39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Более 9000 маршрутизаторов ASUS скомпрометированы новым ботнетом, получившим название AyySSHush, который также нацелен на маршрутизаторы SOHO от Cisco, D-Link и Linksys.
Кампания была обнаружена исследователями GreyNoise в середине марта 2025 года, которые полагают, что за вредоносной активностью может стоять неназванная APT.
Атаки сочетают в себе подбор учетных данных для входа, обход аутентификации и эксплуатацию старых уязвимостей для взлома маршрутизаторов ASUS, включая модели RT-AC3100, RT-AC3200 и RT-AX55.
В частности, злоумышленники используют старую уязвимость внедрения команд CVE-2023-39780, чтобы добавить свой собственный открытый ключ SSH и разрешить демону SSH прослушивать нестандартный TCP-порт 53282, обеспечивая бэкдор-доступ к устройству даже между перезагрузками и обновлениями прошивки.
Поскольку этот ключ добавляется с использованием официальных функций ASUS, обновление прошивки не удалит SSH-бэкдор.
Атака особенно скрытна и не задействует вредоносное ПО, при этом злоумышленники также отключают ведение журнала и функцию Trend Micro AiProtection, чтобы избежать обнаружения.
GreyNoise сообщает о регистрации всего 30 вредоносных запросов, связанных с этой кампанией, за последние три месяца, тем не менее к настоящему времени сообщается о 9000 зараженных маршрутизатоах ASUS.
Также отмечается, что текущая кампания, по всей видимости, пересекается с деятельностью, которую Sekoia отслеживает как Vicious Trap, однако в данном случае злоумышленники использовали CVE-2021-32030 для взлома маршрутизаторов ASUS.
В ходе кампании злоумышленники нацелились на маршрутизаторы SOHO, SSL VPN, DVR и контроллеры BMC от D-Link, Linksys, QNAP и Araknis Networks.
Точная цель работы AyySSHush остается неясной, поскольку нет никаких признаков DDoS или использования устройств для проксирования вредоносного трафика через маршрутизаторы ASUS.
Однако в ходе взломов маршрутизаторов, за которыми наблюдала Sekoia, был загружен и запущен вредоносный скрипт для перенаправления сетевого трафика из скомпрометированной системы на сторонние устройства, контролируемые злоумышленником.
Исследователи полагают, что в настоящее время, судя по всему, операторы незаметно создают сеть маршрутизаторов со скрытыми входами, закладывая основу для будущего ботнета.
В свою очередь, ASUS выпустила обновления, устраняющие уязвимость CVE-2023-39780 для затронутых маршрутизаторов, хотя точное время доступности зависит от модели.
Пользователям рекомендуется как можно скорее обновить прошивку и проверить наличие подозрительных файлов и добавление SSH-ключа злоумышленника (IoCs здесь) в файле authorized_keys.
Кроме того, GreyNoise указала четыре IP-адреса, связанных с этой активностью, которые следует добавить в черный список: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 и 111.90.146[.]237.
Исследователи Patchstack раскрыли критическую неисправленную уязвимость, влияющую на плагин TI WooCommerce Wishlist для WordPress, которую могут использовать неавторизованные злоумышленники для загрузки произвольных файлов.
TI WooCommerce Wishlist, имеющий более 100 000 активных установок, представляет собой инструмент, позволяющий пользователям сайтов сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.
Плагин подвержен уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2025-47577 и имеет оценку CVSS 10,0.
Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года.
В настоящее время нет доступного исправления.
Исследователи отмечают, что проблема кроется в функции под названием tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую собственную функцию WordPress wp_handle_upload для выполнения проверки, но устанавливает для параметров переопределения test_form и test_type значение «false».
Переопределение test_type используется для проверки того, соответствует ли тип файла MIME ожидаемому, тогда как test_form проверяет, соответствует ли параметр $_POST['action'] ожидаемому.
Установка test_type в значение false позволяет эффективно обойти проверку типа файла, тем самым позволяя загружать файлы любого типа.
При этом уязвимая функция доступна через tinvwl_meta_wc_fields_factory или tinvwl_cart_meta_wc_fields_factory, которые доступны только при активном плагине WC Fields Factory.
Это также означает, что успешная эксплуатация возможна только в том случае, если плагин WC Fields Factory установлен и активирован на сайте WordPress, а интеграция включена в плагине TI WooCommerce Wishlist.
В гипотетическом сценарии атаки злоумышленник может загрузить вредоносный PHP-файл и осуществить удаленное выполнение кода, напрямую получив доступ к загруженному файлу.
Разработчикам рекомендуется удалить и избегать установки 'test_type' => false при использовании wp_handle_upload().
При отсутствии патча пользователям плагина настоятельно рекомендуется деактивировать его и удалить со своих сайтов.
Китайская инфосек-компания QiAnXin обращают внимание зарубежных партнеров на необходимость более обдуманного использования термина CN-Nexus, когда речь заходит «китайскоязычных злоумышленниках».
Как отмечают исследователи, на самом деле, китайскоязычные злоумышленники присутствуют по всей Восточной и Юго-Восточной Азии.
Среди них представлены и восточноазиатские «аутсорсинговые» игроки, в числе которых исследователи выделяют Operation EviLoong и Operation Giant, которые на высоком уровне реализуют кибершпионскую деятельность, преследуя, прежде всего, собственные интересы.
Кроме того, есть и другие профессиональные команды, одной из которых и посвящен их новых отчет, - UTG-Q-015.
Группа базируется в Юго-Восточной Азии и предоставляющей услуги проникновения и разведки местным компаниям и учреждениям.
Причем эти две категории акторов никак не взаимосвязаны и более того даже нацелены друг на друга.
Этим QiAnXin объясняет, в частности, вторжение UTG-Q-015 на форумы разработчиков в прошлом году, включая крупный инцидент с CSDN для реализации атаки watering hole.
Взлом крупнейшего в Китае IT-портала был частью явной «войны аутсорсинга» и проводился в качестве контратаки из соображений мести.
Причем сайт был одним из немногих аналогичных порталов, взломанных группой.
Помимо этого UTG-Q-015 отметилась задействованием 0day/Nday для вторжения на правительственные и корпоративные веб-сайты, а также нацеливанием финансовый сектор и ИИ.
Подробно останавливаться на этих кампаниях не будем, технический разбор инструментария и TTPs UTG-Q-015 описан в отчете.
Банда вымогателей DragonForce успешно препарировала SimpleHelp в рамках атаки на цепочку поставок MSP, используя платформу удаленного мониторинга и управления (RMM) для кражи данных и развертывания шифровальщиков в системах клиентов.
SimpleHelp - это коммерческий инструмент удаленной поддержки и доступа, который обычно используется поставщиками управляемых услуг для управления системами и развертывания ПО в сетях клиентов.
К расследованию были привлечены исследователи Sophos, которые отметили задействование вымогателями цепочки старых уязвимостей SimpleHelp, отслеживаемых как CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726, для взлома системы.
Злоумышленники сначала использовали SimpleHelp для проведения разведывательной работы в клиентских системах и сбора информации о клиентах MSP, включая имена и конфигурацию устройств, пользователей и сетевые подключения.
Затем злоумышленники попытались украсть данные и развернуть ransomware в сетях клиентов, которые были заблокированы в одной из сетей с помощью защиты конечных точек Sophos.
Однако не всем так повезло, часть клиентов столкнулась с инцидентами: их устройства были зашифрованы, а данные украдены в рамках проведения атак с двойным вымогательством.
Замеченные индикаторы, связанные с этой атакой, - отчете Sophos.
Вообще же, MSP всегда время были заветной целью банд вымогателей, которая потенциально могла их привести к атакам сразу на несколько компаний.
Операторы особенно трепетно относятся к SimpleHelp, ConnectWise ScreenConnect и Kaseya.
Как мы помним, в случае с последней REvil провернула масштабную атаку, затронувшую более 1000 компаний.
Возвращаясь с DragonForce, стоит отметить их незаурядную активность, наблюдаемую в последнее время, в том числе связанную с серией резонансных взломов розничных сетей, прежде всего, британских Marks & Spencer и Co-op, а также инфраструктуры и других банд.
Кроме того, ранее DragonForce объявила о создании картели вымогателей, предлагая свою RaaS в качестве white label, позволяя операторам и другим бандам развертывать брендированные под собственный стиль версии своего шифровальщика.
Тут подъехала отраслевая самодеятельность, посвященная "таланту" Fortinet плодить уязвимости в своих продуктах.
Fighting with Ivanti for who's the worst (с)
Категорически одобряем!
(мы ведь и сами творим, по мере сил 🤔)
🥷Эксперты F6 проанализировали криминальные сделки в дарквебе
Компания F6 представила результаты исследования 🕷дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ.
По данным специалистов:
🔼 Дороже всего — доступы в партнерские программы вымогателей — до $100 000, а также 0-day — уязвимости нулевого дня — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000.
🔽 Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт.
📲 В Telegram-каналах активно работают сервисы 📱пробива, предоставляющие данные по запросу: от 📄паспортных данных и телефонов до списка недвижимости и остатков на счетах. Стоимость — от пары тысяч рублей. Такие данные активно используются для целевых атак, шантажа, корпоративного шпионажа.
Исследователи Sekoia раскрыли масштабную кампанию, связанную со взломом почти 5300 уникальных сетевых устройств в 84 странах, которые были объединены в сеть, похожую на набор ханипотов.
Компания отслеживает причастного к инциденту злоумышленника как ViciousTrap. Для реализации им задействовалась критическая уязвимость в маршрутизаторах Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325 (CVE-2023-20118).
Большинство заражений произошло в Макао, где было скомпрометировано 850 устройств.
Цепочка заражения включает в себя выполнение скрипта оболочки, NetGhost, который перенаправляет входящий трафик с определенных портов взломанного маршрутизатора в инфраструктуру, похожую на приманку, находящуюся под контролем злоумышленника, что позволяет перехватывать сетевые потоки.
Ранее Sekoia приписывала эксплуатацию CVE-2023-20118 другому ботнету, получившему название PolarEdge. Однако данных, связывающих эти два кластера активности пока нет.
Как отмечают исследователи, ViciousTrap, вероятно, создает инфраструктуру приманок, взламывая широкий спектр подключенного к Интернету оборудования, включая маршрутизаторы SOHO, SSL VPN, цифровые видеорегистраторы и контроллеры BMC более чем 50 брендов: Araknis Networks, ASUS, D-Link, Linksys и QNAP.
Реализация замысла позволит злоумышленнику наблюдать за попытками эксплуатации в нескольких средах и потенциально собирать непубличные или уязвимые места, а также повторно использовать доступ, полученный другими злоумышленниками.
Цепочка атак включает в себя нацеливание на CVE-2023-20118 для загрузки и выполнения скрипта bash через ftpget, который затем связывается с внешним сервером для извлечения двоичного файла wget.
На следующем этапе уязвимость Cisco эксплуатируется во второй раз, используя ее для выполнения второго скрипта, полученного с помощью ранее сброшенного wget.
Скрипт оболочки второго этапа NetGhost настроен на перенаправление сетевого трафика из скомпрометированной системы в стороннюю инфраструктуру, контролируемую злоумышленником, тем самым облегчая атаки типа AitM.
При этом он также располагает возможностями удаления себя из скомпрометированного хоста для уклонения от криминалистического анализа.
Sekoia заметила, что все попытки эксплуатации исходили с одного IP-адреса («101.99.91[.]151»), а самая ранняя активность датируется мартом 2025 года.
Кроме того, злоумышленники ViciousTrap также повторно использовали недокументированную веб-оболочку, ранее использовавшуюся в атаках ботнета PolarEdge, для своих собственных операций.
Ранее, в этом месяце, попытки эксплуатации также были направлены на маршрутизаторы ASUS, но с другого IP-адреса ("101.99.91[.]239"), хотя злоумышленники не были замечены в создании каких-либо ханипотов на зараженных устройствах.
Все IP-адреса, активно используемые в кампании, находятся в Малайзии и являются частью автономной системы (AS45839), управляемой хостинг-провайдером Shinjiru.
Предполагается, что злоумышленник имеет китайскоязычное происхождение, исходя из совпадения с инфраструктурой GobRAT, а также учитывая, что трафик перенаправляется на многочисленные активы на Тайване и в США.
Конечная цель ViciousTrap остается неясной, хотя Sekoia с высокой степенью уверенности оцениваем ее как сеть-приманку.
Исследователи ASEC AhnLab представили техническое описание нового типа вредоносного бэкдора, который использует протокол Bitmessage P2P для связи с C2 и был разверн вместе с криптомайнером на взломанных серверах.
Шифрование содержимого связи между конечными точками вместо использования традиционных методов HTTP-связи и IP-подключения позволяет вредоносному ПО скрывать следы своей активности.
Протокол Bitmessage - это система обмена сообщениями, разработанная с учетом анонимности и децентрализации, реализует предотвращение перехвата и анонимизацию отправителей и получателей сообщений.
Злоумышленники использовали модуль PyBitmessage, который поддерживает этот протокол в среде Python, для обмена зашифрованными пакетами в формате, похожем на обычный веб-трафик.
В частности, команды C2 и управляющие сообщения скрыты в сообщениях от реальных пользователей в сети Bitmessage, что делает очень сложным для продуктов обнаружения классификацию этого общения как вредоносного поведения.
Атака начинается с зашифрованной полезной нагрузки, которая после выполнения расшифровывает с помощью XOR и развертывает как компонент майнинга Monero, так и функциональность бэкдора.
Три файла (config.json, WinRing0x64.sys, idle_maintenance.exe), необходимые для реализации функции майнинга, создаются по пути «%Temp%\3048491484896530841649».
Вредоносный бэкдор, созданный с помощью PowerShell, устанавливает файл PyBitmessage для обработки POST-запросов, поступающих на локальный порт 8442 при первоначальном запуске.
Вредоносная ПО пытается загрузить эти файлы со страницы релизов GitHub или, в случае неудачи, с предполагаемого сайта-хостинга файлов (spcs.bio).
Бэкдор также пытается скрыться, исправляя определенные смещения в легитимных файлах, таких как QtGui4.dll, эффективно нейтрализуя их обычную функциональность, сохраняя при этом их видимость как легитимных системных компонентов.
После этого он создает несколько файлов и путей, необходимых для работы функции, затем ожидает команд от оператора, которые сохраняются и выполняются как скрипт PowerShell.
Безусловно, в текущих реалиях такой подход можно назвать инновационным, однако все новое - это хорошо забытое старое.
Почти 10 лет назад исследователи Dell SonicWALL уже рассказывали про PyBitmessage, реализованный в операциях по вымогательству с использованием трояна Chimera malware.
Подкатили интересные подробности недавней международной операции по нейтрализации Lumma Stealer.
Как сообщают админы Lumma Stealer, правоохранители предпринимали попытки физического захвата инфраструктуры в начале этого месяца, после безуспешных попыток - попросту взломали внутренние серверы.
При этом, как они утверждают, что сотрудники ФБР США задействовали эксплойт для Dell iDRAC, который позволил им произвести сбор данных и дважды зачистить имевшиеся резервные серверы.
Кроме того, спецслужбы разместили на портале фишинговую страницу для сбора данных о клиентов.
Все это произошло примерно за неделю до того, как власти официально прикрыли Lumma Stealer.
Практика наработана, подобные трюки американские спецслужбы проворачивали уже не раз.
Исследователи Cisco Talos раскрывают причастность китайской APT, которую они отслеживают как UAT-6382, к атакам на органы местного самоуправления в США с использованием 0-day в Trimble Cityworks.
CVE-2025-0994 (CVSS 8,6) была исправлена в конце января и представляет собой уязвимость десериализации, приводящую к удаленному выполнению кода (RCE) на веб-серверах Microsoft Internet Information Services (IIS) клиентов.
Cityworks - это ГИС-ориентированное решение, которое используется на критически важных объектах, включая местные органы власти и коммунальные службы, для управления и обслуживания инфраструктуры.
В феврале CISA добавила уязвимость CVE-2025-0994 в свой каталог KEV и выпустила рекомендацию по промышленным системам управления (ICS), отметив, что для эксплуатации этой ошибки требуется аутентификация.
В свою очередь, Trimble опубликовала IoC, согласно которым уязвимость использовалась для внедрения имплантов Cobalt Strike и различных семейств вредоносных ПО, но ни Trimble, ни CISA не поделились подробностями о том, кто несет ответственность за наблюдаемые атаки.
Теперь же исследователи Cisco Talos приписали активность к китайской UAT-6382, которая эксплуатирует 0-day с января 2025 года, нацеливаясь на корпоративные сети местных органов власти в США.
Выявленные IoC совпадают с теми, которыми поделилась Trimble.
Хакеры были замечены в проведении разведки, развертывании веб-оболочек и вредоносного ПО для обеспечения устойчивости, а также в попытках проникнуть в системы, связанные с управлением коммунальными услугами.
В рамках атак злоумышленники задействовали несколько вариантов веб-шелла AntSword, а также Chinatso, Behinder и различные универсальные загрузчики файлов.
Они сосканили определенные папки, идентифицировав файлы, представляющие интерес для извлечения, а также задействовали несколько бэкдоров через PowerShell.
UAT-6382 использовал загрузчик на основе Rust, получивший название TetraLoader, для загрузки и выполнения маяков Cobalt Strike, а также стейджер для развертывания VShell - импланта на основе GoLang, который обеспечивает возможности удаленного доступа, включая управление файлами, выполнение команд, захват экрана и установку прокси-сервера.
По данным Talos, китайский след объясняется сообщениями в веб-шеллах, использованием китайского конструктора вредоносного ПО MaLoader для создания TetraLoader, ручными операциями и виктимологией наряду с другими артефактами.
Исследователи из Лаборатории Касперского сообщают об атаках на российские организации с использованием вредоносного ПО Pure.
Штамм впервые обнаружен в середине 2022 года и распространяется по модели Malware-as-a-Service. Кампания, нацеленная на российский бизнес, стартовала еще в марте 2023, однако в первом квартале 2025 число атак выросло в четыре раза по сравнению с годом ранее.
Основной механизм распространения Pure в рамках этой кампании - спам с вредоносным вложением в виде RAR-архива или ссылкой на архив, маскирующемся под PDF-документ.
При этом в именах файлов используются характерные слова - в основном, сокращения от названий документов, действий или ПО, связанных с бухгалтерской сферой: «doc», «akt», «акт», «sverka», «сверка», «buh», «oplata», «оплата» и другие, а также двойное расширение .pdf.rar.
При запуске файл из архива копирует себя в %AppData% под именем Task.exe, создает в папке Startup VBS-скрипт Task.vbs для автозапуска и извлекает из ресурсов исполняемый файл StilKrip.exe, который реализует компонент PureLogs базового модуля для кражи данных.
После этого троянец извлекает и расшифровывает еще один исполняемый файл, Ckcfb.exe, запускает системную утилиту InstallUtil.exe и внедряет в ее процесс расшифрованный модуль.
Ckcfb.exe, в свою очередь, извлекает из ресурсов и расшифровывает библиотеку Spydgozoi.dll, которая и содержит основной модуль бэкдора PureRAT.
Для общения с командным сервером PureRAT устанавливает SSL-соединения и передает сообщения в формате protobuf, упакованные в gzip, указывая: идентификатор зараженного устройства, имя установленного антивируса, версию ОС, имя пользователя и компьютера, версию трояна, IP-адрес и порт С2, путь до исполняемого модуля и время, прошедшее с момента старта системы.
В ответ от С2 приходит несколько сообщений, содержащих дополнительные модули (плагины) и конфигурацию к ним. PureRAT может подгружать несколько десятков дополнительных модулей, но в текущей кампании исследователи получили и изучили только три.
Первый, PluginPcOption, способен выполнять команды на самоудаление, перезапуск текущего исполняемого файла, а также выключать или перезагружать компьютер.
Модуль PluginWindowNotify постоянно проверяет имя активного окна на наличие интересующих строк, которые получает в файле конфигурации. При обнаружении таких окон он делает скриншот. Полное имя окна, найденная в нем ключевая строка и скриншот отправляются на С2.
PluginClipper - плагин постоянно проверяет буфер обмена на наличие текста, похожего на адрес криптокошелька. Обнаружив подходящие данные, он подменяет содержимое буфера обмена и делает скриншот. Информация об адресах вместе со скриншотом отправляется на С2.
Несмотря на то что в рамках текущего исследования нам удалось получить ограниченное количество плагинов PureRAT, полный набор позволяет злоумышленникам получить полный контроль над зараженной системой.
В состав троянца входят модули для скачивания и запуска произвольных файлов, которые предоставляют полный доступ к файловой системе, реестру, процессам, камере и микрофону, реализуют функциональность кейлоггера и скрытного управления компьютером по принципу RDP.
Более подробный технический разбор, включая функционала PureLogs - в отчете.
Критическая уязвимость dMSA в Windows Server 2025, связанная с повышением привилегий, открывает путь для компрометации любого пользователя в Active Directory (AD).
Выявившие уязвимость исследователи Akamai отмечают, что атака, названная BadSuccessor, использует функцию dMSA, которая представлена в Windows Server 2025, работает с конфигурацией по умолчанию и проста в реализации.
Проблема, вероятно, затрагивает большинство организаций, использующих AD. В 91% исследованных сред обнаружились пользователи, не входящие в группу администраторов домена, у которых были необходимые разрешения для выполнения этой атаки.
Примечательным аспектом атаки является задействование новой функции под названием Delegated Managed Service Accounts (dMSA), которая позволяет выполнять миграцию с существующей устаревшей учетной записи службы.
Она была введена в Windows Server 2025 как смягчение атак Kerberoasting.
dMSA позволяет пользователям создавать их как автономную учетную запись или заменять существующую стандартную учетную запись службы.
Когда dMSA заменяет существующую учетную запись, аутентификация этой существующей учетной записи с использованием ее пароля блокируется.
Запрос перенаправляется в LSA для аутентификации с использованием dMSA, который имеет доступ ко всему, к чему предыдущая учетная запись могла получить доступ в AD.
Во время миграции dMSA автоматически узнает об устройствах, на которых будет использоваться учетная запись службы, которая затем используется для перемещения из всех существующих учетных записей служб.
Проблема, выявленная Akamai, связана с тем, что на этапе аутентификации dMSA Kerberos сертификат атрибутов привилегий (PAC), выданный KDC, включает как идентификатор безопасности dMSAs (SID), так и SID замененной учетной записи службы и всех связанных с ней групп.
Такая передача разрешений между учетными записями может открыть путь к потенциальному EoP-сценарию путем имитации процесса миграции dMSA с целью компрометации любого пользователя, включая администраторов домена, и получения аналогичных привилегий, что фактически нарушит безопасность всего домена, даже если домен организации Windows Server 2025 вообще не использует dMSA.
Один интересный факт об этой технике «симулированной миграции» заключается в том, что она не требует никаких разрешений на заменяемую учетную запись. Единственное требование - записать разрешения на атрибуты dMSA (любого).
После того, как dMSA отмечается как предшествующую пользователю, KDC автоматически предполагает, что произошла законная миграция и предоставляет dMSA все разрешения, которые имел исходный пользователь, как будто являясь его законным преемником.
Akamai сообщила о результатах исследования в Microsoft 1 апреля 2025 года, но там традиционно классифицировали проблему как среднюю по степени серьезности и не требующую немедленного реагирования из-за того, что для успешной эксплуатации злоумышленнику необходимо иметь определенные разрешения на объект dMSA.
Тем не менее, в настоящее время ведет работу над исправлением.
Учитывая, что сиюминутного решения для блокирования атаки нет, Akamai рекомендует организациям ограничить возможность создания dMSA и ужесточить разрешения везде, где это возможно, а также использовать разработанный ею скрипт.
В целом, как отмечают исследователи, уязвимость открывает ранее неизвестный и эффективный путь злоупотребления, позволяющий любому пользователю с разрешениями CreateChild скомпрометировать любого другого в домене, получив полномочия, аналогичные привилегии Replication Directory Changes, используемым для выполнения атак DCSync.
Исследователи Acronis сообщают о новой кампании сообщают о новой камобъектами которой стали высшие правительственные учреждения Шри-Ланки, Бангладеш и Пакистана.
Злоумышленники использовали фишинговые письма в сочетании с геозонированными полезными нагрузками, обеспечивая реализацию вредоносного контента исключительно жертвам в определенных странах.
Цепочки атак задействовали фишинговые приманки в качестве отправной точки для активации процесса заражения и развертывания известного вредоносного ПО - StealerBot.
Исследователи отмечают, что modus operandi полностью соответствует недавним атакам SideWinder, задокументированным Лабораторией Касперского в марте 2025 года.
По данным Acronis, в число целей вошли: Комиссия по регулированию телекоммуникаций Бангладеш, минобороны и минфин, директорат по техническому развитию Пакистана, департамент внешних ресурсов, казначейство, минобороны и Центробанк Шри-Ланки.
Атаки характеризуются использованием многолетних RCE-уязвимостей в Microsoft Office (CVE-2017-0199 и CVE-2017-11882) в качестве начальных векторов для развертывания вредоносного ПО, реализующего постоянный доступ в правительственных средах по всей Южной Азии.
При открытии вредоносных документов активируется эксплойт для CVE-2017-0199, который доставляет полезные нагрузки следующего этапа, отвечающие за установку StealerBot с помощью методов загрузки DLL-библиотек.
Одна из примечательных тактик SideWinder заключается в том, что фишинговые письма связаны с геозонированными полезными нагрузками, гарантирующими соответствующие критерии таргетинга.
В случае, если IP-адрес жертвы не совпадает, вместо него отправляется пустой файл RTF в качестве приманки.
Вредоносная полезная нагрузка представляет собой RTF-файл, который использует уязвимость CVE-2017-11882, приводящую к повреждению памяти в редакторе формул, для запуска загрузчика на основе шелл-кода, который запускает вредоносное ПО StealerBot.
По данным Лаборатории Касперского, StealerBot - это .NET-имплант, разработанный для установки дополнительного вредоносного ПО, запуска обратной оболочки и сбора широкого спектра данных со скомпрометированных хостов, включая снимки экрана, нажатия клавиш, пароли и файлы.
SideWinder демонстрирует устойчивую активность в течение долгого времени, поддерживая стабильный темп работы без длительного бездействия - модель, которая отражает организационную преемственность и устойчивые намерения.
Более подробный анализ TTPs демонстрирует высокую степень контроля и точности, гарантирующую доставку вредоносных данных только тщательно выбранным целям и зачастую исключительно в течение ограниченного периода времени.
Мобильный оператор связи Cellcom из Висконсина столкнулся с серьезным киберинцилентом, который привел к масштабной приостановке реализации услуг связи и техническим сбоям, начиная с 14 мая 2025 года.
Инцидент привел к нарушениям работы голосовых и SMS-сервисов для клиентов в Висконсине и Верхнем Мичигане, в результате чего абоненты лишились возможности совершать телефонные звонки или отправлять текстовые сообщения.
Первоначально Cellcom заявляла, что сбой был вызван технической проблемой, отметив, что службы передачи данных, iMessage, обмена сообщениями RCS и экстренной службы 911 продолжают функционировать.
После длительного замалчивания реальных проблем на днях гендиректор Cellcom Бригид Риордан признала, что компания подверглась кибератаке.
Как он отметил в своем заявлении, были активированы соответствующие протоколы на случай подобных ситуаций, включая привлечение сторонних экспертов по кибербезу, ФБР и должностных лиц штата Висконсин, а также восстановлению инфраструктуры.
Предварительно, инцидент не затрону системы, где хранится конфиденциальная личная информация, связанная с клиентами и Cellcom/Nsight.
По состоянию на 19 мая Cellcom постепенно начала возобновлять работу некоторых своих услуг, включая отправку текстовых сообщений SMS, а также совершение и прием телефонных звонков другим абонентам Cellcom.
Однако компания обещает (но с оговоркой), что услуги будут восстановлены в полном объеме к концу недели. Однако график восстановления с точными датами все еще отсутствует.
Несмотря на то, что в Cellcom не раскрывают подробностей инцидента, по всей видимости, речь идет о ransomware, и, пожалуй, это достаточно редкий случай, когда подобная атака повлияла на операционный сегмент в столь критической отрасли, как связь.
Многоэпизодный сериал Ivanti продолжается и в новой серии в главной роли - исследователи Wiz, которые задетектили активную эксплуатацию двух недавно исправленных уязвимостей Endpoint Manager Mobile (EPMM).
CVE-2025-4427 и CVE-2025-4428 связаны с обходом аутентификации и RCE после аутентификации и имеют средний уровень серьезности. Они были обнаружены в двух библиотеках с открытым исходным кодом, интегрированных в EPMM.
Ivanti выпустила исправления для обеих ошибок 13 мая, предупредив об эксплуатации в0-day в отношении ограниченного числа клиентов и отметив снижение риска компрометации, если для фильтрации доступа к API используется функциональность ACL на портале или внешний WAF.
В свою очередь, Wiz поясниют, что обход аутентификации возникает в виду того, что конфигурация маршрутов EPMM не обрабатывает запросы должным образом, открывая маршруты без аутентификации из-за отсутствующих правил в конфигурации безопасности фреймворка Spring.
Ошибка RCE вызвана тем, что вводимые пользователем данные в сообщениях об ошибках обрабатываются небезопасно при обработке с помощью функции Spring, что позволяет злоумышленнику создать параметр формата и выполнить произвольный код Java.
По словам Wiz, несмотря на среднюю степень серьезности каждой из двух ошибок из двух ошибок, их сочетание следует рассматривать как критическую угрозу безопасности.
Эти недостатки, возникающие из-за небезопасного использования языка выражений Java в сообщениях об ошибках и неправильно настроенной маршрутизации, могут быть использованы совместно для достижения неаутентифицированного RCE.
Исследователи наблюдает продолжающуюся эксплуатацию этих уязвимостей, начиная с 16 мая, после того как был опубликован PoC.
Wiz идентифицировала несколько полезных нагрузок, развернутых в ходе наблюдаемых атак, включая маяк Sliver, подключающийся к IP-адресу С2, ранее связанному с эксплуатацией других уязвимых устройств, включая продукты Palo Alto Networks, работающие под управлением PAN-OS.
Похоже, что IP все еще используется злоумышленником, поскольку его сертификат не менялся с ноября 2024 года. Эта преемственность позволяет сделать вывод, что один и тот же злоумышленник намеренно атаковал как устройства PAN-OS, так и Ivanti EPMM.
Организациям рекомендуется обновить свои развертывания Ivanti EPMM до одной из исправленных версий, в том числе 11.12.0.5, 12.3.0.2, 12.4.0.2 и 12.5.0.1. В общем, будем следить, попкорном запаслись.
Исследователи Oasis сообщают об обнаружении уязвимости в OneDrive от Microsoft, которая при успешной эксплуатации может позволить сторонним веб-сайтам получить доступ ко всему содержимому облачного хранилища даже при загрузке всего одного файла.
По словам Oasis, проблема является результатом чрезмерных разрешений, запрашиваемых средством выбора файлов OneDrive, которое пытается получить доступ на чтение ко всему диску, даже в тех случаях, когда загружен только один файл из-за отсутствия детальных областей OAuth для OneDrive.
Как отмечают в Oasis, обнаруженная опасная комбинация подвергает риску как индивидуальных, так и корпоративных пользователей, может иметь серьезные последствия, включая утечку данных клиентов и нарушение правил соответствия.
Предполагается, что затронуты несколько приложений, включая ChatGPT, Slack, Trello и ClickUp, учитывая их интеграцию с облачным сервисом Microsoft.
Еще больше усугубляет ситуацию то, что запрос согласия, который предлагается пользователям перед загрузкой файла, является расплывчатым и не отражает должным образом уровень предоставляемого доступа, тем самым подвергая пользователей неожиданным рискам безопасности.
Отсутствие детализированных областей действия не позволяет пользователям различать вредоносные приложения, нацеленные на все файлы, и легитимные приложения, запрашивающие чрезмерные разрешения, просто потому, что другой безопасный вариант отсутствует.
При этом токены OAuth, используемые для авторизации доступа, часто хранятся небезопасно, в том числе сохраняются в хранилище сеансов браузера в открытом текстовом формате.
Еще одна потенциальная ловушка заключается в том, что рабочие процессы авторизации могут также включать выпуск токена обновления, предоставляя приложению постоянный доступ к пользовательским данным, позволяя получать новые токены доступа без необходимости повторного входе пользователем в систему по истечении срока действия текущего токена.
После ответственного раскрытия Microsoft признала наличие проблемы, но пока никак ее не разрешила, предлагая рассмотреть возможность временного удаления загрузки файлов с помощью OneDrive через OAuth, пока не появится безопасная альтернатива.
В качестве альтернативы рекомендуется избегать использования токенов обновления и хранить токены доступа безопасным способом и избавляться от них, когда необходимость отпадает.
В Oasis призывают к проявлению постоянной бдительности в управлении областями OAuth, регулярным оценкам безопасности и проактивному мониторингу для защиты пользовательских данных.
АНБ США совсем недавно рассекретила внутреннее исследование 1988 года под названием: «Пятьдесят лет математического криптоанализа (1937-1987)».
Желающие ознакомиться тем, как выглядит типичный рассекреченный американский документ в оригинале, могут найти его здесь, приятного чтения.
Исследователи BI.ZONE Threat Intelligence в ТГ сообщили об обнаружении масштабной кампании с использованием нового стилера MarkerStealer, который в течение года «путешествовал» по стране.
По данным BI.ZONE, кампания активна с 2024 года и с тех пор скомпрометировано: 30+ компаний с капитализацией от 10 миллионов до 1,2 миллиарда рублей, 100+ государственных организаций и образовательных учреждений, а также 20+ региональных администраций.
Злоумышленники маскировали вредоносное ПО под судебные документы, используя имена: pretenziya.vbs и Претензия_о_нарушении_договорных_обязательств_и_требование_возмещения_ущерба_по_договору_№1234_от_28_марта (1).exe
В некоторых случаях атакующие использовали взломанные административные ресурсы. Например, рассылали загрузчик, который скачивал нагрузку с сайта омбудсмена одного из регионов.
Стилер был упакован через PyInstaller и на зараженной машине собирал учетные данные и куки из браузеров Yandex, Google Chrome, Microsoft Edge, Opera, Brave.
Как отмечают Бизоны, MarkerStealer создавал в папке %TEMP% файл script_executed.marker (в старых версиях) или script_executeeeedd.marker (в новых версиях), чтобы собирать данные раз в сутки. Украденные данные упаковывал в ZIP-архив с именем capture_data_*.zip.
Для эксфильтрации MarkerStealer использовал возможности мессенджера Telegram.
Подробного отчета, к сожалению, Бизоны не представили, но поверим, как говориться, на слово.
Дорогие друзья!
Совершенно случайно обнаружили на просторах сети сайт secator[.]com, который ведется на русском языке и содержит гиперссылку на наш канал (хотя прямо и не заявляет об аффилированности с нами).
Поэтому официально сообщаем - канал SecAtor не имеет аккаунтов на других площадках, включая Web, мессенджеры и социальные сети. Мы присутствуем в Телеграме и только тут.
Если вдруг решим расшириться - то сразу вам об этом расскажем.
Have a nice day!
Исследователи из TrendMicro сообщают о активности APT-группы Earth Lamia, которая как минимум с 2023 года нацелена на ряд отраслей в Бразилии, Индии и странах Юго-Восточной Азии с использованием уязвимости в веб-приложениях для кражи данных.
Первоначально сосредоточившись на сфере финансовых услуг, группа переключилась на логистику и онлайн-торговлю, а в последнее время сосредоточилась на ИТ-компаниях, университетах и госорганизациях.
Злоумышленник в основном нацелен с помощью sqlmap на различные известные уязвимости SQL-инъекций в веб-приложениях, включая Apache Struts2, GitLab, WordPress File Upload, JetBrains TeamCity, CyberPanel, SAP NetWeaver Visual Composer и Craft CMS для получения доступа к серверам целевых организаций.
На этапе горизонтального перемещения задействовались certutil.exe или powershell.exe для загрузки дополнительных инструментов, GodPotato и JuicyPotato для повышения привилегий, Fscan и Kscan для сканирования сети, rakshasa и Stowaway для создания прокси-туннелей.
Кроме того, Earth Lamia развертывала веб-оболочки в веб-приложениях, производила сбор информации о контроллере домена и учетных данных, добавляя helpdesk в локальную группу администраторов, а также реализовывала выполнение бэкдоров на основе фреймворков Vshell, Cobalt Strike и Brute Ratel.
Агрессивные операции APT-группы также упоминаются в различных исследовательских отчетах (REF0657, STAC6451 и CL-STA-0048), однако в TrendMicro собрали артефакты, указывающие на причастность группы к китайской стороне.
Как отмечают исследователи, Earth Lamia постоянно разрабатывает индивидуальные хакерские инструменты и бэкдоры для совершенствования своих атак и уклонения от обнаружения, упаковывает свои хакерские инструменты в файлы DLL для их запуска через DLL sideloading.
Кроме того, Earth Lamia также создала свои бэкдор-загрузчики, приняв DLL sideloading, предпочитая использовать легитимные двоичные файлы, предоставляемые поставщиками безопасности, для боковой загрузки своих вредоносных DLL-файлов.
При этом хакеры полагаются, прежде всего, на опенсорсные решения, но реализуют их кастомизацию, нивелируя таким образом риски обнаружения защитным ПО.
Earth Lamia отметилась тем, что смогла разработать ранее недокументированный модульный бэкдор .NET, который получил название PULSEPACK.
Каждая вредоносная функция разрабатывается как отдельный плагин. Плагины будут загружаться с сервера C2 только при необходимости.
Первая версия PULSEPACK была обнаружена в атаках Earth Lamia в августе 2024 года.
В 2025 году задетектировалась его обновленная версия, которая использует WebSocket для связи C2 вместо TCP, что демонстрируя ведущуюся группой активную разработку.
При этом замеченный образец PULSEPACK загружал подключаемый DLL-модуль под названием TKRun.dll, который используется для сохранения выполнения бэкдора путем создания запланированной задачи для запуска исполняемого файла после перезагрузки системы.
К сожалению, обнаружить дополнительные подключаемые модули, используемые PULSEPACK, исследователям не удалось, тем не менее представили весьма интересные технические моменты по части атрибуции.
Подробности - в отчете.
Одного из крупнейших индонезийских операторов, Telkomsel, по ходу основательно подломили, выставив на продажу в формате «только одному покупателю» в киберподполье доступ к панели управления услугами TELKOMSEL CENTER PANEL.
Учитывая его известность оператора, любая компрометация его систем может иметь широкомасштабные последствия для миллионов пользователей и потенциально повлиять на безопасность национальной связи.
Представленная панель, которая, по-видимому, является интерфейсом управления SIM-картами в реальном времени, предположительно предоставляет возможности просмотра, активации, приостановки или тестирования SIM-карт, мониторинга статусов выставления счетов и доступа к комплексным обзорам данных SIM-карт.
Также открывает доступ к подробной клиентской информации, включая ICCID, IMSI, MSISDN, PIN, тарифные планы и группы APN.
Исследователи BI.ZONE Threat Intelligence обнаружили новые кампании кластера Silent Werewolf, нацеленные на организации в России и Молдове.
В обоих случаях злоумышленники использовали два варианта загрузчиков, предназначенных для получения с сервера атакующих вредоносной нагрузки.
К сожалению, на момент исследования нагрузка была недоступна, но ретроспективный анализ аналогичных атак Silent Werewolf показал, что, вероятнее всего, в качестве ВПО использовалось XDigo.
Киберпреступники задействуют фишинговые рассылки от имени крупных и известных организаций или ссылаются на них в письмах, используя их айдентику: узнаваемые логотипы и прочие элементы фирменного стиля.
В ходе исследования Бизоны задектили две волны атак: первая была нацелена исключительно на российские организации в сфере энергетики (атомной промышленности), приборостроения, авиастроения, машиностроения.
Атакующие рассылали ранее неизвестный обфусцированный загрузчик, написанный на C#, который был замаскирован под досудебную претензию и под проект строительства жилого помещения.
Для доставки вредоносных файлов злоумышленники использовали фишинговые письма, в которых содержалась ссылка на загрузку ZIP-архива.
В ZIP-архиве находилось два файла: LNK и еще один ZIP-архив с легитимным EXE-файлом, вредоносной библиотекой (С#-загрузчик) и отвлекающим PDF-документом.
Загрузчик реализован в виде динамически подключаемой библиотеки d3d9.dll, которая запускается с помощью легитимного исполняемого файла H5GDXM70NJ.exe (DeviceMetadataWizard.exe), используя технику DLL Side-Loading.
Загрузчик предназначен для скачивания вредоносной нагрузки с сервера атакующих, закрепления ее на хосте в автозагрузке системы, а также открытия отвлекающего PDF-документа.
Его код обфусцирован, а строки закодированы Base64 и зашифрованы XOR с ключом в виде строки UTF-8. XOR-ключ для каждого экземпляра загрузчика уникальный.
Предположительно, на стороне атакующих производится проверка целевой системы.
В свою очередь, вторая волна атак была таргетирована, преимущественно, на молдавские компании, с возможным распространением на российские.
Новый вариант загрузчика распространялся под видом графика обмена служебных отпусков, рекомендаций по защите информационной инфраструктуры компании от компьютерных атак с использованием программ-вымогателей.
Как и в предыдущей кампании, вредоносная рассылка, предположительно, осуществлялась посредством фишинговых писем, содержащих ссылку для загрузки архива.
Широкое применение легитимных средств и обфускации вредоносного кода позволяет Silent Werewolf оставаться незамеченными продолжительное время и достигать цели кибератаки.
Подробный технический разобрали сценариев атак и индикаторы - в отчете.
Исследователи из Лаборатории Касперского в своем новом отчете обращают внимание на актуальность проблем, связанных с защитой контейнеризованной инфраструктуры.
Несмотря на то, что атаки на контейнеры происходят не так часто, как на другие системы, но это не делает их менее опасными.
В новой раскрытой ЛК кампании контейнеризованные среды были скомпрометированы комбинацией ранее известного майнера и нового вредоносного ПО под названием nginx.
Причем один зараженный контейнер сканирует интернет в поисках открытых API Docker, эксплуатирует их, создавая новые вредоносные контейнеры и заражая существующие.
Новые «зомби» приступают к добыче криптовалюты Dero и распространяют инфекцию дальше.
Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
Как показал анализ, злоумышленники получили начальный доступ к активной контейнеризованной инфраструктуре через открытый API Docker, не защищенный должным образом.
В результате были скомпрометированы существующие контейнеры и развернуты новые - не только для майнинга криптовалюты на ресурсах жертвы, но и для проведения внешних атак с целью распространения в других сетях.
Согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375, что дает представление о разрушительном потенциале описанной угрозы и подчеркивает необходимость адежной защиты контейнеров.
Технические подробности цепочки заражения и индикаторы компрометации - в отчете.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозами. В новой подборке:
1. Pentestpartners нашли способ обойти ограниченный просмотр и считать защищенные файлы, хранящиеся на серверах Microsoft SharePoint, включая обман агента ИИ.
2. Исследователи Project Discovery обнаружили три уязвимости в платформе оркестровки сети Versa Concerto, которые можно объединить в цепочку для атаки и захвата экземпляров Concerto.
Одна из них - обход аутентификации (CVE-2025-34027) с оценкой серьезности 10/10. Исследователи уведомили Versa Networks о трех проблемах в феврале, но неясно, были ли выпущены исправления.
3. Омер Майраз из Legit Security представил сценарий, согласно которому злоумышленники могут внедрить вредоносные подсказки в комментарии исходного кода и атаковать помощника GitLab Duo AI, чтобы украсть исходный код или выполнить другие вредоносные действия.
4. Исследователи Horizon3 опубликовали технический анализ CVE-2025-32756, активно эксплуатируемой уязвимости нулевого дня в телефонных системах FortiVoice.
5. Profero опубликовала технический анализ двух 0-day Ivanti, эксплуатируемых в реальных условиях (CVE-2025-4427 и CVE-2025-4428) связанной с КНР UNC5221, которая ранее также атаковала устройства Palo Alto Networks и SAP для развертывания маяков KrustyLoader и Sliver.
6. Rhino Security выкатила описание для CVE-2025-26147, уязвимости RCE после аутентификации в Denode Scheduler.
7. 8Com опубликовала подробности CVE-2025-26817, уязвимости RCE после аутентификации в Netwrix Password Secure, корпоративном менеджере паролей.
8. Разработчики библиотеки аутентификации Samlify Node.js выпустили исправления для устранения атаки с использованием упаковки подписей, которая могла использоваться для обхода аутентификации SAML SSO (CVE-2025-47949).
9. CISA предупреждает компании о широкомасштабной кампании, направленной на использование уязвимости Commvault (CVE-2025-3928 с CVSS 8,7) с целью взлома сред Azure.
Commvault исправила ошибку в конце февраля, но в начале мая обновила рекомендации, предупредив, что злоумышленники могли получить доступ к подмножеству учетных данных приложений, которые некоторые клиенты Commvault используют для аутентификации своих сред M365.
10. Более 100 устройств AutomationDirect MB-Gateway могут быть уязвимы для удаленных атак из Интернета из-за CVE-2025-36535 (CVSS 10). При этом уязвимый шлюз Modbus используется по всему миру, в том числе в критически важной инфраструктуре.
11. Atlassian опубликовала восемь рекомендаций, в которых подробно описаны шесть серьезных уязвимостей в Bamboo, Confluence, Fisheye/Crucible и Jira. Все дефекты были выявлены в сторонних зависимостях, их эксплуатация позволяет вызвать DoS или EoP в уязвимой системе.
12. GitLab объявил об исправлении 10 ошибок, влияющих на GitLab Community Edition (CE) и Enterprise Edition (EE). Наиболее важная CVE-2025-0993 высокой степени серьезности, которую могут использовать аутентифицированные злоумышленники для вызова состояния DoS.
13. Cisco опубликовала десять рекомендаций по безопасности, в которых подробно описаны более десятка уязвимостей, включая две критически важные уязвимости в Identity Services Engine (ISE) и Unified Intelligence Center - CVE-2025-20152 и CVE-2025-20113.
Силовики продолжают пылесосить киберподполье, реализуя масштабные международные скоординированные операции в отношении инфраструктуры и связанных с ними лиц, причастных к ransomware и популярным вредоносным ПО.
В рамках последней итерации запущенной еще в мае 2024 «Операции «Эндшпиль» коалиция правоохранителей отключила около 300 серверов по всему миру, нейтрализовала 650 доменов и выдала ордера на арест 20 киберпрестпуников в период с 19 по 22 мая 2025 года.
Как отмечают представители Европола, она нацелена на новые варианты вредоносного ПО и их преемников, которые вновь появились после предыдущих облав. В их числе: Bumblebee, Lactrodectus, QakBot, DanaBot, TrickBot и WARMCOOKIE.
В ходе операции было изъято 3,5 млн евро в криптовалюте, в результате чего общая сумма, изъятая в ходе операции, составила более 21,2 млн евро.
Помимо этого, Минюст США также предъявил обвинения 16 лицам, предположительно, являющимся частью российской киберпреступной группировки, которая контролировала операцию по созданию вредоносного ПО DanaBot.
Согласно материалам, ботнет задействовался для развертывания дополнительных вредоносных ПО, включая ransomware, и заразил более 300 000 компьютеров по всему миру, нанеся ущерб более чем на 50 миллионов долларов.
Вредоносное ПО DanaBot активно с 2018 года, работает по модели MaaS. Способно перехватывать банковские сеансы, красть данные браузера, а также предоставлять полный удаленный доступ к скомпрометированным системам и контролировать действия пользователей.
Министерство выразило признательность специаоситам Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru и Zscaler за предоставление «ценной помощи».
Кроме того, Европол раскрыл подробности другой международной операции под названием RapTor, нацеленной на пресечение каналов продажи оружия, наркотиков и контрафакта.
По результатам арестовано 270 селлеров и участников даркнет-ресурсов в 10 странах: США (130), Германия (42), Великобритания (37), Франция (29), Южная Корея (19), Австрия (4), Нидерланды (4), Бразилия (3), Швейцария (1) и Испания (1).
Подозреваемые, отметил Европол, были идентифицированы на основе разведданных, собранных в ходе прошлых операции в отношении Nemesis, Tor2Door, Bohemia и Kingdom Markets.
Наряду с арестами правоохранители изъяли €184 млн наличными и криптовалютой, 2 тонны наркотиков, 180 единиц огнестрельного оружия, 12 500 контрафактных товаров, включая более 4 тонн табака.
Так что, не одной Lumma досталось.
👾 Agent Tesla.
• Данный материал написан в соавторстве с @mycroftintel
• Если вам кажется, что за вами кто-то наблюдает, проверяет буфер обмена и крадёт пароли из браузера — не спешите обвинять жену, Моссад или рептилоидов. Возможно, это всего лишь маленький и невзрачный Agent Tesla — один из самых популярных RAT'ов (Remote Access Trojan) последнего десятилетия. Появился он где-то в 2014 году, сначала как «инструмент для тестирования безопасности» (да-да, очень иронично), но быстро стал любимым детищем специалистов по фишингу, бот-мастеров и прочей цифровой нежити. Юмор в том, что он всё ещё продаётся по подписке — как Spotify, только для краденых паролей.
• Agent Tesla — это не просто троянчик из подворотни, а полноценный шпионский комбайн. Он крадёт учётные данные из браузеров, почтовиков и VPN-клиентов, логирует всё, что вы печатаете, снимает скриншоты, следит за буфером обмена и умеет передавать всё это добро хозяину через SMTP, FTP, HTTP или Telegram-ботов. Некоторые сборки умеют даже лезть в кошельки крипты и прокладывать себе туннели через системы защиты.
• Чем опасен? Тем, что он повсюду. Его шлют пачками через спам, вшивают в «резюме.doc», прикладывают к фейковым DHL-уведомлениям и запихивают в архивы с паролем. Благодаря доступности, простоте и обилию билдов, Agent Tesla стал цифровым «чёрным хлебом» среди начинающих киберпреступников. Он легко обходит антивирусы, особенно если чуть-чуть обфусцировать сборку или сменить загрузчик. А ещё его часто не детектят песочницы, потому что он может затаиться на старте и не выдать ничего подозрительного.
• Если ты работаешь с почтой, качаешь файлы или просто существуешь в интернете, знай: у тебя есть все шансы словить этого товарища. Проверяй вложения, не запускай .exe из .zip, и не думай, что обфусцированный .NET бинарник с названием Invoice2024.scr — это реально счёт-фактура. Agent Tesla не самый продвинутый, но один из самых распространённых, а значит — в твоём направлении он уже выехал.
➡ Дополнительную информацию можно найти в группе @mycroftintel
➡ Проверить файлы, ссылки, ip и QR-коды на наличие угроз можно в нашем боте: S.E. Virus Detect.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Infoblox выкатили отчет в отношении хакерской группы Hazy Hawk, которая использует ошибки в настройках DNS для захвата доверенных доменов.
Злоумышленник перехватывает доверенные поддомены правительств, университетов и компаний из Fortune 500 для мошенничества, продвижения поддельных приложений и вредоносной рекламы.
По словам исследователей, Hazy Hawk сначала сканирует домены с записями CNAME, указывающими на заброшенные облачные конечные точки, которые они определяют с помощью пассивной проверки данных DNS.
Затем они регистрируют новый облачный ресурс с тем же именем, что и в заброшенном CNAME, в результате чего поддомен исходного домена преобразуется в новый размещенный в облаке сайт злоумышленника.
Используя эту технику, злоумышленники умело скрывают вредоносную деятельность, размещая мошеннический контент или используя домены в качестве перенаправляющих узлов для кибермошеннических.
Среди некоторые примечательных примеров таких доменов:
- cdc.gov (Центры США по контролю и профилактике заболеваний),
- honeywell.com (многонациональный конгломерат),
- berkeley.edu (Калифорнийский университет в Беркли),
- michelin.co.uk (шины Michelin в Великобритании),
- ey.com, pwc.com, deloitte.com (Глобальная «Большая четверка» консалтинговых фирм),
- ted.com (известная некоммерческая медиа-организация TED Talks),
- health.gov.au (Минздрав Австралии), unicef.org (фонд ООН),
- nyu.edu (Нью-Йоркский университет),
- unilever.com (глобальная компания по производству потребительских товаров)
- ca.gov (правительство штата Калифорния) и др (полный список взломанных доменов - в отчете Infoblox).
Получив контроль над поддоменом, злоумышленник генерирует на нем сотни вредоносных URL-адресов, которые в поисковых системах выглядят как вполне реальные в виду высокого рейтинга доверия родительского домена.
Жертвы, кликавшие на URL-адреса, перенаправляются через уровни доменов и инфраструктуру TDS, профилируются на основе типа устройства, IP-адреса, использования VPN и т.д.
Исследователи Infoblox отмечают, что подобные сайты используются для мошенничества с техподдержкой, фиктивных антивирусных оповещений, продвижения фейковых стриминовых и порно сайтов, а также фишинговых страниц.
Попавшиеся на уловку и включившие push-уведомления браузера пользователи затем получают постоянные оповещения даже после того, как они покинули мошеннические сайты, что может приносит Hazy Hawk значительный доход.
Ранее Infoblox сообщала также о другом злоумышленнике Savvy Seahorse, который также злоупотреблял записями CNAME для создания нетипичного TDS, перенаправлявшего пользователей на фейковые инвестплатформы.
Как отмечают исследователи, записи CNAME легко пропустить, в связи с чем они подвержены скрытому злоупотреблению, и, похоже, все больше злоумышленников понимают это и пытаются воспользоваться.
В случае с Hazy Hawk успех операции также зависит от того, что организации не удаляют записи DNS после вывода из эксплуатации облачных сервисов, что позволяет злоумышленникам копировать исходное имя ресурса без аутентификации.
Силовики отрапортовались об очередной «успешной» операции по нейтрализации вредоносной инфраструктуры, на этот раз стиллера Lumma, который лишился тысячи доменов и части серверов по всему миру.
В операции принимали участие несколько технологических компаний и правоохранительный блок, отдельную роль отвели Microsoft, которая в судебном порядке добилась блокировки около 2300 доменов, лишив более 394 000 зараженных хостов Windows связи с С2.
Главным инициатором выступил Минюст США (DOJ), которому при поддержке спецслужб удалось захватить панель управления Lumma, а через возможности Европола и Японского центра по борьбе с киберпреступностью (JC3) - нейтрализовать инфраструктуру в Европе и Японии.
От ИБ-блока в совместной операции против Lumma выступили ESET, CleanDNS, Bitsight, Lumen, GMO Registry, а также международная юридическая фирма Orrick.
В Cloudflare заметили, что предпринятые в отношении Lumma Stealer меры позволили существенно подорвать положение операторов в эксплуатационном и финансовом плане, а также лишить их доступа к панели управления и массивам украденных данных.
Специалисты Cloudflare также отмечают, что Lumma Stealer неоднократно злоупотреблял их сервисами, скрывая исходные IP-адреса серверов, которые злоумышленники использовали для сбора украденных учетных данных и данных.
Lumma (LummaC2) - вредоносное ПО для кражи информации, реализуемое как услуга, нацеленное на системы Windows и macOS, которое киберпреступники могут арендовать по подписке стоимостью от 250 до 1000 долларов США.
Вредоносное ПО обладает расширенными возможностями уклонения от обнаружения и кражи данных, распространяется по различным каналам, включая комментарии GitHub, сайты-генераторы deepfake и вредоносную рекламу для заражения жертв.
После взлома системы Lumma способна красть данные из браузеров и приложений, включая криптокошельки, файлы cookie, учетные данные, пароли, данные кредитных карт и историю просмотров из Google Chrome, Microsoft Edge, Mozilla Firefox и др.
Затем украденные данные собираются в архив и отправляются обратно на серверы, контролируемые злоумышленниками, которые затем реализуют информацию в даркнете или используют ее для других атак.
Впервые стиллер появился на форумах в декабре 2022 года и, как сообщали исследователи KELA, всего через несколько месяцев стал весьма популярным в киберподполье.
В отчете IBM X-Force об угрозах за 2025 год, исследователи указали на на 12% рост числа украденных учетных данных, выставленных на продажу, причем Lumma оказалась самой распространенной и этой категорией, лидируя с большим отрывом.
Lumma отметилась в различных, в том числе и крупномасштабных кампаниях, затронувших сотни тысяч ПК (среди недавних инциденты в PowerSchool, HotTopic, CircleCI и Snowflake), а также задействовалась многими известными группами угроз, включая Scattered Spider.
Учитывая столь серьезный бэкграунд, вряд ли операторы Lumma надолго останутся без работы.
Как показывает практика подобных операций, силовая эйфория длится недолго.
Подкатили весьма неутешительные подробности недавнего инцидента с SK Telecom: вредоносное ПО находилось в сети более трех лет со всеми вытекающими, поскольку это крупнейший оператор мобильной связи в Южной Корее, занимающий половину национального рынка.
В компании SK Telecom подтвердили, что инцидент, о котором стало известно недавно, в апреле, впервые произошел еще в 2022 году, в результате чего были раскрыты данные USIM 27 миллионов абонентов.
19 апреля 2025 года компания задетектида вредоносное ПО в своих сетях и отреагировала, изолировав оборудование, предположительно подвергшееся взлому.
Реализованная атака позволила злоумышленникам украсть данные, включая IMSI, ключи аутентификации USIM, данные о сети, а также SMS/контактах, хранящихся на SIM-карте.
Учитывая резко возросшие риски атак с подменой SIM, компания решила перевыпустить SIM-карты для всех абонентов, а также прекратить временно регистрацию новых абонентов.
8 мая 2025 года правительственный комитет, расследующий инцидент, заявил, что заражение вредоносным ПО скомпрометировало 25 типов данных.
В опубликованном обновленном заявлении SK Telecom сообщила о намерении уведомить 26,95 млн клиентов, ставших жертвами инцидента с заражением вредоносным ПО, в результате которого были раскрыты их конфиденциальные данные.
Компания выявила в общей сложности 25 различных типов вредоносного ПО на 23 взломанных серверах, поэтому масштаб нарушения оказался гораздо более масштабным, чем предполагалось изначально.
Одновременно с этим следственная группа, изучающая 30 000 серверов Linux компании SK Telecom, опубликовала свой отчет, утверждая о первоначальном заражении, которое произошло 15 июня 2022 года.
Так что вредоносное ПО оставалось незамеченным в системах компании в течение почти трех лет, а злоумышленники успели за это время внедрить несколько полезных нагрузок на 23 сервера.
В расследовании утверждается, что 15 из 23 зараженных серверов содержали персональные данные клиентов, включая 291 831 номер IMEI, хотя SK Telecom прямо отрицала это в своем последнем пресс-релизе.
Группа следователей также отметила, что SK Telecom начала регистрировать активность на затронутых серверах 3 декабря 2024 года. Таким образом, любая утечка данных, которая могла произойти с июня 2022 года до этого момента, не была бы обнаружена.
Тем не менее SK Telecom продолжает оценивать последствия и проводить работу по локализации ущерба, гарантируя при этом свою 100% ответственность в случае каких-либо вредоносных действии в отношении клиентов.
Исследователи из Лаборатории Касперского представили результаты своего традиционного исследования по анализу ландшафта угроз для систем промышленной автоматизации за первый квартал 2025 года.
Среди отмеченных ключевых трендов:
- От квартала к кварталу сохраняется относительная стабильность: доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал не изменилась и составила 21,9%. В годом исчислении показатели были меньше аналогичного показателя предыдущего года.
- В первом квартале 2025 года защитные решения ЛК заблокировали на системах промышленной автоматизации вредоносное ПО из 11 679 семейств, относящихся к различным категориям.
- Биометрические системы по-прежнему лидируют среди исследуемых отраслей. Это единственный тип OT-инфраструктур, где доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась.
- Данные по регионам по-прежнему значительно различаются. В первом квартале 2025 года показатели варьировались от 10,7% в Северной Европе до 29,6% в Африке. В восьми регионах показатель попал в диапазон от 19% до 25%.
- Уменьшается доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных.
- Изменение показателей угроз первого этапа влияет на долю компьютеров АСУ, атакованных вредоносным ПО второго этапа. В первом квартале 2025 года впервые с начала 2023 года увеличилась доля компьютеров АСУ, на которых были заблокированы угрозы из интернета и через почту.
- Доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы и вредоносные документы, за квартал увеличилась.
- Лидирующая категория вредоносного ПО, используемого для первичного заражения компьютеров АСУ, - вредоносные скрипты и фишинговые страницы.
- Большинство вредоносных скриптов и фишинговых страниц действуют как дропперы или загрузчики вредоносного ПО следующего этапа - шпионского ПО, криптомайнеров и программ-вымогателей.
- Показатели первых трех месяцев 2025 года у шпионских программ, как и у вредоносных скриптов и фишинговых страниц, выше, чем с января по март 2024 года.
- Доля компьютеров АСУ, на которых были заблокированы майнеры (как веб-майнеры, так и майнеры - исполняемые файлы для ОС Windows), в первом квартале 2025 года также выросла.
- В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы черви и вирусы, сократилась до 1,31% (на 0,06 п. п.) и 1,53% (на 0,08 п. п.) соответственно.
Более подробная информация об индустриальных угрозах в первом квартале со статистикой и инфографикой - в полной версии отчета.