду.
Многовекторная атака возникла из схожего распределения исходных портов и была идентифицирована как комбинация UDP-флуда, отражения QOTD, echo, NTP, portmap-флуда, атак Mirai UDP-флуда и усиления RIPv1. При этом UDP-флуд составил 99,996% всего трафика атаки.
Cloudflare также указала, что атака исходила из более чем 122 145 исходных IP-адресов, охватывающих 5 433 автономных систем (AS) в 161 стране.
Основными источниками трафика атак были Бразилия, Вьетнам, Тайвань, Китай, Индонезия, Украина, Эквадор, Таиланд, США и Саудовская Аравия.
Подкатили новые подробности относительно эксплуатации критической уязвимости FreeType, которая отслеживается как CVE-2025-27363.
Согласно данным WhatsApp, принадлежащий Meta (признана экстремистской), недавняя уязвимость FreeType, отмеченная на момент раскрытия информации как потенциально эксплуатируемая, была связана с эксплойтом израильской Paragon.
В середине марта Meta опубликовала рекомендацию, информируя пользователей о CVE-2025-27363 - уязвимости в библиотеке с открытым исходным кодом FreeType, которая может привести к RCE и потенциально могла быть использована в дикой природе.
В начале мая уязвимость в Android была исправлена и добавлена CISA в каталог известных эксплуатируемых уязвимостей.
Однако никакой публичной информации об атаках с использованием CVE-2025-27363 не поступало.
На этой неделе стало известно, что идентификатор CVE-2025-27363 был запрошен исследователями WhatsApp после того, как уязвимость была связана с эксплойтом Paragon.
Исследовательская группа Citizen Lab в марте сообщала, что 0-day WhatsApp использовалась в атаках шпионского ПО Paragon.
Представители WhatsApp тогда отмечали, что 0-day атаки включали использование групп и отправку PDF-файлов, а уязвимость была исправлена на стороне сервера, без необходимости исправления на стороне клиента.
При этом CVE-2025-27363 была обнаружена в ходе расследования других потенциальных каналов (за пределами WhatsApp), которые злоумышленники, прежде всего, компании-разработчики шпионского ПО, могут использовать для распространения вредоносного ПО.
В WhatsApp заявили, что поделились своими выводами с другими разработчиками в рамках координации общих усилий по повышению защиты в отрасли.
FreeType - это библиотека разработки, предназначенная для рендеринга текста на растровых изображениях, а также обеспечивающая поддержку других операций, связанных со шрифтами.
В случае CVE-2025-27363, которая влияет на FreeType 2.13.0 и более ранние версии, Meta обнаружила, что проблема возникает при попытке проанализировать структуры субглифов шрифта, связанные с TrueType GX и файлами переменных шрифтов.
Уязвимый код присваивает короткое знаковое значение длинному беззнаковому значению, а затем добавляет статическое значение, заставляя его переворачиваться и выделять слишком маленькое количество буфера кучи.
Затем код записывает до 6 длинных знаковых целых чисел за пределы этого буфера, что может привести к выполнению произвольного кода.
Paragon известна разработкой сложных эксплойтов, не требующих никакого взаимодействия со стороны целевого пользователя, а ее шпионское ПО Graphite Paragon в недавнем времени было замечено в Австралии, Канаде, Дании, Италии, Кипре, Сингапуре и Израиле.
Компания до недавнего времени также могла взламывать современные iPhone.
Правда, с тех пор, эксплуатируемая уязвимость была исправлена, как в случае и с CVE-2025-27363.
Но полагаем пройдет не много времени, прежде чем в Paragon смогут вооружиться новыми нулями, тем более, что оборотки заметно прибавилось в компании после финансирования со стороны американского правительства.
Мы встречаем нового CISO. Машу таращит от антидепрессантов. А лысый вообще не из нашего отдела.
Читать полностью…
Исследователи Tenable обнаружили серьезную проблему, связанную с неправильной настройкой разрешений на платформе Gerrit, которая могла привести к взлому ChromiumOS и других проектов Google.
Gerrit, разработанная Google, представляет собой платформу для совместной работы и обзора открытого исходного кода, которая позволяет разработчикам вносить изменения кода до их объединения в проекты.
Регистрация на Gerrit открыта для всех. Google использует эту платформу для ChromiumOS, Bazel, Dart, самого Gerrit, сторонних пакетов Chromium и множества других проектов.
По данным Tenable, разрешения по умолчанию как минимум в 18 проектах Google, а также состояние гонки в автоматизированном процессе отправки одобренных коммитов могли позволить злоумышленникам внедрить вредоносный код без взаимодействия с пользователем и реализовать атаку на цепочку поставок.
Получившая наименование GerriScary проблема связана с разрешением addPatchSet, которое позволяет зарегистрированным пользователям вносить изменения в существующие предложения по изменению кода, а также с процессом утверждения исправлений, который мог позволить злоумышленникам изменять одобренные изменения кода, не запуская новую проверку кода.
Любое изменение кода должно было соответствовать определенным требованиям к отправке и иметь маркировку, прежде чем объединялось ботом, но некорректно настроенные разрешения приводили к тому, что изменения оставались доверенными и одобренными даже после внедрения вредоносного кода.
В частности, Tenable обнаружила, что во многих проектах Google отсутствовали должным образом настроенные разрешения для механизма Gerrit под названием «условия копирования», что позволяло копировать их метки в дополнительные наборы исправлений.
По сути, это позволило добавлять вредоносные исправления к изменениям кода и сохранять требования по отправке.
Кроме того, исследователи выявили состояние гонки в процессе слияния, что позволяло модифицировать доверенные и одобренные изменения кода непосредственно перед тем, как автоматизированный бот их объединял.
Как полагают в Tenable, злоумышленники могут запросить API Gerrit или написать скрипт для перехвата изменений со статусом «отправляемых» и помеченных как подлежащие слиянию, а затем внедрить вредоносный код в изменение всего за несколько минут до того, как автоматизированный бот выполнит его слияние.
Для реализации нудно 5 минут в ChromiumOS и репозиториях Dart, а также до минуты - в других репозиториях Google, пока изменение не будет объединено ботом, включая вредоносный код.
По данным Tenable, в виду того, что GerriScary обусловлен неправильно настроенными разрешениями, любой проект, не устранивший эту проблему, подвержен атакам на цепочку поставок, приводящим к внедрению вредоносного кода в доверенные конвейеры.
Ресерчеры сообщили о проблеме 18 октября.
В течение 10 дней в Google подтвердили ошибку и внесли ограничения в разрешение addPatchSet для доверенных участников, продолжая при этом работать над устранением небезопасной логики копирования.
7 ноября Google полностью устранила уязвимости во всех проектах Gerrit, связанных с Chrome/ChromeOS. Проблеме была присвоена по итогу средняя степень серьезности, признаков эксплуатации не наблюдалось.
В январе компания перечислила Tenable вознаграждение в размере $5000 по программе баг-баунти, а в феврале уязвимости был присвоен идентификатор CVE-2025-1568.