Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
👾 Agent Tesla.
• Данный материал написан в соавторстве с @mycroftintel
• Если вам кажется, что за вами кто-то наблюдает, проверяет буфер обмена и крадёт пароли из браузера — не спешите обвинять жену, Моссад или рептилоидов. Возможно, это всего лишь маленький и невзрачный Agent Tesla — один из самых популярных RAT'ов (Remote Access Trojan) последнего десятилетия. Появился он где-то в 2014 году, сначала как «инструмент для тестирования безопасности» (да-да, очень иронично), но быстро стал любимым детищем специалистов по фишингу, бот-мастеров и прочей цифровой нежити. Юмор в том, что он всё ещё продаётся по подписке — как Spotify, только для краденых паролей.
• Agent Tesla — это не просто троянчик из подворотни, а полноценный шпионский комбайн. Он крадёт учётные данные из браузеров, почтовиков и VPN-клиентов, логирует всё, что вы печатаете, снимает скриншоты, следит за буфером обмена и умеет передавать всё это добро хозяину через SMTP, FTP, HTTP или Telegram-ботов. Некоторые сборки умеют даже лезть в кошельки крипты и прокладывать себе туннели через системы защиты.
• Чем опасен? Тем, что он повсюду. Его шлют пачками через спам, вшивают в «резюме.doc», прикладывают к фейковым DHL-уведомлениям и запихивают в архивы с паролем. Благодаря доступности, простоте и обилию билдов, Agent Tesla стал цифровым «чёрным хлебом» среди начинающих киберпреступников. Он легко обходит антивирусы, особенно если чуть-чуть обфусцировать сборку или сменить загрузчик. А ещё его часто не детектят песочницы, потому что он может затаиться на старте и не выдать ничего подозрительного.
• Если ты работаешь с почтой, качаешь файлы или просто существуешь в интернете, знай: у тебя есть все шансы словить этого товарища. Проверяй вложения, не запускай .exe из .zip, и не думай, что обфусцированный .NET бинарник с названием Invoice2024.scr — это реально счёт-фактура. Agent Tesla не самый продвинутый, но один из самых распространённых, а значит — в твоём направлении он уже выехал.
➡ Дополнительную информацию можно найти в группе @mycroftintel
➡ Проверить файлы, ссылки, ip и QR-коды на наличие угроз можно в нашем боте: S.E. Virus Detect.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Infoblox выкатили отчет в отношении хакерской группы Hazy Hawk, которая использует ошибки в настройках DNS для захвата доверенных доменов.
Злоумышленник перехватывает доверенные поддомены правительств, университетов и компаний из Fortune 500 для мошенничества, продвижения поддельных приложений и вредоносной рекламы.
По словам исследователей, Hazy Hawk сначала сканирует домены с записями CNAME, указывающими на заброшенные облачные конечные точки, которые они определяют с помощью пассивной проверки данных DNS.
Затем они регистрируют новый облачный ресурс с тем же именем, что и в заброшенном CNAME, в результате чего поддомен исходного домена преобразуется в новый размещенный в облаке сайт злоумышленника.
Используя эту технику, злоумышленники умело скрывают вредоносную деятельность, размещая мошеннический контент или используя домены в качестве перенаправляющих узлов для кибермошеннических.
Среди некоторые примечательных примеров таких доменов:
- cdc.gov (Центры США по контролю и профилактике заболеваний),
- honeywell.com (многонациональный конгломерат),
- berkeley.edu (Калифорнийский университет в Беркли),
- michelin.co.uk (шины Michelin в Великобритании),
- ey.com, pwc.com, deloitte.com (Глобальная «Большая четверка» консалтинговых фирм),
- ted.com (известная некоммерческая медиа-организация TED Talks),
- health.gov.au (Минздрав Австралии), unicef.org (фонд ООН),
- nyu.edu (Нью-Йоркский университет),
- unilever.com (глобальная компания по производству потребительских товаров)
- ca.gov (правительство штата Калифорния) и др (полный список взломанных доменов - в отчете Infoblox).
Получив контроль над поддоменом, злоумышленник генерирует на нем сотни вредоносных URL-адресов, которые в поисковых системах выглядят как вполне реальные в виду высокого рейтинга доверия родительского домена.
Жертвы, кликавшие на URL-адреса, перенаправляются через уровни доменов и инфраструктуру TDS, профилируются на основе типа устройства, IP-адреса, использования VPN и т.д.
Исследователи Infoblox отмечают, что подобные сайты используются для мошенничества с техподдержкой, фиктивных антивирусных оповещений, продвижения фейковых стриминовых и порно сайтов, а также фишинговых страниц.
Попавшиеся на уловку и включившие push-уведомления браузера пользователи затем получают постоянные оповещения даже после того, как они покинули мошеннические сайты, что может приносит Hazy Hawk значительный доход.
Ранее Infoblox сообщала также о другом злоумышленнике Savvy Seahorse, который также злоупотреблял записями CNAME для создания нетипичного TDS, перенаправлявшего пользователей на фейковые инвестплатформы.
Как отмечают исследователи, записи CNAME легко пропустить, в связи с чем они подвержены скрытому злоупотреблению, и, похоже, все больше злоумышленников понимают это и пытаются воспользоваться.
В случае с Hazy Hawk успех операции также зависит от того, что организации не удаляют записи DNS после вывода из эксплуатации облачных сервисов, что позволяет злоумышленникам копировать исходное имя ресурса без аутентификации.
Силовики отрапортовались об очередной «успешной» операции по нейтрализации вредоносной инфраструктуры, на этот раз стиллера Lumma, который лишился тысячи доменов и части серверов по всему миру.
В операции принимали участие несколько технологических компаний и правоохранительный блок, отдельную роль отвели Microsoft, которая в судебном порядке добилась блокировки около 2300 доменов, лишив более 394 000 зараженных хостов Windows связи с С2.
Главным инициатором выступил Минюст США (DOJ), которому при поддержке спецслужб удалось захватить панель управления Lumma, а через возможности Европола и Японского центра по борьбе с киберпреступностью (JC3) - нейтрализовать инфраструктуру в Европе и Японии.
От ИБ-блока в совместной операции против Lumma выступили ESET, CleanDNS, Bitsight, Lumen, GMO Registry, а также международная юридическая фирма Orrick.
В Cloudflare заметили, что предпринятые в отношении Lumma Stealer меры позволили существенно подорвать положение операторов в эксплуатационном и финансовом плане, а также лишить их доступа к панели управления и массивам украденных данных.
Специалисты Cloudflare также отмечают, что Lumma Stealer неоднократно злоупотреблял их сервисами, скрывая исходные IP-адреса серверов, которые злоумышленники использовали для сбора украденных учетных данных и данных.
Lumma (LummaC2) - вредоносное ПО для кражи информации, реализуемое как услуга, нацеленное на системы Windows и macOS, которое киберпреступники могут арендовать по подписке стоимостью от 250 до 1000 долларов США.
Вредоносное ПО обладает расширенными возможностями уклонения от обнаружения и кражи данных, распространяется по различным каналам, включая комментарии GitHub, сайты-генераторы deepfake и вредоносную рекламу для заражения жертв.
После взлома системы Lumma способна красть данные из браузеров и приложений, включая криптокошельки, файлы cookie, учетные данные, пароли, данные кредитных карт и историю просмотров из Google Chrome, Microsoft Edge, Mozilla Firefox и др.
Затем украденные данные собираются в архив и отправляются обратно на серверы, контролируемые злоумышленниками, которые затем реализуют информацию в даркнете или используют ее для других атак.
Впервые стиллер появился на форумах в декабре 2022 года и, как сообщали исследователи KELA, всего через несколько месяцев стал весьма популярным в киберподполье.
В отчете IBM X-Force об угрозах за 2025 год, исследователи указали на на 12% рост числа украденных учетных данных, выставленных на продажу, причем Lumma оказалась самой распространенной и этой категорией, лидируя с большим отрывом.
Lumma отметилась в различных, в том числе и крупномасштабных кампаниях, затронувших сотни тысяч ПК (среди недавних инциденты в PowerSchool, HotTopic, CircleCI и Snowflake), а также задействовалась многими известными группами угроз, включая Scattered Spider.
Учитывая столь серьезный бэкграунд, вряд ли операторы Lumma надолго останутся без работы.
Как показывает практика подобных операций, силовая эйфория длится недолго.
Подкатили весьма неутешительные подробности недавнего инцидента с SK Telecom: вредоносное ПО находилось в сети более трех лет со всеми вытекающими, поскольку это крупнейший оператор мобильной связи в Южной Корее, занимающий половину национального рынка.
В компании SK Telecom подтвердили, что инцидент, о котором стало известно недавно, в апреле, впервые произошел еще в 2022 году, в результате чего были раскрыты данные USIM 27 миллионов абонентов.
19 апреля 2025 года компания задетектида вредоносное ПО в своих сетях и отреагировала, изолировав оборудование, предположительно подвергшееся взлому.
Реализованная атака позволила злоумышленникам украсть данные, включая IMSI, ключи аутентификации USIM, данные о сети, а также SMS/контактах, хранящихся на SIM-карте.
Учитывая резко возросшие риски атак с подменой SIM, компания решила перевыпустить SIM-карты для всех абонентов, а также прекратить временно регистрацию новых абонентов.
8 мая 2025 года правительственный комитет, расследующий инцидент, заявил, что заражение вредоносным ПО скомпрометировало 25 типов данных.
В опубликованном обновленном заявлении SK Telecom сообщила о намерении уведомить 26,95 млн клиентов, ставших жертвами инцидента с заражением вредоносным ПО, в результате которого были раскрыты их конфиденциальные данные.
Компания выявила в общей сложности 25 различных типов вредоносного ПО на 23 взломанных серверах, поэтому масштаб нарушения оказался гораздо более масштабным, чем предполагалось изначально.
Одновременно с этим следственная группа, изучающая 30 000 серверов Linux компании SK Telecom, опубликовала свой отчет, утверждая о первоначальном заражении, которое произошло 15 июня 2022 года.
Так что вредоносное ПО оставалось незамеченным в системах компании в течение почти трех лет, а злоумышленники успели за это время внедрить несколько полезных нагрузок на 23 сервера.
В расследовании утверждается, что 15 из 23 зараженных серверов содержали персональные данные клиентов, включая 291 831 номер IMEI, хотя SK Telecom прямо отрицала это в своем последнем пресс-релизе.
Группа следователей также отметила, что SK Telecom начала регистрировать активность на затронутых серверах 3 декабря 2024 года. Таким образом, любая утечка данных, которая могла произойти с июня 2022 года до этого момента, не была бы обнаружена.
Тем не менее SK Telecom продолжает оценивать последствия и проводить работу по локализации ущерба, гарантируя при этом свою 100% ответственность в случае каких-либо вредоносных действии в отношении клиентов.
Исследователи из Лаборатории Касперского представили результаты своего традиционного исследования по анализу ландшафта угроз для систем промышленной автоматизации за первый квартал 2025 года.
Среди отмеченных ключевых трендов:
- От квартала к кварталу сохраняется относительная стабильность: доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал не изменилась и составила 21,9%. В годом исчислении показатели были меньше аналогичного показателя предыдущего года.
- В первом квартале 2025 года защитные решения ЛК заблокировали на системах промышленной автоматизации вредоносное ПО из 11 679 семейств, относящихся к различным категориям.
- Биометрические системы по-прежнему лидируют среди исследуемых отраслей. Это единственный тип OT-инфраструктур, где доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась.
- Данные по регионам по-прежнему значительно различаются. В первом квартале 2025 года показатели варьировались от 10,7% в Северной Европе до 29,6% в Африке. В восьми регионах показатель попал в диапазон от 19% до 25%.
- Уменьшается доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных.
- Изменение показателей угроз первого этапа влияет на долю компьютеров АСУ, атакованных вредоносным ПО второго этапа. В первом квартале 2025 года впервые с начала 2023 года увеличилась доля компьютеров АСУ, на которых были заблокированы угрозы из интернета и через почту.
- Доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы и вредоносные документы, за квартал увеличилась.
- Лидирующая категория вредоносного ПО, используемого для первичного заражения компьютеров АСУ, - вредоносные скрипты и фишинговые страницы.
- Большинство вредоносных скриптов и фишинговых страниц действуют как дропперы или загрузчики вредоносного ПО следующего этапа - шпионского ПО, криптомайнеров и программ-вымогателей.
- Показатели первых трех месяцев 2025 года у шпионских программ, как и у вредоносных скриптов и фишинговых страниц, выше, чем с января по март 2024 года.
- Доля компьютеров АСУ, на которых были заблокированы майнеры (как веб-майнеры, так и майнеры - исполняемые файлы для ОС Windows), в первом квартале 2025 года также выросла.
- В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы черви и вирусы, сократилась до 1,31% (на 0,06 п. п.) и 1,53% (на 0,08 п. п.) соответственно.
Более подробная информация об индустриальных угрозах в первом квартале со статистикой и инфографикой - в полной версии отчета.
🧊 Firefox устраняет две критические уязвимости JavaScript, выявленные на Pwn2Own Berlin 2025
Mozilla оперативно выпустила обновления безопасности для браузера Firefox и его версий ESR, устранив две критические уязвимости, продемонстрированные в ходе конкурса Pwn2Own Berlin 2025. Обе уязвимости затрагивали обработку объектов JavaScript в процессе отображения контента, но, как сообщается, благодаря архитектуре песочницы не позволили атакующим выйти за пределы изолированного окружения.
Первая уязвимость, идентифицированная как CVE-2025-4918, была обнаружена исследователями Эдуаром Бошеном и Тао Яном из Palo Alto Networks. Она позволяла выполнять операции чтения и записи за пределами выделенной памяти при разрешении объектов Promise в JavaScript, что потенциально могло привести к выполнению произвольного кода в процессе контента браузера.
Вторая уязвимость, CVE-2025-4919, была представлена Манфредом Полом и связана с путаницей размеров индексов массивов при оптимизации линейных сумм, также приводящей к выходу за пределы памяти.
Обе уязвимости были успешно продемонстрированы на конкурсе Pwn2Own Berlin 2025, организованном инициативой Zero Day Initiative от Trend Micro. Исследователи получили по $50 000 и по 5 очков в рейтинге "Master of Pwn" за свои находки. Mozilla выпустила обновления безопасности в течение суток после демонстрации уязвимостей.
🛡Несмотря на то, что уязвимости не позволили атакующим выйти за пределы процесса контента благодаря архитектуре песочницы Firefox, Mozilla настоятельно рекомендует всем пользователям как можно скорее обновиться до последних версий c целью обеспечения максимальной безопасности своих браузеров.
✋ @Russian_OSINT
Исследователи ZeroDay Labs Эйдан Леон раскрыл атаку на цепочку поставок, которая привела к распространению троянизированного установщика VMware RVTools через официальные сайты, которая доставляла на компьютеры пользователей загрузчик вредоносного ПО Bumblebee.
Robware.net и RVTools.com являются единственными авторизованными и поддерживаемыми веб-сайтами для ПО RVTools, на время расследования инцидента временно были отключены.
RVTools, изначально разработанный компанией Robware, а теперь принадлежащий Dell, представляет собой утилиту Windows, которая обеспечивает комплексную инвентаризацию и отчетность о состоянии сред VMware vSphere.
RVTools широко признан важным инструментом для администраторов VMware, а Virtual Blocks компании VMware признал его ведущей утилитой для управления vSphere.
Атака была впервые обнаружена после того, как исследователь заметил, что официальный установщик RVTools [VirusTotal] пытался выполнить вредоносную версию .dll [VirusTotal], которая была идентифицирована как загрузчик вредоносного ПО Bumblebee.
Дальнейшее расследование выявило несоответствие между хэшем файла, указанным на сайте RVTools, и фактически загружаемым файлом. Модифицированная версия была значительно больше и содержала вредоносный файл version.dll.
Bumblebee обычно реализуется через SEO-отравление, вредоносную рекламу и фишинговые атаки, активно задействовался бандой вымогателей Conti.
После установки загружает и выполняет дополнительные полезные нагрузки на зараженных устройствах, включая маяки Cobalt Strike, стиллеры и ransomware.
Исследователи Arctic Wolf в своем отчете также отмечают факты распространения троянизированных установщиков RVTools через вредоносные домены с помощью тайпсквоттинга, которые, вероятно, продвигались посредством SEO-инфильтрации или вредоносной рекламы.
Кроме того, фиксировались и другие аналогичные кампании, нацеленные на RVTools, в частности, для доставки бэкдора SMOKEDHAM PowerShell .NET.
В настоящее время неизвестно, как долго троянизированная версия RVTools была доступна для загрузки и сколько пользователей установили ее до того, как сайт был отключен.
Так что пользователям рекомендуется проверить хэш установщика и просмотреть все запуски version.dll из пользовательских каталогов.
Исследователи WithSecure Threat Intelligence обнаружили активную на протяжении восьми месяцев кампанию, нацеленную на пользователей KeePass с использованием троянизированных версий менеджера паролей для кражи учетных данных и развертывания ransomware.
Атаки начались с вредоносного установщика KeePass, продвигаемого через фейковые сайты с программным обеспечением посредством рекламы Bing.
Поскольку KeePass имеет открытый исходный код, злоумышленники модифицировали его, создав троянизированную версию, названную KeeLoader, которая содержит все обычные функции управления паролями.
Помимо этого она включает модификации, которые устанавливают маяк Cobalt Strike и экспортируют базу данных паролей KeePass в виде открытого текста.
Как отмечает WithSecure, уникальные идентификаторы Cobalt Strike, используемый для генерации полезной нагрузки и задейстсвованные в этой кампании, связаны с IAB, который, как предполагается, был связан с атаками Black Basta в прошлом.
Тем не менее, исследователям не известно о каких-либо других инцидентах (связанных с программами-вымогателями или иными), использующих именно этот идентификатор Cobalt Strike, но это не значит, что их не было.
WithSecure задетектила несколько вариантов KeeLoader, подписанных легальными сертификатами, которые распространялись через домены-типосквоттеры, такие как keeppaswrd[.]com, keegass[.]com и KeePass[.]me.
При этом первый при этом до сих пор активен и содержит троянизированный установщик KeePass (VirusTotal).
Помимо доставки маяков Cobalt Strike, троянизированная версия KeePass включала в себя функцию кражи паролей, которая позволяла злоумышленникам красть любые учетные данные, введенные в программу.
В конечном итоге атака, наблдавшаяся WithSecure, привела к шифрованию серверов VMware ESXi компании с помощью программы-вымогателя.
Дальнейшее расследование привело к обширной инфраструктуре, созданной для распространения вредоносных ПО, замаскированных под легитимные инструменты, а также фишинговым страницам, предназначенным для кражи учетных данных.
Домен aenys[.]com использовался для размещения дополнительных поддоменов, которые выдавали себя за известные компании и сервисы, такие как WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank и DEX Screener.
Каждый из них использовался для распространения различных вариантов вредоносного ПО или кражи учетных данных.
WithSecure с умеренной уверенностью приписывает эту активность UNC4696, группе злоумышленников, ранее связанной с кампаниями Nitrogen Loader.
Предыдущие кампании Nitrogen также пересекались с бандой вымогателей BlackCat/ALPHV.
Технические подробности атак и атрибуции - в отчете.
В течение полугода поставщик принтеров Procolored размещал вместо оригинальных программ на своем общедоступном сайте троянизированное ПО со стиллером и бэкдором под капотом.
Заметить подставу смог один из авторов Hackster News Кэмерон Ковард, который в процессе установки Microsoft Visual C++ Redistributable и PrintExp словил детекты антивируса. Поставщик его заверил, что срабатывания, вероятно, имели ложный характер.
В свою очередь, исследователи GData после анализа доступных для загрузки на сайте компании файлов ПО обнаружила, что они также заражены.
В общей сложности GData обнаружила, что 39 загрузок программного обеспечения, размещенных на mega.nz и последний раз обновленных в октябре 2024 года, были заражены двумя семействами вредоносных ПО.
Первая из них представляла собой бэкдор, получивший название XRed на Delphi, который реализует поведение червя.
Образец, обнаруженный в загрузках Procolored, мог регистрировать нажатия клавиш, загружать дополнительные полезные данные, делать скрины, изменять файлы и предоставлять оболочку по запросу.
Стиллер под названием CoinStealer нацелен на криптокошельки, но также может подменять адреса криптовалют в буфере обмена на адрес злоумышленника, чтобы перенаправлять средства злоумышленнику во время транзакций.
GData также заметила, что стиллер атакует исполняемые файлы, присоединяясь к ним, а затем перемещает зараженные файлы в исходное местоположение хоста.
По данным компании, XRed объединяет вирус, получивший название SnipVex, реализуя эффект «суперинфекции», поскольку в целевой системе оказывается несколько самовоспроизводящихся семейств вредоносных ПО.
Подобная вирусная инфекция также объясняет, откуда появились 39 зараженных файлов в разделе загрузок Procolored. SnipVex, вероятно, реплицировал себя на системе разработчика или на серверах сборки.
При этом указанный операторами адрес криптовалюты, который фигурирует в качестве замены в буфере, получил переводы на сумму в чем более 9 биткоинов (более 900 000 долл).
Несмотря на свои первичные заявления, Procolored все же удалила загрузки со своего веб-сайта, отмечая о начале проведения расследования.
4⃣ Фейковый GitHub.
• Автор проекта Snoop Project (тулза для поиска user_name с учетом СНГ локаций) выкатил новый бесплатный инструмент, который позволяет определить накрутку звезд в GitHub репозиториях. Для #ИБ специалистов (и не только) это отличная тулза для анализа и детекта фейковых проектов. Подобные репо нужно тщательно проверять перед использованием и быть максимально осторожным, либо не использовать вовсе.
• Инструмент работает из коробки на любых OS (в т.ч. и в Android / Termux) и не требует чтения мануалов и тех.скиллов. А еще есть описание на русском языке.
• Заявленный функционал:
➡Помогает найти и определить факт накрутки звезд в различных репозиториях;
➡Проверяет репозитории на предмет накрутки звезд за выбранный период времени;
➡Сообщает реальную дату создания репозитория;
➡Покажет ~ размер любого публичного репозитория;
➡Предоставит краткое описание репозитория;
➡Есть история сканирований с выбором ранее учтенных проектов для быстрой проверки;
➡Генерирует CLI/HTML отчеты (статистика, периоды времени, дублирующая активность пользователей, url's и графики);
➡Находит пересекающихся у Github-проектов пользователей, в т.ч. и тех, у кого профиль скрыт/приватный;
➡Создан для людей и работает из коробки, поддержка OS: Windows7+, GNU/Linux, Android;
➡Отрабатывает задачи с реактивной скоростью и является полностью бесплатным.
➡ https://github.com/snooppr/shotstars
S.E. ▪️ infosec.work ▪️ VT
За во второй день Pwn2Own Berlin 2025 участники смогли заработать 435 000 долл., проэксплуатировав 0-day в нескольких продуктах, включая Microsoft SharePoint, VMware ESXi, Oracle VirtualBox, Red Hat Enterprise Linux и Mozilla Firefox.
Самым ярким событием стала успешная реализация Нгуена Хоанга Тхача из STARLabs SG по взлому VMware ESXi, которая принесла ему 150 000 долл. за эксплойт с переполнением целочисленного значения.
Дин Хо Ань Хоа из Viettel Cyber Security получил 100 000 долл. за взлом Microsoft SharePoint путем использования цепочки эксплойтов, объединяющей обход аутентификации и небезопасную уязвимость десериализации.
Эдуард Бочин и Тао Янь из Palo Alto Networks также продемонстрировали 0-day, связанную с записью за пределами выделенного пространства в Mozilla Firefox.
Джеррард Тай из STAR Labs SG смог повысить привилегии до уровня root в Red Hat Enterprise Linux, используя ошибку использования после освобождения,
а Viettel Cyber Security использовала еще одну запись за пределами выделенного пространства для перехода из гостевой памяти Oracle VirtualBox на хост.
В категории ИИ специалисты из Wiz Research использовали 0-day с функцией использования после освобождения для эксплуатации Redis, а Qrious Secure объединили четыре уязвимости для взлома сервера вывода Triton компании Nvidia.
В первый день участники сорвали куш в размере 260 000 долл. за успешную эксплуатацию 0-day в Windows 11, Red Hat Linux и Oracle VirtualBox, а общая сумма выигрыша за первые два дня конкурса после демонстрации 20 уникальных нулейя составила 695 000 долл.
Pwn2Own Berlin 2025 посвящена корпоративным технологиям, впервые представляет категорию ИИ и проходит во рамках конференции OffensiveCon с 15 по 17 мая. Общий призовой фонд составляет более 1 000 000 долл.
В очередной раз на Pwn2Own не было ни одной попытки взлома Tesla, хотя в качестве целей также были доступны два автомобиля Tesla Model Y 2025 года и Tesla Model 3 2024 года.
Традиционно после раскрытия нулей в ходе конкурса Pwn2Own у поставщиков есть 90 дней на выпуск исправлений безопасности для своих программных и аппаратных продуктов, прежде чем Trend Micro Zero Day Initiative опубликует технические подробности.
Гиганты промавтоматизации Siemens, Schneider Electric и Phoenix Contact представили свои рекомендации в рамках ICS Patch Tuesday за май 2025 года.
Большинство описанных уязвимостей были исправлены, но для некоторых недостатков в настоящее время доступны лишь меры по смягчению последствий и обходные пути.
Siemens выкатила 18 новых рекомендаций, в том числе четыре, которые охватывают критические уязвимости.
Один из них описывает проблему обхода аутентификации в интерфейсе Redfish контроллера BMC, используемого промышленными ПК Simatic.
Недостаток был раскрыт Eclypsium еще в марте.
Другой критический бюллетень включает недостаток веб-сервера OZW, который можно использовать для RCE с привилегиями root, и еще одну ошибку, которую можно использовать для получения привилегий администратора.
Три иные уязвимости, позволить аутентифицированному злоумышленнику выполнять произвольный код с привилегиями root на устройствах Ruggedcom ROX II, также были классифицированы как критические.
Siemens также опубликовала рекомендации по уязвимости BlastRADIUS, в частности, описывая ее влияние на Siprotec, Sicam и другие продукты.
Поставщик анонсировал исправления уязвимости высокой степени серьезности в зарядных устройствах VersiCharge EV, продуктах Simatic PCS neo, Desigo CC, Scalance, Sirius, Intralog и Teamcenter Visualization.
Проблемы средней степени серьезности были закрыты в продуктах Polarion, BACnet, MS/TP Point Pickup Module, Mendix и Ruggedcom.
Schneider Electric поделилась четырьмя новыми рекомендациями, каждая из которых включает по одной уязвимости.
Две посвящены влиянию CVE-2023-4041, более старого недостатка загрузчика Silicon Labs Gecko, на продукты домашней автоматизации PrismaSeT Active и Wiser.
В одной из рекомендаций описывается влияние CVE-2025-32433, недавно раскрытой ошибки Erlang/OTP SSH, которая подвергает многие устройства полной компрометации.
Schneider определила, что уязвимость влияет на ее продукты Galaxy data center UPS.
В последнем сообщении Schneider описывает уязвимость раскрытия информации высокой степени серьезности, которую может использовать неавторизованный злоумышленник для чтения произвольных файлов в ПЛК Modicon.
Phoenix Contact уведомила клиентов, что некоторые из ее шинных соединителей подвержены DoS-уязвимости высокой степени серьезности, которая была обнаружена в ходе сканирования сети.
Неаутентифицированный злоумышленник может удаленно воспользоваться уязвимостью безопасности, чтобы вызвать сбой, отправив большое количество запросов на порт 80.
Исследователи Trend Micro в своем новом отчете сообщают о двух разных кампаниях с участием китайской APT Earth Ammit, нацеленных в период с 2023 по 2024 год на цепочки поставок беспилотников в ходе атак на различные организации на Тайване и в Южной Корее.
Две волны атак, получившие названия Tidrone и Venom, затронули военные организации, тяжелую промышленность, разработчиков ПО, спутниковую связь, IT, СМИ и здравоохранение.
Trend Micro впервые раскрыла TIDRONE еще в сентябре прошлого году, подробно описывая атаки на производителей беспилотных летательных аппаратов на Тайване.
В последующем отчете за в декабрь 2024 года AhnLab подробно проанализировала использование CLNTEND в отношении южнокорейских компаний.
Стратегия Earth Ammit в атаках Tidrone подразумевала нацеливание на поставщиков услуг для внедрения кода и распространения вредоносного ПО среди их клиентов.
APT злоупотребляла ERP и доступом к удаленному рабочему столу для развертывания бэкдоров Cxclnt и Clntend.
Последующие действия на этапе постэксплуатации включали повышение привилегий, установление постоянства, отключение антивирусного ПО и сбор информации.
Основная функциональность CXCLNT обеспечивается модульной системов плагинов, которые после выполнения доставляются с С2, динамически расширия возможности.
CXCLNT используется в атаках, по крайней мере, с 2022 года, а CLNTEND, впервые обнаруженный в 2024 году, является его преемником и поставляется с расширенным набором функций.
Кампания VENOM, согласно Trend Micro, характеризуется использованием уязвимостей веб-серверов для развертывания веб-оболочек, реализации доступа для установки RAT и обеспечения постоянного доступа к скомпрометированным хостам, а также использованием опенсорсных инструментов REVSOCK и Sliver.
После чего злоумышленники использовали украденные учетные данные жертв для проведения атак на нижестоящих клиентов.
В дополнение к Cxclnt и Clntend, Earth Ammit использовала кастомизированные инструменты, такие как Screencap (инструмент захвата экрана) и Venfrpc в кампании VENOM (быстрый обратный прокси), оба адаптированные из утилит, доступных на GitHub.
Связь между VENOM и TIDRONE обусловлена общей виктимологией и инфраструктуры С2.
При этом, как отмечает Trend Micro, TTPs группы напоминают те, что использует другая китайская APT Dalbit (m00nlight), что указывает на общий набор инструментов.
В общем, исследователи обращают внимание на интересную особенность: актор полагается изначально на недорогие малорисковые инструменты для установления доступа, а затем задействует индивидуальные возможности для реализации более целенаправленных и эффективных вторжений.
Intel, AMD и Arm представили свои рекомендации по безопасности в рамках Patch Tuesday, информируя клиентов о недавно обнаруженных уязвимостях в их продуктах, в том числе связанных с недавно раскрытыми атаками на процессоры.
Одна из таких была раскрыта на неделе исследователями швейцарского университета ETH Zurich, обнаружившими проблему внедрения привилегий ветвления (CVE-2024-45332), которая, реализует всю мощь атак внедрения ветвления цели (Spectre-BTI) на Intel.
Исследователи утверждают, что, хотя средства защиты Spectre-BTI (также известные как Spectre v2) от Intel работали почти шесть лет, теперь им удалось найти способ их обхода их из-за состояния гонки, влияющего на процессоры Intel.
Атаки типа Spectre позволяют злоумышленнику, имеющему доступ к целевой системе, получить потенциально ценную информацию из памяти, включая ключи шифрования и пароли.
В своем бюллетене Intel отметила, что выпускает обновления микрокода для смягчения уязвимости CVE-2024-45332, которую она отнесла к проблеме раскрытия конфиденциальной информации.
AMD опубликовала предупреждение для клиентов о том, что, как заявили сами исследователи, эта уязвимость не затрагивает ее процессоры.
Еще одна атака на ЦП была раскрыта на этой же неделе исследователями из голландского университета VU Amsterdam, которые назвали ее Training Solo, открыв три новых класса самообучающихся атак Spectre v2, которые подчеркивают ограничения изоляции домена.
Исследователи разработали два эксплойта, нацеленных на процессоры Intel, которые приводят к утечке памяти ядра со скоростью до 17 Кбит/с, и обнаружили две новые аппаратные уязвимости (CVE-2024-28956 и CVE-2025-24495), которые полностью нарушают изоляцию домена и вновь открывают простор для традиционных атак Spectre-v2 «пользователь-пользователь», «гость-гость» и даже «гость-хост».
В свою очередь, Intel заявила, что выпускает обновления микрокода и предписания для устранения этих уязвимостей.
AMD аналогично отметила в своей рекомендации, что ее процессоры не подвержены этой атаке, чего не скажешь по процессоры Arm.
Производитель чипов сообщил, что проблема не новая, но тем не менее руководство по безопасности все же было обновлено, более четко обозначая риски.
В целом, Intel выкатила 25 новых рекомендаций, охватывающих десятки уязвимостей, обнаруженных в ее продуктах.
Устранены уязвимости высокой степени серьезности, которые могут привести к раскрытию информации, DoS или EoP в Tiber Edge Platform, Graphics and Graphics Driver, Server Board, PROSet/Wireless, Gaudi, Xeon, Ethernet Network Adapter, Slim Bootloader и Simics Package Manager.
Проблемы средней степени серьезности были исправлены в Intel RealSense, Ethernet Network Adapter, Ethernet Connections Boot Utility, oneAPI Level Zero, OpenVINO, Advisor, Endurance Gaming Mode, Arc GPU, Core и Xeon CPU, oneAPI DPC++/C++ Compiler и QuickAssist Technology.
AMD представила также еще три новых бюллетеня. Один из них охватывает четыре уязвимости высокой степени серьезности в AMD Manageability Tools - их эксплуатация может привести к EoP и потенциальному RCE.
В другом сообщении описываются две уязвимости высокой степени серьезности в библиотеках AMD Optimizing CPU Libraries (AOCL), которые также могут быть использованы для EoP и, возможно, RCE.
В последнем - описывается проблема средней степени серьезности в uProf, которая может быть использована для удаления произвольных файлов.
Samsung пофиксила критическую уязвимость безопасности в MagicINFO 9 Server, которая активно эксплуатируется в дикой природе.
Уязвимость отслеживается как CVE-2025-4632 (CVSS: 9,8) и связана с обходом пути, затрагивая все версии до 21.1052 и позволяя злоумышленникам записывать произвольные файлы от имени системы.
Стоит отметить, что CVE-2025-4632 - это обходной патч для CVE-2024-7399, другой уязвимости обхода пути в том же продукте, исправленной Samsung в августе 2024 года.
После публикации 30 апреля 2025 года исследователями SSD Disclosure прототипа PoC CVE-2025-4632 стала активно эксплуатироваться в реальных условиях, в некоторых случаях даже для развертывания ботнета Mirai.
Первоначально предполагалось, что атаки были нацелены на изначальную уязвимость CVE-2024-7399.
Однако на прошлой неделе Huntress выявила первопричину и сообщила о неисправленной уязвимости, обнаружив признаки ее эксплуатации на экземплярах MagicINFO 9 Server, работающих под управлением последней версии 21.1050.
В своем последующем отчете от 9 мая исследователи Huntress упомянули о трех различных инцидентах, связанных с CVE-2025-4632.
Причем неопознанные злоумышленники запускали идентичный набор команд для загрузки дополнительных полезных нагрузок srvany.exe и services.exe на двух хостах и выполняли разведку на третьем.
Пользователям сервера Samsung MagicINFO 9 рекомендуется как можно скорее применить последние исправления, дабы не продолжить пополнять список раскрытых на текущий момент жертв.
Критическая уязвимость dMSA в Windows Server 2025, связанная с повышением привилегий, открывает путь для компрометации любого пользователя в Active Directory (AD).
Выявившие уязвимость исследователи Akamai отмечают, что атака, названная BadSuccessor, использует функцию dMSA, которая представлена в Windows Server 2025, работает с конфигурацией по умолчанию и проста в реализации.
Проблема, вероятно, затрагивает большинство организаций, использующих AD. В 91% исследованных сред обнаружились пользователи, не входящие в группу администраторов домена, у которых были необходимые разрешения для выполнения этой атаки.
Примечательным аспектом атаки является задействование новой функции под названием Delegated Managed Service Accounts (dMSA), которая позволяет выполнять миграцию с существующей устаревшей учетной записи службы.
Она была введена в Windows Server 2025 как смягчение атак Kerberoasting.
dMSA позволяет пользователям создавать их как автономную учетную запись или заменять существующую стандартную учетную запись службы.
Когда dMSA заменяет существующую учетную запись, аутентификация этой существующей учетной записи с использованием ее пароля блокируется.
Запрос перенаправляется в LSA для аутентификации с использованием dMSA, который имеет доступ ко всему, к чему предыдущая учетная запись могла получить доступ в AD.
Во время миграции dMSA автоматически узнает об устройствах, на которых будет использоваться учетная запись службы, которая затем используется для перемещения из всех существующих учетных записей служб.
Проблема, выявленная Akamai, связана с тем, что на этапе аутентификации dMSA Kerberos сертификат атрибутов привилегий (PAC), выданный KDC, включает как идентификатор безопасности dMSAs (SID), так и SID замененной учетной записи службы и всех связанных с ней групп.
Такая передача разрешений между учетными записями может открыть путь к потенциальному EoP-сценарию путем имитации процесса миграции dMSA с целью компрометации любого пользователя, включая администраторов домена, и получения аналогичных привилегий, что фактически нарушит безопасность всего домена, даже если домен организации Windows Server 2025 вообще не использует dMSA.
Один интересный факт об этой технике «симулированной миграции» заключается в том, что она не требует никаких разрешений на заменяемую учетную запись. Единственное требование - записать разрешения на атрибуты dMSA (любого).
После того, как dMSA отмечается как предшествующую пользователю, KDC автоматически предполагает, что произошла законная миграция и предоставляет dMSA все разрешения, которые имел исходный пользователь, как будто являясь его законным преемником.
Akamai сообщила о результатах исследования в Microsoft 1 апреля 2025 года, но там традиционно классифицировали проблему как среднюю по степени серьезности и не требующую немедленного реагирования из-за того, что для успешной эксплуатации злоумышленнику необходимо иметь определенные разрешения на объект dMSA.
Тем не менее, в настоящее время ведет работу над исправлением.
Учитывая, что сиюминутного решения для блокирования атаки нет, Akamai рекомендует организациям ограничить возможность создания dMSA и ужесточить разрешения везде, где это возможно, а также использовать разработанный ею скрипт.
В целом, как отмечают исследователи, уязвимость открывает ранее неизвестный и эффективный путь злоупотребления, позволяющий любому пользователю с разрешениями CreateChild скомпрометировать любого другого в домене, получив полномочия, аналогичные привилегии Replication Directory Changes, используемым для выполнения атак DCSync.
Исследователи Acronis сообщают о новой кампании сообщают о новой камобъектами которой стали высшие правительственные учреждения Шри-Ланки, Бангладеш и Пакистана.
Злоумышленники использовали фишинговые письма в сочетании с геозонированными полезными нагрузками, обеспечивая реализацию вредоносного контента исключительно жертвам в определенных странах.
Цепочки атак задействовали фишинговые приманки в качестве отправной точки для активации процесса заражения и развертывания известного вредоносного ПО - StealerBot.
Исследователи отмечают, что modus operandi полностью соответствует недавним атакам SideWinder, задокументированным Лабораторией Касперского в марте 2025 года.
По данным Acronis, в число целей вошли: Комиссия по регулированию телекоммуникаций Бангладеш, минобороны и минфин, директорат по техническому развитию Пакистана, департамент внешних ресурсов, казначейство, минобороны и Центробанк Шри-Ланки.
Атаки характеризуются использованием многолетних RCE-уязвимостей в Microsoft Office (CVE-2017-0199 и CVE-2017-11882) в качестве начальных векторов для развертывания вредоносного ПО, реализующего постоянный доступ в правительственных средах по всей Южной Азии.
При открытии вредоносных документов активируется эксплойт для CVE-2017-0199, который доставляет полезные нагрузки следующего этапа, отвечающие за установку StealerBot с помощью методов загрузки DLL-библиотек.
Одна из примечательных тактик SideWinder заключается в том, что фишинговые письма связаны с геозонированными полезными нагрузками, гарантирующими соответствующие критерии таргетинга.
В случае, если IP-адрес жертвы не совпадает, вместо него отправляется пустой файл RTF в качестве приманки.
Вредоносная полезная нагрузка представляет собой RTF-файл, который использует уязвимость CVE-2017-11882, приводящую к повреждению памяти в редакторе формул, для запуска загрузчика на основе шелл-кода, который запускает вредоносное ПО StealerBot.
По данным Лаборатории Касперского, StealerBot - это .NET-имплант, разработанный для установки дополнительного вредоносного ПО, запуска обратной оболочки и сбора широкого спектра данных со скомпрометированных хостов, включая снимки экрана, нажатия клавиш, пароли и файлы.
SideWinder демонстрирует устойчивую активность в течение долгого времени, поддерживая стабильный темп работы без длительного бездействия - модель, которая отражает организационную преемственность и устойчивые намерения.
Более подробный анализ TTPs демонстрирует высокую степень контроля и точности, гарантирующую доставку вредоносных данных только тщательно выбранным целям и зачастую исключительно в течение ограниченного периода времени.
Мобильный оператор связи Cellcom из Висконсина столкнулся с серьезным киберинцилентом, который привел к масштабной приостановке реализации услуг связи и техническим сбоям, начиная с 14 мая 2025 года.
Инцидент привел к нарушениям работы голосовых и SMS-сервисов для клиентов в Висконсине и Верхнем Мичигане, в результате чего абоненты лишились возможности совершать телефонные звонки или отправлять текстовые сообщения.
Первоначально Cellcom заявляла, что сбой был вызван технической проблемой, отметив, что службы передачи данных, iMessage, обмена сообщениями RCS и экстренной службы 911 продолжают функционировать.
После длительного замалчивания реальных проблем на днях гендиректор Cellcom Бригид Риордан признала, что компания подверглась кибератаке.
Как он отметил в своем заявлении, были активированы соответствующие протоколы на случай подобных ситуаций, включая привлечение сторонних экспертов по кибербезу, ФБР и должностных лиц штата Висконсин, а также восстановлению инфраструктуры.
Предварительно, инцидент не затрону системы, где хранится конфиденциальная личная информация, связанная с клиентами и Cellcom/Nsight.
По состоянию на 19 мая Cellcom постепенно начала возобновлять работу некоторых своих услуг, включая отправку текстовых сообщений SMS, а также совершение и прием телефонных звонков другим абонентам Cellcom.
Однако компания обещает (но с оговоркой), что услуги будут восстановлены в полном объеме к концу недели. Однако график восстановления с точными датами все еще отсутствует.
Несмотря на то, что в Cellcom не раскрывают подробностей инцидента, по всей видимости, речь идет о ransomware, и, пожалуй, это достаточно редкий случай, когда подобная атака повлияла на операционный сегмент в столь критической отрасли, как связь.
Многоэпизодный сериал Ivanti продолжается и в новой серии в главной роли - исследователи Wiz, которые задетектили активную эксплуатацию двух недавно исправленных уязвимостей Endpoint Manager Mobile (EPMM).
CVE-2025-4427 и CVE-2025-4428 связаны с обходом аутентификации и RCE после аутентификации и имеют средний уровень серьезности. Они были обнаружены в двух библиотеках с открытым исходным кодом, интегрированных в EPMM.
Ivanti выпустила исправления для обеих ошибок 13 мая, предупредив об эксплуатации в0-day в отношении ограниченного числа клиентов и отметив снижение риска компрометации, если для фильтрации доступа к API используется функциональность ACL на портале или внешний WAF.
В свою очередь, Wiz поясниют, что обход аутентификации возникает в виду того, что конфигурация маршрутов EPMM не обрабатывает запросы должным образом, открывая маршруты без аутентификации из-за отсутствующих правил в конфигурации безопасности фреймворка Spring.
Ошибка RCE вызвана тем, что вводимые пользователем данные в сообщениях об ошибках обрабатываются небезопасно при обработке с помощью функции Spring, что позволяет злоумышленнику создать параметр формата и выполнить произвольный код Java.
По словам Wiz, несмотря на среднюю степень серьезности каждой из двух ошибок из двух ошибок, их сочетание следует рассматривать как критическую угрозу безопасности.
Эти недостатки, возникающие из-за небезопасного использования языка выражений Java в сообщениях об ошибках и неправильно настроенной маршрутизации, могут быть использованы совместно для достижения неаутентифицированного RCE.
Исследователи наблюдает продолжающуюся эксплуатацию этих уязвимостей, начиная с 16 мая, после того как был опубликован PoC.
Wiz идентифицировала несколько полезных нагрузок, развернутых в ходе наблюдаемых атак, включая маяк Sliver, подключающийся к IP-адресу С2, ранее связанному с эксплуатацией других уязвимых устройств, включая продукты Palo Alto Networks, работающие под управлением PAN-OS.
Похоже, что IP все еще используется злоумышленником, поскольку его сертификат не менялся с ноября 2024 года. Эта преемственность позволяет сделать вывод, что один и тот же злоумышленник намеренно атаковал как устройства PAN-OS, так и Ivanti EPMM.
Организациям рекомендуется обновить свои развертывания Ivanti EPMM до одной из исправленных версий, в том числе 11.12.0.5, 12.3.0.2, 12.4.0.2 и 12.5.0.1. В общем, будем следить, попкорном запаслись.
Билдер, партнерская панель и исходники DLS запущенной в марте 2025 года и поддерживающей Windows, Linux, BSD, ARM и ESXi программы-вымогателя VanHelsing просочился в паблик на RAMP.
Началось все с того, как th30c0der попытался продать исходный код партнерской панели VanHelsing и Tor-сайтов DLS, а также сборщики шифровальщиков для Windows и Linux, включая кайловый сервер и базу данных, за 10 000 долларов.
Как первым отметил Эмануэле Де Люсия, участники VanHelsing решили обойти продавца, также опубликовав исходный код и заявив, что th30c0der - это один из их старых разработчиков, намеревающийся кинуть участников форума.
Позже выяснилось, что просочившиеся данные неполны по сравнению с тем, что, по словам th30c0der, у них есть, поскольку они не включают в себя сборщик Linux или ряд баз данных, которые были бы гораздо полезнее для правоохранителей и исследователей.
В свою очередь, исследователи изучив утечку подтверждают, что она содержит легитимный конструктор для шифратора Windows, а также исходный код для партнерской панели и сайта утечки данных.
Исходный код сборщика при этом достаточно запутан: файлы проекта Visual Studio находятся в папке «Release», которая обычно используется для хранения скомпилированных двоичных файлов и артефактов сборки.
После завершения работы над сборщиком VanHelsing потребуется проделать некоторую работу, поскольку он подключается к партнерской панели, которая работала под управлением 31.222.238[.]208, для получения данных, используемых в процессе сборки.
Тем не менее утечка также включает в себя исходный код партнерской панели, на которой размещена конечная точка api.php, поэтому злоумышленники могут изменить код или запустить собственную версию этой панели, чтобы заставить конструктор работать.
Архив также содержит исходный код шифратора Windows, который можно использовать для создания отдельной сборки, дешифратора и загрузчика.
Утечка исходного кода также показала, что злоумышленники пытались создать блокировщик MBR, который заменил бы основную загрузочную запись на специальный загрузчик, отображающий сообщение о блокировке.
Банда VanHelsing действует уже почти два месяца и набрала всего восемь жертв, согласно Ransomware.live.
Несмотря на все сложности с утечкой, банда обещает перезапуститься и вернуться с новой и улучшенной версией локера VanHelsing 2.0.
Игровые методы обучения корпоративного персонала основам информационной безопасности
Читать полностью…Фонд «Центр стратегических разработок» (ЦСР) представил результаты ежегодного исследования рынка систем управления базами данных (СУБД) и инструментов обработки данных за 2024 год.
По словам генерального директора ЦСР Екатерины Кваша, ожидается значительное увеличение объема отечественного рынка СУБД к 2031 году, который превысит 251 млрд. руб.
При этом среднегодовой темп роста в России до 2031 год будет на уровне мирового и составит порядка 16%.
Как отмечают в ЦСР, 2024 год можно назвать поворотным для российского ИТ-рынка в целом, прежде всего, по части беспрецедентного роста и высокой степени зрелости отечественной цифровой экосистемы.
Совокупный объём продаж российских ИТ-решений (оборудования, программного обеспечения, услуг и прочего) достиг 4,5 трлн рублей.
По результатам исследования, на конец 2024 года российский рынок СУБД достиг 89,5 млрд рублей, что на 14% больше, чем в предыдущем.
Аналогично предыдущему году в сфере продаж преобладает СУБД общего назначения - 48%, за ними следуют аналитические - 32%.
В структуре рынка доминирует ПО - его доля составляет 78%, остальное приходится на долю услуг 22% (в годом исчислении увеличилась ненамного).
В числе лидеров рынка СУБД по итогам 2024 года эксперты выделили такие компании, как PostgresPro, Группа Arenadata, DIS Group, Yandex Cloud и Тантор Лабс.
Почти во всех компаниях отмечается рост выручки.
В период с 2024 по 2027 год ожидается стремительный рост рынка на уровне 21,6%. Однако после 2027 года темпы роста замедлятся до 11,9%, что будет соответствовать общемировым показателям.
Это связано с тем, что до 2027 года основным фактором роста будут процессы импортозамещения. Далее рост продолжится за счет увеличения объема генерируемых данных и развития технологий ИИ.
Что касается западного софта, то его доля на рынке продолжит уменьшаться и к 2031 году составит примерно 1% от общего объёма новых продаж.
При этом ПО российских поставщиков будет активно развиваться и к 2031 году может занять до 99% рынка.
Кроме того, по итогам опроса представителей отрасли выявлено, доля иностранных решений, которые уже были установлены и применяются на объектах российских заказчиков на конец 2024 года составляет 60%.
По мнению экспертов ЦСР, росту рыночной доли российских продуктов будет способствовать стабильный спрос на замену западных программ, повышение зрелости продуктов и команд за счет растущего опыта реализации новых больших проектов.
Немаловажными факторами будут также выступать всесторонняя господдержка, применение в российских продуктах опенсорсных решений, растущие запросы клиентов и требования регуляторов.
В целом, получилось весьма востребованное для IT-отрасли исследование с понятными выводами и прогнозами, что весьма актуально для понимания перспектив развития отечественной индустрии.
Инфографика и детальный разбор основных трендов - в исследовании.
DDoSerets (Distributed Denial of Secrets) анонсировала доступ для исследователей и журналистов к базе данных в 410 ГБ, включающей переписку и метаданные пользователей TeleMessage, который фигурировал в недавнем скандале с советником по нацбезу США Майком Уолтцем.
Компания, принадлежащая Smarsh, разработчику из Портленда, реализует программное обеспечение для приложений, орсиентрорвоанных на зашифрованный обмен сообщениями, в том числе Signal и WhatsApp. Клон Signal называется TM SGNL.
Компания специализируется на комплексном архивировании и имеет необходимую сертификацию соответствия регуляторным требованиям для таких отраслей, как правоохранительный блок, юриспруденция, госсектор и финансы.
Утечка потенциально может также раскрыть и других должностных лиц, поскольку приложение использовало серверы Signal и сохраняло копии сообщений в виде простого текста.
Для большей простоты работы с архивом DDoSerets извлекла из него все текстовые данные, включая информацию об отправителе и получателе, временные метки и имена групп.
Компания предоставляет доступ к данным только лишь журналистам и исследователям в виду наличия в наборе данных персонально идентифицируемой информации, «а также включения групп и сообщений, не связанных с деятельностью правительства или корпораций».
Модифицированный клиент Signal был взломан 4 мая 2025 года и, как известно, активно использовалась высокопоставленными чиновниками администрации Трампа, а также федеральным правительством - как минимум с февраля 2023.
Уолтц был отстранен от должности советника по национальной безопасности после того, как он случайно добавил журналиста Джеффри Голдберга в секретный групповой чат Signal, где высшие должностные лица обсуждали предстоящие удары США по целям хуситов в Йемене 15 марта.
Согласно источникам СМИ, злоумышленник воспользовался уязвимостью в TeleMessage, получив доступ к внутренней инфраструктуре, что позволило сдампить сообщения пользователей. При этом хакерам потребовалось для этого менее 20 минут.
По словам журналиста Мики Ли, после того, как в марте случился SignalGate, 3 мая исходный код TM SGNL попал на GitHub, спустя три дня TeleMessage взломали, а 5 мая снова был взломан кем-то другим (согласно NBC News).
На следующий день анализ исходного кода TM SGNL, а также некоторых взломанных данных, показал, что TeleMessage вопреки своим заявлениям о сквозном шифровании, и в отличие от оригинального Signal, в реальности не имел такого функционала, сохраняя все в текстовом виде на сервере.
CISA добавила уязвимость TeleMessage, CVE-2025-47729, в каталог KEV, утверждая, что архивный бэкэнд TeleMessage по состоянию на 5 мая 2025 хранил открытые текстовые копии сообщений пользователей приложения TM SGNL (Archive Signal), что не соответствует документации ПО.
По всей видимости, SignalGate только набирает обороты и в самое ближайшее время могут появиться новые более скандальные инфоповоды.
Будем следить.
Прикупив поддержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen.
При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.
После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.
Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.
Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).
Volkswagen устранила выявленные уязвимости в своем мобильном приложении, которые позволяли злоумышленникам взламывать учетные записи пользователей, доставать широкий спектр данных по автомобилю и информацию в отношении его владельцев.
Автопроизводителя уведомили 23 ноября 2024 года, после чего в течение трех месяцев Volkswagen волокитила тикет, а по итогу заставила подписать исследователя NDA и к 6 мая устранила все косяки.
Но один все же остался - Вишал так и не получил вознагражаления.
Разработчик мобильных приложений Дэвид Уитли обнаружил серьезные уязвимости в реализации телекоммуникационной сети оператора O2, связанные с внедрением Voice over LTE (VoLTE) с использованием стандарта IP Multimedia Subsystem (IMS).
Как удалось выяснить, британская телекоммуникационная компания неправильно настроила свою сеть 4G, чт привело к утечке конфиденциальные данные клиентов и их геолокацию.
Трафик сети VoLTE раскрывал необработанные данные, включая IMEI и IMSI, а также данные о вышках сотовой связи для каждого телефонного соединения.
Причем, свою первую услугу IMS компания O2 UK запустила еще 27 марта 2017 года.
По словам Дэвида Уитли, эти данные можно было использовать для снятия фингерпринтов с устройств и определения геолокации пользователей O2, попросту совершая звонки на их телефонные номера.
Для нейтрализации вектора потенциальных, как отметил разработчик, O2 следовало бы удалить определенные заголовки из всех сообщений IMS/SIP, обеспечив таки образом конфиденциальность и безопасность клиентов.
Злоумышленник, имеющий даже базовые знания о мобильных сетях, сможет легко обнаружить любого клиента O2, который при этом не будет иметь возможности как-либо защититься, ведь отключение 4G Calling не предотвращает раскрытие этих заголовков.
Как обычно, больше вопросов вызывает не сама уязвимость, а реакция оператора O2, которого уведомили о проблеме в марте, но исправить ситуацию удалось лишь после публичной огласки, буквально сегодня.
Настало время очередного этапа Pwn2Own, на этот раз Berlin 2025, в первый день которого исследователи смогли заработать 260 000 долларов после успешной реализации 0-day эксплойтов для Windows 11, Red Hat Linux и Oracle VirtualBox.
Red Hat Enterprise Linux для рабочих станций стал первым, залетев в категорию локального EoP после того, как Pumpkin из исследовательской группы DEVCORE смог воспользоваться уязвимостью переполнения целочисленного значения и заработать 20 000 долларов.
Хёнву Ким и Вонги Ли также достигли прав root на устройстве Red Hat Linux, связав ошибки использования после освобождения и раскрытия информации (при этом одной из эксплуатируемых была N-day), которая привела к столкновению ошибок.
Затем Чэнь Ле Ци из STARLabs SG увел 30 000 долларов за демонстрацию цепочки эксплойтов, объединяющей использование памяти после освобождения и целочисленное переполнение для EoP до SYSTEM в системе Windows 11.
Windows 11 затем была взломана дважды в части повышения привилегий Марцином Вионзовски, который задействовал уязвимость записи за пределами выделенного буфера памяти, и Хёнджином Чоем, продемонстрировавшим 0-day, связанную с путаницей типов.
Команда Prison Break заработала 40 000 долларов после демонстрации цепочки эксплойтов на основе целочисленного переполнения для выхода из Oracle VirtualBox и выполнения кода в базовой ОС.
Сина Кхейрха из Summoning Team получила еще 35 000 долларов за 0-day Chroma и уже известную уязвимость в Triton от Nvidia, а Билли и Рамдхан из STARLabs SG - 60 000 долларов за обход Docker Desktop и выполнение кода в базовой ОС с использованием 0-day (use-after-free).
После того, как нули будут продемонстрированы и раскрыты в ходе Pwn2Own, у поставщиков будет 90 дней на выпуск исправлений для своих программных и аппаратных продуктов.
Участники очередного Pwn2Own нацелены на полностью пропатченные продукты в категориях ИИ, браузеров, виртуализации, локального повышения привилегий, серверов, корпоративных приложений, облачных/контейнерных приложений и автомобильной промышленности.
👾 Самая дорогостоящая малварь.
• 26 января 2004 в России был зафиксирован первый случай заражения новой малварью, которую назвали MyDoom. Всего за неделю, распространяясь через электронную почту, MyDoom поразил до 500 тысяч компьютеров по всему миру. Этот червь стал настоящим рекордсменом по скорости распространения и даже умудрился частично парализовать работу поисковых систем (Google, Yahoo!, AltaVista и Lycos), а на пике активности исходящий от MyDoom спам снизил мировой интернет-трафик на 10 процентов. В то время MyDoom генерировал 16-25% от общего числа всех писем в мире.
• В 2011 году эксперты McAfee и вовсе признали MyDoom самой «дорогой» малварью в истории: убытки, связанные с потерей производительности и прекращением торговли в связи с заражением вирусом в результате крупных спам-кампаний, в конечном итоге составили 38 миллиардов долларов.
• MyDoom распространяется через электронные письма с вредоносными вложениями. На каждой новой зараженной машине малварь ищет новые email-адреса в различных файлах, а затем рассылает свои копии по всем обнаруженным адресам. При этом спам маскируется, к примеру, под уведомления о неудачной доставке сообщения, или тема письма может содержать случайные символы и слова «hello
», «hi
» и так далее. Казалось бы, такие приманки можно отнести к числу самых примитивных, но они работают по сей день.
• В период с 2015 по 2018 год порядка 1,1% всех электронных писем с вредоносными вложениями содержали червя именно MyDoom. Жертвами таких вредоносных рассылок становятся компании из самых разных отраслей, начиная от высоких технологий, оптовой и розничной торговли, до здравоохранения, образования и производства.
• В первой половине 2019 года MyDoom даже продемонстрировал небольшой рост количества образцов малвари, а также увеличение количества вредоносных писем, отправляемых и получаемых жертвами. Основными источниками такой корреспонденции являются США, Китай и Великобритания.
• Фактически MyDoom полностью самодостаточен и автономен. Червь может распространяться вечно, до тех пор, пока люди продолжают открывать почтовые вложения.
• Кстати, в самом начале своей активности MyDoom атаковал сайт Microsoft. Червь был слишком мало распространён и потому не нанёс ему серьёзного ущерба. Однако Microsoft назначила свои $250 000 «за голову» его создателя. Эти деньги не нашли получателя — мир так и не узнал, кто создал MyDoom.
➡ https://yourstory.com/MyDoom
S.E. ▪️ infosec.work ▪️ VT
В США крупнейшая сталелитейная корпорация Nucor, входящая в десятку лидеров отрасли в мире, вынуждена была остановить работу в результате инцидента кибербезопасности.
В компании трудоустроено более 32 000 сотрудников на боле чем 20 заводах в США, Мексике и Канаде, а ее выручка за первый квартал года составила 7,83 миллиарда долларов.
Продукция широко реализуется в строительстве, мостостроении, дорожном хозяйстве, обеспечивая функционирования критически важной инфраструктуры страны.
Об инциденте стало известно после направления в Комиссию по ценным бумагам и биржам США (SEC) официального уведомления по форме 8-K.
Согласно сообщению инцидент затронул «определённые информационные системы», однако подробности и масштабы бедствия не раскрываются.
Известно, что инцидент был связан с несанкционированным доступом третьих лиц к определенным системам IT-инфраструктуры, используемой Nucor.
После обнаружения инцидента незамедлительно были предприняты меры сдерживания и реагирования, включая упреждающее отключение потенциально затронутых систем и локализацию последствий.
Кроме того, Nucor привлекла правоохранительный блок и сторонних экспертов по кибербезопасности для проведения всестороннего расследования.
Тем не менее, производственные операции в различных локациях корпорации были остановлены и к настоящему времени, как сообщают в Nucor, компания находится в процессе их постепенного перезапуска.
Никаких подробностей о точной дате или характера атаки не разглашается, но судя по всему речь идет об участии банд вымогателей, ни одна из которых, правда, пока на себя ответственность за нападение.
🇺🇸 В американские видеокарты хотят встроить геотрекинг?
Сенатор Том Коттон представил в Конгрессе США законопроект, который кардинально меняет правила экспортного контроля для высокопроизводительных процессоров и графических ускорителей для будущих поставок. Законопроект предусматривает обязательное оснащение "железа" средствами геотрекинга с возможностью физической слежки: прослеживание пути от производителя до конечного пользователя, включая периодическую проверку физического местоположения.
Инициатива направлена на предотвращение передачи передовых чипов странам-противникам. В этом контексте упоминается 🇨🇳 Китай. 🇷🇺РФ не упоминается, но "уважаемые партнеры", как не трудно догадаться, могут передумать в любой момент.
Классификация идет по кодам экспортного контроля 3A090, 4A090, 4A003.z и 3A001.z.
Подпадают все высокопроизводительные процессоры, GPU и сопутствующие системы, перечисленные в четырёх кодах экспортного контроля США (ECCN). Даже обычные ❗️ RTX 5090 входят в лист.
Nvidia, AMD и Intel будут нести ответственность за верификацию факта присутствия оборудования в утверждённой точке назначения. Сама система должна быть способна к😹 "удалённой проверке", но в то же время "не раскрывать коммерчески чувствительную информацию". Охотно верим!
В случае перенаправления партии ИИ-чипов "противникам", компания-экспортёр обязана уведомить Бюро промышленности и безопасности (BIS) Минторга США.
Проект предполагает внедрение дополнительных механизмов поэтапно. В случае принятия законопроекта, в течение первого года Минторг и 🛡 Пентагон проведут совместное исследование, чтобы определить необходимость новых технических требований.
Далее Министерство торговли и 🎖 Министерство обороны США обязуются в течение трёх лет проводить ежегодные оценки эффективности мер и состояния экспортного контроля.
👆Производители встроят что-то вроде “чёрного ящика” с GPS контролем перемещений. Пользователь не сможет его отключить. Технология предполагает удалённую проверку, а также фиксацию 📖“несанкционированных изменений или вмешательство”. Конкретные механизмы не раскрываются, однако реализация планируется на аппаратном уровне, поэтому вместе с обновлением может прилететь "кирпич". Код систем закрыт, спецификации — не публичны.
Фактически в железо будет вшит бэкдор 🤌"аппаратный механизм контроля с закрытым кодом", который кроме геотрекинга технически может выполнять ряд других операций.
Законопроект сенатора Тома Коттона пока только внесён в Сенат. Учитывая масштабы перемен, скорее всего, будут сделаны поправки, отсрочки, а также отдельные исключения для определенных рынков. Эксперты прогнозируют, что история может затянуться не на один год, но, опять же, не факт.
🤔Будем посмотреть...
====
Пояснение: 9 мая 2025 года сенатор Том Коттон внёс в Сенат законопроект под названием Chip Security Act. Конгрессмен Билл Фостер планирует внести аналогичный законопроект в Палату представителей в ближайшее время.
✋ @Russian_OSINT
Google выпустила экстренные обновления для устранения четырех проблем безопасности в браузере Chrome, для одной из которых, по данным поставщика, существует эксплойт в дикой природе.
Уязвимость высокой серьезности отслеживается как CVE-2025-4664 (CVSS: 4,3) и связана с недостаточно неэффективным механизмом применения политики в компоненте под названием Loader в Google Chrome до 136.0.7103.113.
Уязвимость может быть использована удаленным злоумышленником «для утечки данных из разных источников через специально созданную HTML-страницу» и привести к полному захвату аккаунта в случае успешной эксплуатации.
Google приписывает раскрытие недостатка исследователю Solidlab Всеволоду Кокорину (slonser_), представившего описание проблемы в X 5 мая 2025 года, отметив свои осведомленность в существовании эксплойта для CVE-2025-4664 в дикой природе.
Несмотря на отсутствие подробностей, именно такую формулировку Google обычно использует, когда уязвимость Chrome используется для вредоносных атак.
Так что можно считать CVE-2025-4664 второй уязвимостью после CVE-2025-2783, попававшей под «активную эксплуатацию».
Slonser пояснил, что злоумышленник может изменить заголовок Link, который Chrome разрешает в запросах подресурсов, чтобы захватить параметры запроса, содержащие конфиденциальную информацию.
При этом разработчики редко рассматривают возможность кражи параметров запроса через изображение со стороннего ресурса, что делает этот трюк иногда удивительно полезным.
Для защиты от потенциальных угроз рекомендуется обновить браузер Chrome до версий 136.0.7103.113/.114 для Windows и Mac и 136.0.7103.113 для Linux.
Пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправления по мере их появления.