Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи из TrendMicro сообщают о активности APT-группы Earth Lamia, которая как минимум с 2023 года нацелена на ряд отраслей в Бразилии, Индии и странах Юго-Восточной Азии с использованием уязвимости в веб-приложениях для кражи данных.
Первоначально сосредоточившись на сфере финансовых услуг, группа переключилась на логистику и онлайн-торговлю, а в последнее время сосредоточилась на ИТ-компаниях, университетах и госорганизациях.
Злоумышленник в основном нацелен с помощью sqlmap на различные известные уязвимости SQL-инъекций в веб-приложениях, включая Apache Struts2, GitLab, WordPress File Upload, JetBrains TeamCity, CyberPanel, SAP NetWeaver Visual Composer и Craft CMS для получения доступа к серверам целевых организаций.
На этапе горизонтального перемещения задействовались certutil.exe или powershell.exe для загрузки дополнительных инструментов, GodPotato и JuicyPotato для повышения привилегий, Fscan и Kscan для сканирования сети, rakshasa и Stowaway для создания прокси-туннелей.
Кроме того, Earth Lamia развертывала веб-оболочки в веб-приложениях, производила сбор информации о контроллере домена и учетных данных, добавляя helpdesk в локальную группу администраторов, а также реализовывала выполнение бэкдоров на основе фреймворков Vshell, Cobalt Strike и Brute Ratel.
Агрессивные операции APT-группы также упоминаются в различных исследовательских отчетах (REF0657, STAC6451 и CL-STA-0048), однако в TrendMicro собрали артефакты, указывающие на причастность группы к китайской стороне.
Как отмечают исследователи, Earth Lamia постоянно разрабатывает индивидуальные хакерские инструменты и бэкдоры для совершенствования своих атак и уклонения от обнаружения, упаковывает свои хакерские инструменты в файлы DLL для их запуска через DLL sideloading.
Кроме того, Earth Lamia также создала свои бэкдор-загрузчики, приняв DLL sideloading, предпочитая использовать легитимные двоичные файлы, предоставляемые поставщиками безопасности, для боковой загрузки своих вредоносных DLL-файлов.
При этом хакеры полагаются, прежде всего, на опенсорсные решения, но реализуют их кастомизацию, нивелируя таким образом риски обнаружения защитным ПО.
Earth Lamia отметилась тем, что смогла разработать ранее недокументированный модульный бэкдор .NET, который получил название PULSEPACK.
Каждая вредоносная функция разрабатывается как отдельный плагин. Плагины будут загружаться с сервера C2 только при необходимости.
Первая версия PULSEPACK была обнаружена в атаках Earth Lamia в августе 2024 года.
В 2025 году задетектировалась его обновленная версия, которая использует WebSocket для связи C2 вместо TCP, что демонстрируя ведущуюся группой активную разработку.
При этом замеченный образец PULSEPACK загружал подключаемый DLL-модуль под названием TKRun.dll, который используется для сохранения выполнения бэкдора путем создания запланированной задачи для запуска исполняемого файла после перезагрузки системы.
К сожалению, обнаружить дополнительные подключаемые модули, используемые PULSEPACK, исследователям не удалось, тем не менее представили весьма интересные технические моменты по части атрибуции.
Подробности - в отчете.
Одного из крупнейших индонезийских операторов, Telkomsel, по ходу основательно подломили, выставив на продажу в формате «только одному покупателю» в киберподполье доступ к панели управления услугами TELKOMSEL CENTER PANEL.
Учитывая его известность оператора, любая компрометация его систем может иметь широкомасштабные последствия для миллионов пользователей и потенциально повлиять на безопасность национальной связи.
Представленная панель, которая, по-видимому, является интерфейсом управления SIM-картами в реальном времени, предположительно предоставляет возможности просмотра, активации, приостановки или тестирования SIM-карт, мониторинга статусов выставления счетов и доступа к комплексным обзорам данных SIM-карт.
Также открывает доступ к подробной клиентской информации, включая ICCID, IMSI, MSISDN, PIN, тарифные планы и группы APN.
Исследователи BI.ZONE Threat Intelligence обнаружили новые кампании кластера Silent Werewolf, нацеленные на организации в России и Молдове.
В обоих случаях злоумышленники использовали два варианта загрузчиков, предназначенных для получения с сервера атакующих вредоносной нагрузки.
К сожалению, на момент исследования нагрузка была недоступна, но ретроспективный анализ аналогичных атак Silent Werewolf показал, что, вероятнее всего, в качестве ВПО использовалось XDigo.
Киберпреступники задействуют фишинговые рассылки от имени крупных и известных организаций или ссылаются на них в письмах, используя их айдентику: узнаваемые логотипы и прочие элементы фирменного стиля.
В ходе исследования Бизоны задектили две волны атак: первая была нацелена исключительно на российские организации в сфере энергетики (атомной промышленности), приборостроения, авиастроения, машиностроения.
Атакующие рассылали ранее неизвестный обфусцированный загрузчик, написанный на C#, который был замаскирован под досудебную претензию и под проект строительства жилого помещения.
Для доставки вредоносных файлов злоумышленники использовали фишинговые письма, в которых содержалась ссылка на загрузку ZIP-архива.
В ZIP-архиве находилось два файла: LNK и еще один ZIP-архив с легитимным EXE-файлом, вредоносной библиотекой (С#-загрузчик) и отвлекающим PDF-документом.
Загрузчик реализован в виде динамически подключаемой библиотеки d3d9.dll, которая запускается с помощью легитимного исполняемого файла H5GDXM70NJ.exe (DeviceMetadataWizard.exe), используя технику DLL Side-Loading.
Загрузчик предназначен для скачивания вредоносной нагрузки с сервера атакующих, закрепления ее на хосте в автозагрузке системы, а также открытия отвлекающего PDF-документа.
Его код обфусцирован, а строки закодированы Base64 и зашифрованы XOR с ключом в виде строки UTF-8. XOR-ключ для каждого экземпляра загрузчика уникальный.
Предположительно, на стороне атакующих производится проверка целевой системы.
В свою очередь, вторая волна атак была таргетирована, преимущественно, на молдавские компании, с возможным распространением на российские.
Новый вариант загрузчика распространялся под видом графика обмена служебных отпусков, рекомендаций по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-вымогателей.
Как и в предыдущей кампании, вредоносная рассылка, предположительно, осуществлялась посредством фишинговых писем, содержащих ссылку для загрузки архива.
Широкое применение легитимных средств и обфускации вредоносного кода позволяет Silent Werewolf оставаться незамеченными продолжительное время и достигать цели кибератаки.
Подробный технический разобрали сценариев атак и индикаторы - в отчете.
Исследователи из Лаборатории Касперского в своем новом отчете обращают внимание на актуальность проблем, связанных с защитой контейнеризованной инфраструктуры.
Несмотря на то, что атаки на контейнеры происходят не так часто, как на другие системы, но это не делает их менее опасными.
В новой раскрытой ЛК кампании контейнеризованные среды были скомпрометированы комбинацией ранее известного майнера и нового вредоносного ПО под названием nginx.
Причем один зараженный контейнер сканирует интернет в поисках открытых API Docker, эксплуатирует их, создавая новые вредоносные контейнеры и заражая существующие.
Новые «зомби» приступают к добыче криптовалюты Dero и распространяют инфекцию дальше.
Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
Как показал анализ, злоумышленники получили начальный доступ к активной контейнеризованной инфраструктуре через открытый API Docker, не защищенный должным образом.
В результате были скомпрометированы существующие контейнеры и развернуты новые - не только для майнинга криптовалюты на ресурсах жертвы, но и для проведения внешних атак с целью распространения в других сетях.
Согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375, что дает представление о разрушительном потенциале описанной угрозы и подчеркивает необходимость адежной защиты контейнеров.
Технические подробности цепочки заражения и индикаторы компрометации - в отчете.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозами. В новой подборке:
1. Pentestpartners нашли способ обойти ограниченный просмотр и считать защищенные файлы, хранящиеся на серверах Microsoft SharePoint, включая обман агента ИИ.
2. Исследователи Project Discovery обнаружили три уязвимости в платформе оркестровки сети Versa Concerto, которые можно объединить в цепочку для атаки и захвата экземпляров Concerto.
Одна из них - обход аутентификации (CVE-2025-34027) с оценкой серьезности 10/10. Исследователи уведомили Versa Networks о трех проблемах в феврале, но неясно, были ли выпущены исправления.
3. Омер Майраз из Legit Security представил сценарий, согласно которому злоумышленники могут внедрить вредоносные подсказки в комментарии исходного кода и атаковать помощника GitLab Duo AI, чтобы украсть исходный код или выполнить другие вредоносные действия.
4. Исследователи Horizon3 опубликовали технический анализ CVE-2025-32756, активно эксплуатируемой уязвимости нулевого дня в телефонных системах FortiVoice.
5. Profero опубликовала технический анализ двух 0-day Ivanti, эксплуатируемых в реальных условиях (CVE-2025-4427 и CVE-2025-4428) связанной с КНР UNC5221, которая ранее также атаковала устройства Palo Alto Networks и SAP для развертывания маяков KrustyLoader и Sliver.
6. Rhino Security выкатила описание для CVE-2025-26147, уязвимости RCE после аутентификации в Denode Scheduler.
7. 8Com опубликовала подробности CVE-2025-26817, уязвимости RCE после аутентификации в Netwrix Password Secure, корпоративном менеджере паролей.
8. Разработчики библиотеки аутентификации Samlify Node.js выпустили исправления для устранения атаки с использованием упаковки подписей, которая могла использоваться для обхода аутентификации SAML SSO (CVE-2025-47949).
9. CISA предупреждает компании о широкомасштабной кампании, направленной на использование уязвимости Commvault (CVE-2025-3928 с CVSS 8,7) с целью взлома сред Azure.
Commvault исправила ошибку в конце февраля, но в начале мая обновила рекомендации, предупредив, что злоумышленники могли получить доступ к подмножеству учетных данных приложений, которые некоторые клиенты Commvault используют для аутентификации своих сред M365.
10. Более 100 устройств AutomationDirect MB-Gateway могут быть уязвимы для удаленных атак из Интернета из-за CVE-2025-36535 (CVSS 10). При этом уязвимый шлюз Modbus используется по всему миру, в том числе в критически важной инфраструктуре.
11. Atlassian опубликовала восемь рекомендаций, в которых подробно описаны шесть серьезных уязвимостей в Bamboo, Confluence, Fisheye/Crucible и Jira. Все дефекты были выявлены в сторонних зависимостях, их эксплуатация позволяет вызвать DoS или EoP в уязвимой системе.
12. GitLab объявил об исправлении 10 ошибок, влияющих на GitLab Community Edition (CE) и Enterprise Edition (EE). Наиболее важная CVE-2025-0993 высокой степени серьезности, которую могут использовать аутентифицированные злоумышленники для вызова состояния DoS.
13. Cisco опубликовала десять рекомендаций по безопасности, в которых подробно описаны более десятка уязвимостей, включая две критически важные уязвимости в Identity Services Engine (ISE) и Unified Intelligence Center - CVE-2025-20152 и CVE-2025-20113.
Силовики продолжают пылесосить киберподполье, реализуя масштабные международные скоординированные операции в отношении инфраструктуры и связанных с ними лиц, причастных к ransomware и популярным вредоносным ПО.
В рамках последней итерации запущенной еще в мае 2024 «Операции «Эндшпиль» коалиция правоохранителей отключила около 300 серверов по всему миру, нейтрализовала 650 доменов и выдала ордера на арест 20 киберпрестпуников в период с 19 по 22 мая 2025 года.
Как отмечают представители Европола, она нацелена на новые варианты вредоносного ПО и их преемников, которые вновь появились после предыдущих облав. В их числе: Bumblebee, Lactrodectus, QakBot, DanaBot, TrickBot и WARMCOOKIE.
В ходе операции было изъято 3,5 млн евро в криптовалюте, в результате чего общая сумма, изъятая в ходе операции, составила более 21,2 млн евро.
Помимо этого, Минюст США также предъявил обвинения 16 лицам, предположительно, являющимся частью российской киберпреступной группировки, которая контролировала операцию по созданию вредоносного ПО DanaBot.
Согласно материалам, ботнет задействовался для развертывания дополнительных вредоносных ПО, включая ransomware, и заразил более 300 000 компьютеров по всему миру, нанеся ущерб более чем на 50 миллионов долларов.
Вредоносное ПО DanaBot активно с 2018 года, работает по модели MaaS. Способно перехватывать банковские сеансы, красть данные браузера, а также предоставлять полный удаленный доступ к скомпрометированным системам и контролировать действия пользователей.
Министерство выразило признательность специаоситам Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru и Zscaler за предоставление «ценной помощи».
Кроме того, Европол раскрыл подробности другой международной операции под названием RapTor, нацеленной на пресечение каналов продажи оружия, наркотиков и контрафакта.
По результатам арестовано 270 селлеров и участников даркнет-ресурсов в 10 странах: США (130), Германия (42), Великобритания (37), Франция (29), Южная Корея (19), Австрия (4), Нидерланды (4), Бразилия (3), Швейцария (1) и Испания (1).
Подозреваемые, отметил Европол, были идентифицированы на основе разведданных, собранных в ходе прошлых операции в отношении Nemesis, Tor2Door, Bohemia и Kingdom Markets.
Наряду с арестами правоохранители изъяли €184 млн наличными и криптовалютой, 2 тонны наркотиков, 180 единиц огнестрельного оружия, 12 500 контрафактных товаров, включая более 4 тонн табака.
Так что, не одной Lumma досталось.
👾 Agent Tesla.
• Данный материал написан в соавторстве с @mycroftintel
• Если вам кажется, что за вами кто-то наблюдает, проверяет буфер обмена и крадёт пароли из браузера — не спешите обвинять жену, Моссад или рептилоидов. Возможно, это всего лишь маленький и невзрачный Agent Tesla — один из самых популярных RAT'ов (Remote Access Trojan) последнего десятилетия. Появился он где-то в 2014 году, сначала как «инструмент для тестирования безопасности» (да-да, очень иронично), но быстро стал любимым детищем специалистов по фишингу, бот-мастеров и прочей цифровой нежити. Юмор в том, что он всё ещё продаётся по подписке — как Spotify, только для краденых паролей.
• Agent Tesla — это не просто троянчик из подворотни, а полноценный шпионский комбайн. Он крадёт учётные данные из браузеров, почтовиков и VPN-клиентов, логирует всё, что вы печатаете, снимает скриншоты, следит за буфером обмена и умеет передавать всё это добро хозяину через SMTP, FTP, HTTP или Telegram-ботов. Некоторые сборки умеют даже лезть в кошельки крипты и прокладывать себе туннели через системы защиты.
• Чем опасен? Тем, что он повсюду. Его шлют пачками через спам, вшивают в «резюме.doc», прикладывают к фейковым DHL-уведомлениям и запихивают в архивы с паролем. Благодаря доступности, простоте и обилию билдов, Agent Tesla стал цифровым «чёрным хлебом» среди начинающих киберпреступников. Он легко обходит антивирусы, особенно если чуть-чуть обфусцировать сборку или сменить загрузчик. А ещё его часто не детектят песочницы, потому что он может затаиться на старте и не выдать ничего подозрительного.
• Если ты работаешь с почтой, качаешь файлы или просто существуешь в интернете, знай: у тебя есть все шансы словить этого товарища. Проверяй вложения, не запускай .exe из .zip, и не думай, что обфусцированный .NET бинарник с названием Invoice2024.scr — это реально счёт-фактура. Agent Tesla не самый продвинутый, но один из самых распространённых, а значит — в твоём направлении он уже выехал.
➡ Дополнительную информацию можно найти в группе @mycroftintel
➡ Проверить файлы, ссылки, ip и QR-коды на наличие угроз можно в нашем боте: S.E. Virus Detect.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Infoblox выкатили отчет в отношении хакерской группы Hazy Hawk, которая использует ошибки в настройках DNS для захвата доверенных доменов.
Злоумышленник перехватывает доверенные поддомены правительств, университетов и компаний из Fortune 500 для мошенничества, продвижения поддельных приложений и вредоносной рекламы.
По словам исследователей, Hazy Hawk сначала сканирует домены с записями CNAME, указывающими на заброшенные облачные конечные точки, которые они определяют с помощью пассивной проверки данных DNS.
Затем они регистрируют новый облачный ресурс с тем же именем, что и в заброшенном CNAME, в результате чего поддомен исходного домена преобразуется в новый размещенный в облаке сайт злоумышленника.
Используя эту технику, злоумышленники умело скрывают вредоносную деятельность, размещая мошеннический контент или используя домены в качестве перенаправляющих узлов для кибермошеннических.
Среди некоторые примечательных примеров таких доменов:
- cdc.gov (Центры США по контролю и профилактике заболеваний),
- honeywell.com (многонациональный конгломерат),
- berkeley.edu (Калифорнийский университет в Беркли),
- michelin.co.uk (шины Michelin в Великобритании),
- ey.com, pwc.com, deloitte.com (Глобальная «Большая четверка» консалтинговых фирм),
- ted.com (известная некоммерческая медиа-организация TED Talks),
- health.gov.au (Минздрав Австралии), unicef.org (фонд ООН),
- nyu.edu (Нью-Йоркский университет),
- unilever.com (глобальная компания по производству потребительских товаров)
- ca.gov (правительство штата Калифорния) и др (полный список взломанных доменов - в отчете Infoblox).
Получив контроль над поддоменом, злоумышленник генерирует на нем сотни вредоносных URL-адресов, которые в поисковых системах выглядят как вполне реальные в виду высокого рейтинга доверия родительского домена.
Жертвы, кликавшие на URL-адреса, перенаправляются через уровни доменов и инфраструктуру TDS, профилируются на основе типа устройства, IP-адреса, использования VPN и т.д.
Исследователи Infoblox отмечают, что подобные сайты используются для мошенничества с техподдержкой, фиктивных антивирусных оповещений, продвижения фейковых стриминовых и порно сайтов, а также фишинговых страниц.
Попавшиеся на уловку и включившие push-уведомления браузера пользователи затем получают постоянные оповещения даже после того, как они покинули мошеннические сайты, что может приносит Hazy Hawk значительный доход.
Ранее Infoblox сообщала также о другом злоумышленнике Savvy Seahorse, который также злоупотреблял записями CNAME для создания нетипичного TDS, перенаправлявшего пользователей на фейковые инвестплатформы.
Как отмечают исследователи, записи CNAME легко пропустить, в связи с чем они подвержены скрытому злоупотреблению, и, похоже, все больше злоумышленников понимают это и пытаются воспользоваться.
В случае с Hazy Hawk успех операции также зависит от того, что организации не удаляют записи DNS после вывода из эксплуатации облачных сервисов, что позволяет злоумышленникам копировать исходное имя ресурса без аутентификации.
Силовики отрапортовались об очередной «успешной» операции по нейтрализации вредоносной инфраструктуры, на этот раз стиллера Lumma, который лишился тысячи доменов и части серверов по всему миру.
В операции принимали участие несколько технологических компаний и правоохранительный блок, отдельную роль отвели Microsoft, которая в судебном порядке добилась блокировки около 2300 доменов, лишив более 394 000 зараженных хостов Windows связи с С2.
Главным инициатором выступил Минюст США (DOJ), которому при поддержке спецслужб удалось захватить панель управления Lumma, а через возможности Европола и Японского центра по борьбе с киберпреступностью (JC3) - нейтрализовать инфраструктуру в Европе и Японии.
От ИБ-блока в совместной операции против Lumma выступили ESET, CleanDNS, Bitsight, Lumen, GMO Registry, а также международная юридическая фирма Orrick.
В Cloudflare заметили, что предпринятые в отношении Lumma Stealer меры позволили существенно подорвать положение операторов в эксплуатационном и финансовом плане, а также лишить их доступа к панели управления и массивам украденных данных.
Специалисты Cloudflare также отмечают, что Lumma Stealer неоднократно злоупотреблял их сервисами, скрывая исходные IP-адреса серверов, которые злоумышленники использовали для сбора украденных учетных данных и данных.
Lumma (LummaC2) - вредоносное ПО для кражи информации, реализуемое как услуга, нацеленное на системы Windows и macOS, которое киберпреступники могут арендовать по подписке стоимостью от 250 до 1000 долларов США.
Вредоносное ПО обладает расширенными возможностями уклонения от обнаружения и кражи данных, распространяется по различным каналам, включая комментарии GitHub, сайты-генераторы deepfake и вредоносную рекламу для заражения жертв.
После взлома системы Lumma способна красть данные из браузеров и приложений, включая криптокошельки, файлы cookie, учетные данные, пароли, данные кредитных карт и историю просмотров из Google Chrome, Microsoft Edge, Mozilla Firefox и др.
Затем украденные данные собираются в архив и отправляются обратно на серверы, контролируемые злоумышленниками, которые затем реализуют информацию в даркнете или используют ее для других атак.
Впервые стиллер появился на форумах в декабре 2022 года и, как сообщали исследователи KELA, всего через несколько месяцев стал весьма популярным в киберподполье.
В отчете IBM X-Force об угрозах за 2025 год, исследователи указали на на 12% рост числа украденных учетных данных, выставленных на продажу, причем Lumma оказалась самой распространенной и этой категорией, лидируя с большим отрывом.
Lumma отметилась в различных, в том числе и крупномасштабных кампаниях, затронувших сотни тысяч ПК (среди недавних инциденты в PowerSchool, HotTopic, CircleCI и Snowflake), а также задействовалась многими известными группами угроз, включая Scattered Spider.
Учитывая столь серьезный бэкграунд, вряд ли операторы Lumma надолго останутся без работы.
Как показывает практика подобных операций, силовая эйфория длится недолго.
Подкатили весьма неутешительные подробности недавнего инцидента с SK Telecom: вредоносное ПО находилось в сети более трех лет со всеми вытекающими, поскольку это крупнейший оператор мобильной связи в Южной Корее, занимающий половину национального рынка.
В компании SK Telecom подтвердили, что инцидент, о котором стало известно недавно, в апреле, впервые произошел еще в 2022 году, в результате чего были раскрыты данные USIM 27 миллионов абонентов.
19 апреля 2025 года компания задетектида вредоносное ПО в своих сетях и отреагировала, изолировав оборудование, предположительно подвергшееся взлому.
Реализованная атака позволила злоумышленникам украсть данные, включая IMSI, ключи аутентификации USIM, данные о сети, а также SMS/контактах, хранящихся на SIM-карте.
Учитывая резко возросшие риски атак с подменой SIM, компания решила перевыпустить SIM-карты для всех абонентов, а также прекратить временно регистрацию новых абонентов.
8 мая 2025 года правительственный комитет, расследующий инцидент, заявил, что заражение вредоносным ПО скомпрометировало 25 типов данных.
В опубликованном обновленном заявлении SK Telecom сообщила о намерении уведомить 26,95 млн клиентов, ставших жертвами инцидента с заражением вредоносным ПО, в результате которого были раскрыты их конфиденциальные данные.
Компания выявила в общей сложности 25 различных типов вредоносного ПО на 23 взломанных серверах, поэтому масштаб нарушения оказался гораздо более масштабным, чем предполагалось изначально.
Одновременно с этим следственная группа, изучающая 30 000 серверов Linux компании SK Telecom, опубликовала свой отчет, утверждая о первоначальном заражении, которое произошло 15 июня 2022 года.
Так что вредоносное ПО оставалось незамеченным в системах компании в течение почти трех лет, а злоумышленники успели за это время внедрить несколько полезных нагрузок на 23 сервера.
В расследовании утверждается, что 15 из 23 зараженных серверов содержали персональные данные клиентов, включая 291 831 номер IMEI, хотя SK Telecom прямо отрицала это в своем последнем пресс-релизе.
Группа следователей также отметила, что SK Telecom начала регистрировать активность на затронутых серверах 3 декабря 2024 года. Таким образом, любая утечка данных, которая могла произойти с июня 2022 года до этого момента, не была бы обнаружена.
Тем не менее SK Telecom продолжает оценивать последствия и проводить работу по локализации ущерба, гарантируя при этом свою 100% ответственность в случае каких-либо вредоносных действии в отношении клиентов.
Исследователи из Лаборатории Касперского представили результаты своего традиционного исследования по анализу ландшафта угроз для систем промышленной автоматизации за первый квартал 2025 года.
Среди отмеченных ключевых трендов:
- От квартала к кварталу сохраняется относительная стабильность: доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал не изменилась и составила 21,9%. В годом исчислении показатели были меньше аналогичного показателя предыдущего года.
- В первом квартале 2025 года защитные решения ЛК заблокировали на системах промышленной автоматизации вредоносное ПО из 11 679 семейств, относящихся к различным категориям.
- Биометрические системы по-прежнему лидируют среди исследуемых отраслей. Это единственный тип OT-инфраструктур, где доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась.
- Данные по регионам по-прежнему значительно различаются. В первом квартале 2025 года показатели варьировались от 10,7% в Северной Европе до 29,6% в Африке. В восьми регионах показатель попал в диапазон от 19% до 25%.
- Уменьшается доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных.
- Изменение показателей угроз первого этапа влияет на долю компьютеров АСУ, атакованных вредоносным ПО второго этапа. В первом квартале 2025 года впервые с начала 2023 года увеличилась доля компьютеров АСУ, на которых были заблокированы угрозы из интернета и через почту.
- Доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы и вредоносные документы, за квартал увеличилась.
- Лидирующая категория вредоносного ПО, используемого для первичного заражения компьютеров АСУ, - вредоносные скрипты и фишинговые страницы.
- Большинство вредоносных скриптов и фишинговых страниц действуют как дропперы или загрузчики вредоносного ПО следующего этапа - шпионского ПО, криптомайнеров и программ-вымогателей.
- Показатели первых трех месяцев 2025 года у шпионских программ, как и у вредоносных скриптов и фишинговых страниц, выше, чем с января по март 2024 года.
- Доля компьютеров АСУ, на которых были заблокированы майнеры (как веб-майнеры, так и майнеры - исполняемые файлы для ОС Windows), в первом квартале 2025 года также выросла.
- В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы черви и вирусы, сократилась до 1,31% (на 0,06 п. п.) и 1,53% (на 0,08 п. п.) соответственно.
Более подробная информация об индустриальных угрозах в первом квартале со статистикой и инфографикой - в полной версии отчета.
🧊 Firefox устраняет две критические уязвимости JavaScript, выявленные на Pwn2Own Berlin 2025
Mozilla оперативно выпустила обновления безопасности для браузера Firefox и его версий ESR, устранив две критические уязвимости, продемонстрированные в ходе конкурса Pwn2Own Berlin 2025. Обе уязвимости затрагивали обработку объектов JavaScript в процессе отображения контента, но, как сообщается, благодаря архитектуре песочницы не позволили атакующим выйти за пределы изолированного окружения.
Первая уязвимость, идентифицированная как CVE-2025-4918, была обнаружена исследователями Эдуаром Бошеном и Тао Яном из Palo Alto Networks. Она позволяла выполнять операции чтения и записи за пределами выделенной памяти при разрешении объектов Promise в JavaScript, что потенциально могло привести к выполнению произвольного кода в процессе контента браузера.
Вторая уязвимость, CVE-2025-4919, была представлена Манфредом Полом и связана с путаницей размеров индексов массивов при оптимизации линейных сумм, также приводящей к выходу за пределы памяти.
Обе уязвимости были успешно продемонстрированы на конкурсе Pwn2Own Berlin 2025, организованном инициативой Zero Day Initiative от Trend Micro. Исследователи получили по $50 000 и по 5 очков в рейтинге "Master of Pwn" за свои находки. Mozilla выпустила обновления безопасности в течение суток после демонстрации уязвимостей.
🛡Несмотря на то, что уязвимости не позволили атакующим выйти за пределы процесса контента благодаря архитектуре песочницы Firefox, Mozilla настоятельно рекомендует всем пользователям как можно скорее обновиться до последних версий c целью обеспечения максимальной безопасности своих браузеров.
✋ @Russian_OSINT
Исследователи ZeroDay Labs Эйдан Леон раскрыл атаку на цепочку поставок, которая привела к распространению троянизированного установщика VMware RVTools через официальные сайты, которая доставляла на компьютеры пользователей загрузчик вредоносного ПО Bumblebee.
Robware.net и RVTools.com являются единственными авторизованными и поддерживаемыми веб-сайтами для ПО RVTools, на время расследования инцидента временно были отключены.
RVTools, изначально разработанный компанией Robware, а теперь принадлежащий Dell, представляет собой утилиту Windows, которая обеспечивает комплексную инвентаризацию и отчетность о состоянии сред VMware vSphere.
RVTools широко признан важным инструментом для администраторов VMware, а Virtual Blocks компании VMware признал его ведущей утилитой для управления vSphere.
Атака была впервые обнаружена после того, как исследователь заметил, что официальный установщик RVTools [VirusTotal] пытался выполнить вредоносную версию .dll [VirusTotal], которая была идентифицирована как загрузчик вредоносного ПО Bumblebee.
Дальнейшее расследование выявило несоответствие между хэшем файла, указанным на сайте RVTools, и фактически загружаемым файлом. Модифицированная версия была значительно больше и содержала вредоносный файл version.dll.
Bumblebee обычно реализуется через SEO-отравление, вредоносную рекламу и фишинговые атаки, активно задействовался бандой вымогателей Conti.
После установки загружает и выполняет дополнительные полезные нагрузки на зараженных устройствах, включая маяки Cobalt Strike, стиллеры и ransomware.
Исследователи Arctic Wolf в своем отчете также отмечают факты распространения троянизированных установщиков RVTools через вредоносные домены с помощью тайпсквоттинга, которые, вероятно, продвигались посредством SEO-инфильтрации или вредоносной рекламы.
Кроме того, фиксировались и другие аналогичные кампании, нацеленные на RVTools, в частности, для доставки бэкдора SMOKEDHAM PowerShell .NET.
В настоящее время неизвестно, как долго троянизированная версия RVTools была доступна для загрузки и сколько пользователей установили ее до того, как сайт был отключен.
Так что пользователям рекомендуется проверить хэш установщика и просмотреть все запуски version.dll из пользовательских каталогов.
Исследователи WithSecure Threat Intelligence обнаружили активную на протяжении восьми месяцев кампанию, нацеленную на пользователей KeePass с использованием троянизированных версий менеджера паролей для кражи учетных данных и развертывания ransomware.
Атаки начались с вредоносного установщика KeePass, продвигаемого через фейковые сайты с программным обеспечением посредством рекламы Bing.
Поскольку KeePass имеет открытый исходный код, злоумышленники модифицировали его, создав троянизированную версию, названную KeeLoader, которая содержит все обычные функции управления паролями.
Помимо этого она включает модификации, которые устанавливают маяк Cobalt Strike и экспортируют базу данных паролей KeePass в виде открытого текста.
Как отмечает WithSecure, уникальные идентификаторы Cobalt Strike, используемый для генерации полезной нагрузки и задейстсвованные в этой кампании, связаны с IAB, который, как предполагается, был связан с атаками Black Basta в прошлом.
Тем не менее, исследователям не известно о каких-либо других инцидентах (связанных с программами-вымогателями или иными), использующих именно этот идентификатор Cobalt Strike, но это не значит, что их не было.
WithSecure задетектила несколько вариантов KeeLoader, подписанных легальными сертификатами, которые распространялись через домены-типосквоттеры, такие как keeppaswrd[.]com, keegass[.]com и KeePass[.]me.
При этом первый при этом до сих пор активен и содержит троянизированный установщик KeePass (VirusTotal).
Помимо доставки маяков Cobalt Strike, троянизированная версия KeePass включала в себя функцию кражи паролей, которая позволяла злоумышленникам красть любые учетные данные, введенные в программу.
В конечном итоге атака, наблдавшаяся WithSecure, привела к шифрованию серверов VMware ESXi компании с помощью программы-вымогателя.
Дальнейшее расследование привело к обширной инфраструктуре, созданной для распространения вредоносных ПО, замаскированных под легитимные инструменты, а также фишинговым страницам, предназначенным для кражи учетных данных.
Домен aenys[.]com использовался для размещения дополнительных поддоменов, которые выдавали себя за известные компании и сервисы, такие как WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank и DEX Screener.
Каждый из них использовался для распространения различных вариантов вредоносного ПО или кражи учетных данных.
WithSecure с умеренной уверенностью приписывает эту активность UNC4696, группе злоумышленников, ранее связанной с кампаниями Nitrogen Loader.
Предыдущие кампании Nitrogen также пересекались с бандой вымогателей BlackCat/ALPHV.
Технические подробности атак и атрибуции - в отчете.
В течение полугода поставщик принтеров Procolored размещал вместо оригинальных программ на своем общедоступном сайте троянизированное ПО со стиллером и бэкдором под капотом.
Заметить подставу смог один из авторов Hackster News Кэмерон Ковард, который в процессе установки Microsoft Visual C++ Redistributable и PrintExp словил детекты антивируса. Поставщик его заверил, что срабатывания, вероятно, имели ложный характер.
В свою очередь, исследователи GData после анализа доступных для загрузки на сайте компании файлов ПО обнаружила, что они также заражены.
В общей сложности GData обнаружила, что 39 загрузок программного обеспечения, размещенных на mega.nz и последний раз обновленных в октябре 2024 года, были заражены двумя семействами вредоносных ПО.
Первая из них представляла собой бэкдор, получивший название XRed на Delphi, который реализует поведение червя.
Образец, обнаруженный в загрузках Procolored, мог регистрировать нажатия клавиш, загружать дополнительные полезные данные, делать скрины, изменять файлы и предоставлять оболочку по запросу.
Стиллер под названием CoinStealer нацелен на криптокошельки, но также может подменять адреса криптовалют в буфере обмена на адрес злоумышленника, чтобы перенаправлять средства злоумышленнику во время транзакций.
GData также заметила, что стиллер атакует исполняемые файлы, присоединяясь к ним, а затем перемещает зараженные файлы в исходное местоположение хоста.
По данным компании, XRed объединяет вирус, получивший название SnipVex, реализуя эффект «суперинфекции», поскольку в целевой системе оказывается несколько самовоспроизводящихся семейств вредоносных ПО.
Подобная вирусная инфекция также объясняет, откуда появились 39 зараженных файлов в разделе загрузок Procolored. SnipVex, вероятно, реплицировал себя на системе разработчика или на серверах сборки.
При этом указанный операторами адрес криптовалюты, который фигурирует в качестве замены в буфере, получил переводы на сумму в чем более 9 биткоинов (более 900 000 долл).
Несмотря на свои первичные заявления, Procolored все же удалила загрузки со своего веб-сайта, отмечая о начале проведения расследования.
🥷Эксперты F6 проанализировали криминальные сделки в дарквебе
Компания F6 представила результаты исследования 🕷дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ.
По данным специалистов:
🔼 Дороже всего — доступы в партнерские программы вымогателей — до $100 000, а также 0-day — уязвимости нулевого дня — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000.
🔽 Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт.
📲 В Telegram-каналах активно работают сервисы 📱пробива, предоставляющие данные по запросу: от 📄паспортных данных и телефонов до списка недвижимости и остатков на счетах. Стоимость — от пары тысяч рублей. Такие данные активно используются для целевых атак, шантажа, корпоративного шпионажа.
Исследователи Sekoia раскрыли масштабную кампанию, связанную со взломом почти 5300 уникальных сетевых устройств в 84 странах, которые были объединены в сеть, похожую на набор ханипотов.
Компания отслеживает причастного к инциденту злоумышленника как ViciousTrap. Для реализации им задействовалась критическая уязвимость в маршрутизаторах Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325 (CVE-2023-20118).
Большинство заражений произошло в Макао, где было скомпрометировано 850 устройств.
Цепочка заражения включает в себя выполнение скрипта оболочки, NetGhost, который перенаправляет входящий трафик с определенных портов взломанного маршрутизатора в инфраструктуру, похожую на приманку, находящуюся под контролем злоумышленника, что позволяет перехватывать сетевые потоки.
Ранее Sekoia приписывала эксплуатацию CVE-2023-20118 другому ботнету, получившему название PolarEdge. Однако данных, связывающих эти два кластера активности пока нет.
Как отмечают исследователи, ViciousTrap, вероятно, создает инфраструктуру приманок, взламывая широкий спектр подключенного к Интернету оборудования, включая маршрутизаторы SOHO, SSL VPN, цифровые видеорегистраторы и контроллеры BMC более чем 50 брендов: Araknis Networks, ASUS, D-Link, Linksys и QNAP.
Реализация замысла позволит злоумышленнику наблюдать за попытками эксплуатации в нескольких средах и потенциально собирать непубличные или уязвимые места, а также повторно использовать доступ, полученный другими злоумышленниками.
Цепочка атак включает в себя нацеливание на CVE-2023-20118 для загрузки и выполнения скрипта bash через ftpget, который затем связывается с внешним сервером для извлечения двоичного файла wget.
На следующем этапе уязвимость Cisco эксплуатируется во второй раз, используя ее для выполнения второго скрипта, полученного с помощью ранее сброшенного wget.
Скрипт оболочки второго этапа NetGhost настроен на перенаправление сетевого трафика из скомпрометированной системы в стороннюю инфраструктуру, контролируемую злоумышленником, тем самым облегчая атаки типа AitM.
При этом он также располагает возможностями удаления себя из скомпрометированного хоста для уклонения от криминалистического анализа.
Sekoia заметила, что все попытки эксплуатации исходили с одного IP-адреса («101.99.91[.]151»), а самая ранняя активность датируется мартом 2025 года.
Кроме того, злоумышленники ViciousTrap также повторно использовали недокументированную веб-оболочку, ранее использовавшуюся в атаках ботнета PolarEdge, для своих собственных операций.
Ранее, в этом месяце, попытки эксплуатации также были направлены на маршрутизаторы ASUS, но с другого IP-адреса ("101.99.91[.]239"), хотя злоумышленники не были замечены в создании каких-либо ханипотов на зараженных устройствах.
Все IP-адреса, активно используемые в кампании, находятся в Малайзии и являются частью автономной системы (AS45839), управляемой хостинг-провайдером Shinjiru.
Предполагается, что злоумышленник имеет китайскоязычное происхождение, исходя из совпадения с инфраструктурой GobRAT, а также учитывая, что трафик перенаправляется на многочисленные активы на Тайване и в США.
Конечная цель ViciousTrap остается неясной, хотя Sekoia с высокой степенью уверенности оцениваем ее как сеть-приманку.
Исследователи ASEC AhnLab представили техническое описание нового типа вредоносного бэкдора, который использует протокол Bitmessage P2P для связи с C2 и был разверн вместе с криптомайнером на взломанных серверах.
Шифрование содержимого связи между конечными точками вместо использования традиционных методов HTTP-связи и IP-подключения позволяет вредоносному ПО скрывать следы своей активности.
Протокол Bitmessage - это система обмена сообщениями, разработанная с учетом анонимности и децентрализации, реализует предотвращение перехвата и анонимизацию отправителей и получателей сообщений.
Злоумышленники использовали модуль PyBitmessage, который поддерживает этот протокол в среде Python, для обмена зашифрованными пакетами в формате, похожем на обычный веб-трафик.
В частности, команды C2 и управляющие сообщения скрыты в сообщениях от реальных пользователей в сети Bitmessage, что делает очень сложным для продуктов обнаружения классификацию этого общения как вредоносного поведения.
Атака начинается с зашифрованной полезной нагрузки, которая после выполнения расшифровывает с помощью XOR и развертывает как компонент майнинга Monero, так и функциональность бэкдора.
Три файла (config.json, WinRing0x64.sys, idle_maintenance.exe), необходимые для реализации функции майнинга, создаются по пути «%Temp%\3048491484896530841649».
Вредоносный бэкдор, созданный с помощью PowerShell, устанавливает файл PyBitmessage для обработки POST-запросов, поступающих на локальный порт 8442 при первоначальном запуске.
Вредоносная ПО пытается загрузить эти файлы со страницы релизов GitHub или, в случае неудачи, с предполагаемого сайта-хостинга файлов (spcs.bio).
Бэкдор также пытается скрыться, исправляя определенные смещения в легитимных файлах, таких как QtGui4.dll, эффективно нейтрализуя их обычную функциональность, сохраняя при этом их видимость как легитимных системных компонентов.
После этого он создает несколько файлов и путей, необходимых для работы функции, затем ожидает команд от оператора, которые сохраняются и выполняются как скрипт PowerShell.
Безусловно, в текущих реалиях такой подход можно назвать инновационным, однако все новое - это хорошо забытое старое.
Почти 10 лет назад исследователи Dell SonicWALL уже рассказывали про PyBitmessage, реализованный в операциях по вымогательству с использованием трояна Chimera malware.
Подкатили интересные подробности недавней международной операции по нейтрализации Lumma Stealer.
Как сообщают админы Lumma Stealer, правоохранители предпринимали попытки физического захвата инфраструктуры в начале этого месяца, после безуспешных попыток - попросту взломали внутренние серверы.
При этом, как они утверждают, что сотрудники ФБР США задействовали эксплойт для Dell iDRAC, который позволил им произвести сбор данных и дважды зачистить имевшиеся резервные серверы.
Кроме того, спецслужбы разместили на портале фишинговую страницу для сбора данных о клиентов.
Все это произошло примерно за неделю до того, как власти официально прикрыли Lumma Stealer.
Практика наработана, подобные трюки американские спецслужбы проворачивали уже не раз.
Исследователи Cisco Talos раскрывают причастность китайской APT, которую они отслеживают как UAT-6382, к атакам на органы местного самоуправления в США с использованием 0-day в Trimble Cityworks.
CVE-2025-0994 (CVSS 8,6) была исправлена в конце января и представляет собой уязвимость десериализации, приводящую к удаленному выполнению кода (RCE) на веб-серверах Microsoft Internet Information Services (IIS) клиентов.
Cityworks - это ГИС-ориентированное решение, которое используется на критически важных объектах, включая местные органы власти и коммунальные службы, для управления и обслуживания инфраструктуры.
В феврале CISA добавила уязвимость CVE-2025-0994 в свой каталог KEV и выпустила рекомендацию по промышленным системам управления (ICS), отметив, что для эксплуатации этой ошибки требуется аутентификация.
В свою очередь, Trimble опубликовала IoC, согласно которым уязвимость использовалась для внедрения имплантов Cobalt Strike и различных семейств вредоносных ПО, но ни Trimble, ни CISA не поделились подробностями о том, кто несет ответственность за наблюдаемые атаки.
Теперь же исследователи Cisco Talos приписали активность к китайской UAT-6382, которая эксплуатирует 0-day с января 2025 года, нацеливаясь на корпоративные сети местных органов власти в США.
Выявленные IoC совпадают с теми, которыми поделилась Trimble.
Хакеры были замечены в проведении разведки, развертывании веб-оболочек и вредоносного ПО для обеспечения устойчивости, а также в попытках проникнуть в системы, связанные с управлением коммунальными услугами.
В рамках атак злоумышленники задействовали несколько вариантов веб-шелла AntSword, а также Chinatso, Behinder и различные универсальные загрузчики файлов.
Они сосканили определенные папки, идентифицировав файлы, представляющие интерес для извлечения, а также задействовали несколько бэкдоров через PowerShell.
UAT-6382 использовал загрузчик на основе Rust, получивший название TetraLoader, для загрузки и выполнения маяков Cobalt Strike, а также стейджер для развертывания VShell - импланта на основе GoLang, который обеспечивает возможности удаленного доступа, включая управление файлами, выполнение команд, захват экрана и установку прокси-сервера.
По данным Talos, китайский след объясняется сообщениями в веб-шеллах, использованием китайского конструктора вредоносного ПО MaLoader для создания TetraLoader, ручными операциями и виктимологией наряду с другими артефактами.
Исследователи из Лаборатории Касперского сообщают об атаках на российские организации с использованием вредоносного ПО Pure.
Штамм впервые обнаружен в середине 2022 года и распространяется по модели Malware-as-a-Service. Кампания, нацеленная на российский бизнес, стартовала еще в марте 2023, однако в первом квартале 2025 число атак выросло в четыре раза по сравнению с годом ранее.
Основной механизм распространения Pure в рамках этой кампании - спам с вредоносным вложением в виде RAR-архива или ссылкой на архив, маскирующемся под PDF-документ.
При этом в именах файлов используются характерные слова - в основном, сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой: «doc», «akt», «акт», «sverka», «сверка», «buh», «oplata», «оплата» и другие, а также двойное расширение .pdf.rar.
При запуске файл из архива копирует себя в %AppData% под именем Task.exe, создает в папке Startup VBS-скрипт Task.vbs для автозапуска и извлекает из ресурсов исполняемый файл StilKrip.exe, который реализует компонент PureLogs базового модуля для кражи данных.
После этого троянец извлекает и расшифровывает еще один исполняемый файл, Ckcfb.exe, запускает системную утилиту InstallUtil.exe и внедряет в ее процесс расшифрованный модуль.
Ckcfb.exe, в свою очередь, извлекает из ресурсов и расшифровывает библиотеку Spydgozoi.dll, которая и содержит основной модуль бэкдора PureRAT.
Для общения с командным сервером PureRAT устанавливает SSL-соединения и передает сообщения в формате protobuf, упакованные в gzip, указывая: идентификатор зараженного устройства, имя установленного антивируса, версию ОС, имя пользователя и компьютера, версию трояна, IP-адрес и порт С2, путь до исполняемого модуля и время, прошедшее с момента старта системы.
В ответ от С2 приходит несколько сообщений, содержащих дополнительные модули (плагины) и конфигурацию к ним. PureRAT может подгружать несколько десятков дополнительных модулей, но в текущей кампании исследователи получили и изучили только три.
Первый, PluginPcOption, способен выполнять команды на самоудаление, перезапуск текущего исполняемого файла, а также выключать или перезагружать компьютер.
Модуль PluginWindowNotify постоянно проверяет имя активного окна на наличие интересующих строк, которые получает в файле конфигурации. При обнаружении таких окон он делает скриншот. Полное имя окна, найденная в нем ключевая строка и скриншот отправляются на С2.
PluginClipper - плагин постоянно проверяет буфер обмена на наличие текста, похожего на адрес криптокошелька. Обнаружив подходящие данные, он подменяет содержимое буфера обмена и делает скриншот. Информация об адресах вместе со скриншотом отправляется на С2.
Несмотря на то что в рамках текущего исследования нам удалось получить ограниченное количество плагинов PureRAT, полный набор позволяет злоумышленникам получить полный контроль над зараженной системой.
В состав троянца входят модули для скачивания и запуска произвольных файлов, которые предоставляют полный доступ к файловой системе, реестру, процессам, камере и микрофону, реализуют функциональность кейлоггера и скрытного управления компьютером по принципу RDP.
Более подробный технический разбор, включая функционала PureLogs - в отчете.
Критическая уязвимость dMSA в Windows Server 2025, связанная с повышением привилегий, открывает путь для компрометации любого пользователя в Active Directory (AD).
Выявившие уязвимость исследователи Akamai отмечают, что атака, названная BadSuccessor, использует функцию dMSA, которая представлена в Windows Server 2025, работает с конфигурацией по умолчанию и проста в реализации.
Проблема, вероятно, затрагивает большинство организаций, использующих AD. В 91% исследованных сред обнаружились пользователи, не входящие в группу администраторов домена, у которых были необходимые разрешения для выполнения этой атаки.
Примечательным аспектом атаки является задействование новой функции под названием Delegated Managed Service Accounts (dMSA), которая позволяет выполнять миграцию с существующей устаревшей учетной записи службы.
Она была введена в Windows Server 2025 как смягчение атак Kerberoasting.
dMSA позволяет пользователям создавать их как автономную учетную запись или заменять существующую стандартную учетную запись службы.
Когда dMSA заменяет существующую учетную запись, аутентификация этой существующей учетной записи с использованием ее пароля блокируется.
Запрос перенаправляется в LSA для аутентификации с использованием dMSA, который имеет доступ ко всему, к чему предыдущая учетная запись могла получить доступ в AD.
Во время миграции dMSA автоматически узнает об устройствах, на которых будет использоваться учетная запись службы, которая затем используется для перемещения из всех существующих учетных записей служб.
Проблема, выявленная Akamai, связана с тем, что на этапе аутентификации dMSA Kerberos сертификат атрибутов привилегий (PAC), выданный KDC, включает как идентификатор безопасности dMSAs (SID), так и SID замененной учетной записи службы и всех связанных с ней групп.
Такая передача разрешений между учетными записями может открыть путь к потенциальному EoP-сценарию путем имитации процесса миграции dMSA с целью компрометации любого пользователя, включая администраторов домена, и получения аналогичных привилегий, что фактически нарушит безопасность всего домена, даже если домен организации Windows Server 2025 вообще не использует dMSA.
Один интересный факт об этой технике «симулированной миграции» заключается в том, что она не требует никаких разрешений на заменяемую учетную запись. Единственное требование - записать разрешения на атрибуты dMSA (любого).
После того, как dMSA отмечается как предшествующую пользователю, KDC автоматически предполагает, что произошла законная миграция и предоставляет dMSA все разрешения, которые имел исходный пользователь, как будто являясь его законным преемником.
Akamai сообщила о результатах исследования в Microsoft 1 апреля 2025 года, но там традиционно классифицировали проблему как среднюю по степени серьезности и не требующую немедленного реагирования из-за того, что для успешной эксплуатации злоумышленнику необходимо иметь определенные разрешения на объект dMSA.
Тем не менее, в настоящее время ведет работу над исправлением.
Учитывая, что сиюминутного решения для блокирования атаки нет, Akamai рекомендует организациям ограничить возможность создания dMSA и ужесточить разрешения везде, где это возможно, а также использовать разработанный ею скрипт.
В целом, как отмечают исследователи, уязвимость открывает ранее неизвестный и эффективный путь злоупотребления, позволяющий любому пользователю с разрешениями CreateChild скомпрометировать любого другого в домене, получив полномочия, аналогичные привилегии Replication Directory Changes, используемым для выполнения атак DCSync.
Исследователи Acronis сообщают о новой кампании сообщают о новой камобъектами которой стали высшие правительственные учреждения Шри-Ланки, Бангладеш и Пакистана.
Злоумышленники использовали фишинговые письма в сочетании с геозонированными полезными нагрузками, обеспечивая реализацию вредоносного контента исключительно жертвам в определенных странах.
Цепочки атак задействовали фишинговые приманки в качестве отправной точки для активации процесса заражения и развертывания известного вредоносного ПО - StealerBot.
Исследователи отмечают, что modus operandi полностью соответствует недавним атакам SideWinder, задокументированным Лабораторией Касперского в марте 2025 года.
По данным Acronis, в число целей вошли: Комиссия по регулированию телекоммуникаций Бангладеш, минобороны и минфин, директорат по техническому развитию Пакистана, департамент внешних ресурсов, казначейство, минобороны и Центробанк Шри-Ланки.
Атаки характеризуются использованием многолетних RCE-уязвимостей в Microsoft Office (CVE-2017-0199 и CVE-2017-11882) в качестве начальных векторов для развертывания вредоносного ПО, реализующего постоянный доступ в правительственных средах по всей Южной Азии.
При открытии вредоносных документов активируется эксплойт для CVE-2017-0199, который доставляет полезные нагрузки следующего этапа, отвечающие за установку StealerBot с помощью методов загрузки DLL-библиотек.
Одна из примечательных тактик SideWinder заключается в том, что фишинговые письма связаны с геозонированными полезными нагрузками, гарантирующими соответствующие критерии таргетинга.
В случае, если IP-адрес жертвы не совпадает, вместо него отправляется пустой файл RTF в качестве приманки.
Вредоносная полезная нагрузка представляет собой RTF-файл, который использует уязвимость CVE-2017-11882, приводящую к повреждению памяти в редакторе формул, для запуска загрузчика на основе шелл-кода, который запускает вредоносное ПО StealerBot.
По данным Лаборатории Касперского, StealerBot - это .NET-имплант, разработанный для установки дополнительного вредоносного ПО, запуска обратной оболочки и сбора широкого спектра данных со скомпрометированных хостов, включая снимки экрана, нажатия клавиш, пароли и файлы.
SideWinder демонстрирует устойчивую активность в течение долгого времени, поддерживая стабильный темп работы без длительного бездействия - модель, которая отражает организационную преемственность и устойчивые намерения.
Более подробный анализ TTPs демонстрирует высокую степень контроля и точности, гарантирующую доставку вредоносных данных только тщательно выбранным целям и зачастую исключительно в течение ограниченного периода времени.
Мобильный оператор связи Cellcom из Висконсина столкнулся с серьезным киберинцилентом, который привел к масштабной приостановке реализации услуг связи и техническим сбоям, начиная с 14 мая 2025 года.
Инцидент привел к нарушениям работы голосовых и SMS-сервисов для клиентов в Висконсине и Верхнем Мичигане, в результате чего абоненты лишились возможности совершать телефонные звонки или отправлять текстовые сообщения.
Первоначально Cellcom заявляла, что сбой был вызван технической проблемой, отметив, что службы передачи данных, iMessage, обмена сообщениями RCS и экстренной службы 911 продолжают функционировать.
После длительного замалчивания реальных проблем на днях гендиректор Cellcom Бригид Риордан признала, что компания подверглась кибератаке.
Как он отметил в своем заявлении, были активированы соответствующие протоколы на случай подобных ситуаций, включая привлечение сторонних экспертов по кибербезу, ФБР и должностных лиц штата Висконсин, а также восстановлению инфраструктуры.
Предварительно, инцидент не затрону системы, где хранится конфиденциальная личная информация, связанная с клиентами и Cellcom/Nsight.
По состоянию на 19 мая Cellcom постепенно начала возобновлять работу некоторых своих услуг, включая отправку текстовых сообщений SMS, а также совершение и прием телефонных звонков другим абонентам Cellcom.
Однако компания обещает (но с оговоркой), что услуги будут восстановлены в полном объеме к концу недели. Однако график восстановления с точными датами все еще отсутствует.
Несмотря на то, что в Cellcom не раскрывают подробностей инцидента, по всей видимости, речь идет о ransomware, и, пожалуй, это достаточно редкий случай, когда подобная атака повлияла на операционный сегмент в столь критической отрасли, как связь.
Многоэпизодный сериал Ivanti продолжается и в новой серии в главной роли - исследователи Wiz, которые задетектили активную эксплуатацию двух недавно исправленных уязвимостей Endpoint Manager Mobile (EPMM).
CVE-2025-4427 и CVE-2025-4428 связаны с обходом аутентификации и RCE после аутентификации и имеют средний уровень серьезности. Они были обнаружены в двух библиотеках с открытым исходным кодом, интегрированных в EPMM.
Ivanti выпустила исправления для обеих ошибок 13 мая, предупредив об эксплуатации в0-day в отношении ограниченного числа клиентов и отметив снижение риска компрометации, если для фильтрации доступа к API используется функциональность ACL на портале или внешний WAF.
В свою очередь, Wiz поясниют, что обход аутентификации возникает в виду того, что конфигурация маршрутов EPMM не обрабатывает запросы должным образом, открывая маршруты без аутентификации из-за отсутствующих правил в конфигурации безопасности фреймворка Spring.
Ошибка RCE вызвана тем, что вводимые пользователем данные в сообщениях об ошибках обрабатываются небезопасно при обработке с помощью функции Spring, что позволяет злоумышленнику создать параметр формата и выполнить произвольный код Java.
По словам Wiz, несмотря на среднюю степень серьезности каждой из двух ошибок из двух ошибок, их сочетание следует рассматривать как критическую угрозу безопасности.
Эти недостатки, возникающие из-за небезопасного использования языка выражений Java в сообщениях об ошибках и неправильно настроенной маршрутизации, могут быть использованы совместно для достижения неаутентифицированного RCE.
Исследователи наблюдает продолжающуюся эксплуатацию этих уязвимостей, начиная с 16 мая, после того как был опубликован PoC.
Wiz идентифицировала несколько полезных нагрузок, развернутых в ходе наблюдаемых атак, включая маяк Sliver, подключающийся к IP-адресу С2, ранее связанному с эксплуатацией других уязвимых устройств, включая продукты Palo Alto Networks, работающие под управлением PAN-OS.
Похоже, что IP все еще используется злоумышленником, поскольку его сертификат не менялся с ноября 2024 года. Эта преемственность позволяет сделать вывод, что один и тот же злоумышленник намеренно атаковал как устройства PAN-OS, так и Ivanti EPMM.
Организациям рекомендуется обновить свои развертывания Ivanti EPMM до одной из исправленных версий, в том числе 11.12.0.5, 12.3.0.2, 12.4.0.2 и 12.5.0.1. В общем, будем следить, попкорном запаслись.
Билдер, партнерская панель и исходники DLS запущенной в марте 2025 года и поддерживающей Windows, Linux, BSD, ARM и ESXi программы-вымогателя VanHelsing просочился в паблик на RAMP.
Началось все с того, как th30c0der попытался продать исходный код партнерской панели VanHelsing и Tor-сайтов DLS, а также сборщики шифровальщиков для Windows и Linux, включая кайловый сервер и базу данных, за 10 000 долларов.
Как первым отметил Эмануэле Де Люсия, участники VanHelsing решили обойти продавца, также опубликовав исходный код и заявив, что th30c0der - это один из их старых разработчиков, намеревающийся кинуть участников форума.
Позже выяснилось, что просочившиеся данные неполны по сравнению с тем, что, по словам th30c0der, у них есть, поскольку они не включают в себя сборщик Linux или ряд баз данных, которые были бы гораздо полезнее для правоохранителей и исследователей.
В свою очередь, исследователи изучив утечку подтверждают, что она содержит легитимный конструктор для шифратора Windows, а также исходный код для партнерской панели и сайта утечки данных.
Исходный код сборщика при этом достаточно запутан: файлы проекта Visual Studio находятся в папке «Release», которая обычно используется для хранения скомпилированных двоичных файлов и артефактов сборки.
После завершения работы над сборщиком VanHelsing потребуется проделать некоторую работу, поскольку он подключается к партнерской панели, которая работала под управлением 31.222.238[.]208, для получения данных, используемых в процессе сборки.
Тем не менее утечка также включает в себя исходный код партнерской панели, на которой размещена конечная точка api.php, поэтому злоумышленники могут изменить код или запустить собственную версию этой панели, чтобы заставить конструктор работать.
Архив также содержит исходный код шифратора Windows, который можно использовать для создания отдельной сборки, дешифратора и загрузчика.
Утечка исходного кода также показала, что злоумышленники пытались создать блокировщик MBR, который заменил бы основную загрузочную запись на специальный загрузчик, отображающий сообщение о блокировке.
Банда VanHelsing действует уже почти два месяца и набрала всего восемь жертв, согласно Ransomware.live.
Несмотря на все сложности с утечкой, банда обещает перезапуститься и вернуться с новой и улучшенной версией локера VanHelsing 2.0.
Игровые методы обучения корпоративного персонала основам информационной безопасности
Читать полностью…Фонд «Центр стратегических разработок» (ЦСР) представил результаты ежегодного исследования рынка систем управления базами данных (СУБД) и инструментов обработки данных за 2024 год.
По словам генерального директора ЦСР Екатерины Кваша, ожидается значительное увеличение объема отечественного рынка СУБД к 2031 году, который превысит 251 млрд. руб.
При этом среднегодовой темп роста в России до 2031 год будет на уровне мирового и составит порядка 16%.
Как отмечают в ЦСР, 2024 год можно назвать поворотным для российского ИТ-рынка в целом, прежде всего, по части беспрецедентного роста и высокой степени зрелости отечественной цифровой экосистемы.
Совокупный объём продаж российских ИТ-решений (оборудования, программного обеспечения, услуг и прочего) достиг 4,5 трлн рублей.
По результатам исследования, на конец 2024 года российский рынок СУБД достиг 89,5 млрд рублей, что на 14% больше, чем в предыдущем.
Аналогично предыдущему году в сфере продаж преобладает СУБД общего назначения - 48%, за ними следуют аналитические - 32%.
В структуре рынка доминирует ПО - его доля составляет 78%, остальное приходится на долю услуг 22% (в годом исчислении увеличилась ненамного).
В числе лидеров рынка СУБД по итогам 2024 года эксперты выделили такие компании, как PostgresPro, Группа Arenadata, DIS Group, Yandex Cloud и Тантор Лабс.
Почти во всех компаниях отмечается рост выручки.
В период с 2024 по 2027 год ожидается стремительный рост рынка на уровне 21,6%. Однако после 2027 года темпы роста замедлятся до 11,9%, что будет соответствовать общемировым показателям.
Это связано с тем, что до 2027 года основным фактором роста будут процессы импортозамещения. Далее рост продолжится за счет увеличения объема генерируемых данных и развития технологий ИИ.
Что касается западного софта, то его доля на рынке продолжит уменьшаться и к 2031 году составит примерно 1% от общего объёма новых продаж.
При этом ПО российских поставщиков будет активно развиваться и к 2031 году может занять до 99% рынка.
Кроме того, по итогам опроса представителей отрасли выявлено, доля иностранных решений, которые уже были установлены и применяются на объектах российских заказчиков на конец 2024 года составляет 60%.
По мнению экспертов ЦСР, росту рыночной доли российских продуктов будет способствовать стабильный спрос на замену западных программ, повышение зрелости продуктов и команд за счет растущего опыта реализации новых больших проектов.
Немаловажными факторами будут также выступать всесторонняя господдержка, применение в российских продуктах опенсорсных решений, растущие запросы клиентов и требования регуляторов.
В целом, получилось весьма востребованное для IT-отрасли исследование с понятными выводами и прогнозами, что весьма актуально для понимания перспектив развития отечественной индустрии.
Инфографика и детальный разбор основных трендов - в исследовании.
DDoSerets (Distributed Denial of Secrets) анонсировала доступ для исследователей и журналистов к базе данных в 410 ГБ, включающей переписку и метаданные пользователей TeleMessage, который фигурировал в недавнем скандале с советником по нацбезу США Майком Уолтцем.
Компания, принадлежащая Smarsh, разработчику из Портленда, реализует программное обеспечение для приложений, орсиентрорвоанных на зашифрованный обмен сообщениями, в том числе Signal и WhatsApp. Клон Signal называется TM SGNL.
Компания специализируется на комплексном архивировании и имеет необходимую сертификацию соответствия регуляторным требованиям для таких отраслей, как правоохранительный блок, юриспруденция, госсектор и финансы.
Утечка потенциально может также раскрыть и других должностных лиц, поскольку приложение использовало серверы Signal и сохраняло копии сообщений в виде простого текста.
Для большей простоты работы с архивом DDoSerets извлекла из него все текстовые данные, включая информацию об отправителе и получателе, временные метки и имена групп.
Компания предоставляет доступ к данным только лишь журналистам и исследователям в виду наличия в наборе данных персонально идентифицируемой информации, «а также включения групп и сообщений, не связанных с деятельностью правительства или корпораций».
Модифицированный клиент Signal был взломан 4 мая 2025 года и, как известно, активно использовалась высокопоставленными чиновниками администрации Трампа, а также федеральным правительством - как минимум с февраля 2023.
Уолтц был отстранен от должности советника по национальной безопасности после того, как он случайно добавил журналиста Джеффри Голдберга в секретный групповой чат Signal, где высшие должностные лица обсуждали предстоящие удары США по целям хуситов в Йемене 15 марта.
Согласно источникам СМИ, злоумышленник воспользовался уязвимостью в TeleMessage, получив доступ к внутренней инфраструктуре, что позволило сдампить сообщения пользователей. При этом хакерам потребовалось для этого менее 20 минут.
По словам журналиста Мики Ли, после того, как в марте случился SignalGate, 3 мая исходный код TM SGNL попал на GitHub, спустя три дня TeleMessage взломали, а 5 мая снова был взломан кем-то другим (согласно NBC News).
На следующий день анализ исходного кода TM SGNL, а также некоторых взломанных данных, показал, что TeleMessage вопреки своим заявлениям о сквозном шифровании, и в отличие от оригинального Signal, в реальности не имел такого функционала, сохраняя все в текстовом виде на сервере.
CISA добавила уязвимость TeleMessage, CVE-2025-47729, в каталог KEV, утверждая, что архивный бэкэнд TeleMessage по состоянию на 5 мая 2025 хранил открытые текстовые копии сообщений пользователей приложения TM SGNL (Archive Signal), что не соответствует документации ПО.
По всей видимости, SignalGate только набирает обороты и в самое ближайшее время могут появиться новые более скандальные инфоповоды.
Будем следить.
Прикупив поддержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen.
При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.
После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.
Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.
Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).
Volkswagen устранила выявленные уязвимости в своем мобильном приложении, которые позволяли злоумышленникам взламывать учетные записи пользователей, доставать широкий спектр данных по автомобилю и информацию в отношении его владельцев.
Автопроизводителя уведомили 23 ноября 2024 года, после чего в течение трех месяцев Volkswagen волокитила тикет, а по итогу заставила подписать исследователя NDA и к 6 мая устранила все косяки.
Но один все же остался - Вишал так и не получил вознагражаления.