39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Печальные новости для участников хакерского форума Leak Zone.
IP-адреса авторизованных в системе пользователей в составе базы данных ElasticSearch оказались в открытом доступе без пароля и теперь попали в руки исследователей UpGuard, обнаруживших утечку.
Всего в ней в содержалось около 22 миллионов объектов, каждый из которых представлял собой запись веб-запроса с указанием домена, на который был отправлен запрос, IP-адрес пользователя и метаданные (местоположение и интернет-провайдер).
Помимо leakzone[.]net (95% всех записей) в базе фигурировал домен, упоминаемый в 2,7% записей - accountbot[.]io, сайт для продажи взломанных аккаунтов.
Начиная с 2020 года Leak Zone задействовался киберподпольем для реализации различных хакерских утилит, эксплойтов и слитых баз и учетных данных, а теперь и сам стал одной из таких утечек.
Финансовый сектор, промышленность и государственные учреждения остаются в числе главных целей киберпреступников в России.
Это подтверждается как общими наблюдениями, так и конкретными инцидентами, выявленными в ходе работы команды Kaspersky Managed Detection and Response (MDR).
Сервис MDR Лаборатории Касперского помогает компаниям своевременно детектировать и лочить атаки за счёт постоянного мониторинга, анализа телеметрии и выстроенных процессов реагирования.
Тем не менее, эффективность даже самого продвинутого сервиса зависит от полноты охвата инфраструктуры.
Недавний инцидент, связанный с таргетированной атакой на государственные IT-сервисы, в одной из африканских стран это наглядно подтверждает.
Злоумышленники использовали «вшитые» в код вредоносного ПО внутренние сервисы, IP-адреса и прокси-серверы, а одним из C2 стал захваченный сервер SharePoint внутри инфраструктуры заказчика.
Задействовался широкий арсенал инструментов, который включал не только самописное, но и общедоступное ПО (такое как Cobalt Strike).
Для сокрытия своих действий злоумышленники прямо во время атаки адаптировали применяемые техники, например переписывали исполняемые файлы и компилировали их как DLL для DLL sideloading.
Аналитики Kaspersky MDR зафиксировали активность модулей WmiExec и Atexec (набор инструментов Impacket) на хосте, который не был подключен к мониторингу.
После завершения работы модулей атакующие временно затаились, а затем стали проверять наличие защитных решений и использовать уязвимые участки инфраструктуры для дальнейшего распространения атаки.
При этом выявить следы использования Cobalt Strike и другие артефакты удалось лишь после подключения хоста к MDR.
В ходе всестороннего анализа инцидента активность была по итогу атрибутирована к китайской APT41, которая специализируется на кибершпионаже и нацелена на широкий спектр отраслей по меньшей мере в 42 странах. Причем до сих пор Африке APT была наименее активна.
Хотя представленный кейс завершился относительно благополучно, тем не менее он подчёркивает ключевое условие эффективности MDR: безопасность не может быть фрагментарной.
Отсутствие мониторинга хотя бы на одном сегменте инфраструктуры может превратить его в «слепое пятно» и точку входа для атаки. Полнота телеметрии напрямую влияет на своевременность и точность реагирования.
При этом сервис Kaspersky MDR базируется на многолетней экспертизе и глобальной базе знаний об угрозах (Threat Intelligence).
Ежегодно команда публикует подробные аналитические отчёты с актуальной информацией об угрозах и методах защиты.
Один из таких кейсов разобран в недавнем отчете по APT41 в Африке со всеми техническими деталями и IoCs.
По запросу французской прокуратуры на Украине был арестован один из администраторов действующего с 2013 года русскоязычного хакерского форума XSS.
Ресурс широко известен как один из крупнейших в киберподполье: на нем зарегистрировано более 50 000 пользователей.
Как заявляют французские власти, официальное расследование было начато 02 июля 2021 года отделом по борьбе с киберпреступностью прокуратуры Парижа при поддержке местного подразделения по борьбе с киберпреступностью полиции префектуры.
Основные усилия словаков были направлены на документирование киберпреступлений, прежде всего, связанных с ransomware, даже несмотря на то, что в мае 2021 года форум публично запретил все темы по вымогательству.
Согласно сообщениям полиции, основные успехи операции обусловлены тем, что правоохранителям удалось установить контроль за коммуникациями в Jabber.
Полицейским удалось взломать сервер «thesecure.biz» и отслеживать сообщения пользователей платформы.
Перехваченные сообщения позволил выявить многочисленные эпизоды киберпреступлений и атаки с использованием программ-вымогателей, которые принесли руководству платформы не менее 7 млн. долл. в качестве прибыли.
Дальнейший контроль технических каналов связи позволил установить личность предполагаемого администратора форума, оперативная разработка которого, начиная с сентября 2024 года, проводилась уже непосредственно на месте.
Подозреваемый был арестован вчера украинской полицией с участием французских офицеров и при содействии представителей Европола.
Учитывая, что на момент всех публикаций XSS продолжал оставаться в сети, участники форума могут не сомневаться, что среди его админов вполне могли появиться люди в погонах, причем задолго до выхода официальных сообщений.
По всей видимости, XSS может ожидать схема, которую провернули с BreachForum.
Но будем посмотреть.
Недавно исправленные критические RCE-уязвимости в Cisco Identity Services Engine (ISE), о которых мы сообщали, теперь активно используются в реальных атаках.
Соответствующий бюллетень команда Cisco PSIRT соответствующим образом обновила, но не представила каких-либо подробностей.
Ошибки максимальной степени серьезности были впервые раскрыты поставщиком 25 июня 2025 г. (CVE-2025-20281 и CVE-2025-20282) и 16 июля 2025 г. (CVE-2025-20337):
- CVE-2025-20281: RCE без аутентификации в Cisco Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC). Злоумышленник может отправлять специально созданные API-запросы для выполнения произвольных команд с правами root в базовой ОС без аутентификации. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2).
- CVE-2025-20282: связана с неаутентифицированной произвольной загрузкой и выполнением файлов в Cisco ISE и ISE-PIC версии 3.4. Отсутствие проверки файлов позволяет злоумышленникам загружать вредоносные файлы в привилегированные каталоги и выполнять их с правами root. Исправлена в ISE 3.4 (патч 2).
- CVE-2025-20337: RCE без аутентификации в Cisco ISE и ISE-PIC. Эксплуатация возможна через специально созданные запросы API из-за недостаточной проверки входных данных, что позволяет получить root-доступ без учётных данных. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2).
Все три уязвимости имеют максимальную степень серьезности (CVSS: 10,0) и могут эксплуатироваться удаленно без необходимости аутентификации.
Cisco выпустила два отдельных патча для трёх уязвимостей в виду разницы во времени их обнаружения.
Для одновременного устранения всех уязвимостей администраторам рекомендуется: пользователям ISE 3.3 - обновиться до патча 7, а для 3.4 - до патча 2.
Пользователям ISE 3.2 или более ранних версий не нужно предпринимать никаких действий. Обходные пути для уязвимостей отсутствуют.
В связи с активным использованием уязвимостей крайне важно как можно скорее перейти на исправленную версию ПО для устранения возникающих рисков.
Исследователи Expel обнаружили фишинговую кампанию PoisonSeed, которая обходит защиту ключей безопасности FIDO2, используя функцию входа между устройствами в WebAuthn, обманом заставляя пользователей одобрять запросы на аутентификацию входа с фейковых корпоративных порталов.
Злоумышленники PoisonSeed реализуют масштабные фишинговые атаки в рамках кампаний, связанных с финансовым мошенничеством.
Предыдущие рассылки были нацелены на активы в криптокошелках пользователей.
В наблюдаемой фишинговой кампании PoisonSeed не использовали какую-либо уязвимость системы безопасности FIDO2, а вместо этого злоупотребляли легальной функцией аутентификации между устройствами, которая понижает процесс аутентификации ключей FIDO.
Кросс-девайсная аутентификация в WebAuthn позволяет пользователям входить в систему на одном устройстве, используя ключ безопасности или приложение аутентификации на другом.
Вместо физического подключения, например, подключения ключа безопасности, запрос на аутентификацию передаётся между устройствами по Bluetooth или посредством сканирования QR-кода.
Атака начинается с перенаправления пользователей на фишинговый сайт, который выдает себя за корпоративные порталы входа, например, Okta или Microsoft 365.
Когда пользователь вводит свои учетные данные на портале, реализуется AiTM для скрытого входа с предоставленными учетными данными на реальном портале в режиме онлайн.
Пользователь, подвергшийся атаке, обычно использует свои ключи безопасности FIDO2 для проверки запросов MFa.
Однако фишинговый бэкенд вместо этого указывает легитимному порталу входа использовать кросс-девайсную аутентификацию.
Это заставляет легитимный портал генерировать QR-код, который передается обратно на фишинговую страницу и отображается пользователю.
Когда пользователь сканирует этот QR-код с помощью своего смартфона или приложения аутентификации, он одобряет попытку входа в систему, инициированную злоумышленником.
Этот метод эффективно обходит защиту ключей безопасности FIDO2, позволяя злоумышленникам инициировать процесс входа в систему, основанный на аутентификации между устройствами вместо физического ключа FIDO2 пользователя.
Кроме того, Expel также зафиксировала отдельный инцидент, когда злоумышленник зарегистрировал собственный ключ FIDO после компрометации учётной записи, предположительно, с помощью фишинга, и сброса пароля.
Эта атака наглядно демонстрирует, как злоумышленники находят способы обойти аутентификацию, устойчивую к фишингу, обманным путем заставляя пользователей проходить процедуры входа в систему, минуя необходимость физического взаимодействия с ключом безопасности.
Исследователи полагают, что новый метод можно легко перепрофилировать для любого типа целей, которые ранее считались неуязвимыми для фишинга из-за активных ключей FIDO.
Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов жертв, пострадавших в ходе атак Phobos ransomware.
Причем отметим, что упомянутые вчера японские правоохранители, как нам подсказали, выкатили код с ошибками. А рабочий инструмент от F6 можно скачать на GitHub.
Более 1000 доступных в сети экземпляров CrushFTP уязвимы для атак, нацеленных на критическую 0-day, которая фактически открывает административный доступ к веб-интерфейсу.
CVE-2025-54309 (оценка CVSS 9,0) вызвана неправильной проверкой AS2 и затрагивает все версии CrushFTP ниже 10.8.5 и 11.3.4_23. Исправления были включены в версии CrushFTP 10.8.5_12 и 11.3.4_26.
19 июля поставщик отметил уязвимость как активно эксплуатируемую, не исключая при этом, что атаки могли начаться еще раньше, но доказательств, подтверждающих это предположение пока получено.
По данным CrushFTP, дефект присутствовал в сборках, выпущенных до 1 июля, и был исправлен в последних версиях программного обеспечения, хотя вектор атаки с HTTP(S) не был устранен.
Как отмечают разработчики, хакеры, по-видимому, увидели изменени в коде и нашли способ воспользоваться предыдущей ошибкой, связанной с AS2 в HTTP(S).
По данным компании, риску эксплуатации подвержены только те экземпляры, которые не используют DMZ перед приложением.
По данным Shadowserver, около 1040 экземпляров CrushFTP по-прежнему остаются без исправлений CVE-2025-54309 в уязвимом для атак состоянии.
Пока неясно, задействовалось ли в ходе начавшихся атак вредоносное ПО или наблюдалась ли кража данных, но в последние годы решения для управляемой передачи файлов, включая CrushFTP, не раз становились целями банд вымогателей.
Как это было в случае с Clop, которая успела провернуть на этом направлении ряд серьезных резонансных кампаний, нацеленных на нули в Accelion FTA, GoAnywhere MFT, MOVEit Transfer и, совсем недавно, в ПО Cleo.
В апреле 2024 года другая активно эксплуатируемая 0-day в CrushFTP использовалась в APT-атаках в отношении американских компаний, о чем тогда сообщали исследователи CrowdStrike.
👮 Офис Национальной Разведки США официально признал, что история о взломе системы подсчёта голосов и вмешательство 🇷🇺 "русских хакеров" в выборы 2016 является выдумкой
На официальном сайте🎩Офиса Директора Национальной Разведки США (ODNI) появились рассекреченные материалы по делу о так называемом вмешательстве "русских хакеров" в выборы в 2016 года.
Чтобы лучше понимать общую картину: Офис Директора Национальной Разведки США (ODNI) является центральным координационным органом всего разведывательного сообщества США (IC, Intelligence Community). Он занимает самую высокую позицию в иерархии разведывательного сообщества США. Фактически 🇺🇸ЦРУ, 🇺🇸АНБ, 🇺🇸ФБР и 🎖военная разведка (DIA) координируются именно ODNI.
Нежданно-негаданно в "Declassified Evidence of Obama Administration Conspiracy to Subvert President Trump’s 2016 Victory and Presidency" сказано следующее:
🔻 Разведывательное сообщество США, включая ЦРУ, ФБР и АНБ, в своих последовательных оценках, начиная с сентября 2016 года и заканчивая итоговым докладом в январе 2017 года (ICA 2017-01), приходит к единому и недвусмысленному выводу о том, что прямых свидетельств того, что 🇷🇺🎃российские ❗️кибероперации были направлены на изменение итогов голосования или привели к манипуляции системами подсчета голосов, обнаружено не было.
...actors targeted or compromised were not involved in vote tallying.
Директор национальной разведки США:
В течение нескольких месяцев, предшествовавших выборам 2016 года, разведывательное сообщество придерживалось единодушного мнения: у России не было ни намерения, ни возможностей для взлома выборов в США.
Но спустя несколько недель после исторической победы президента Трампа над Хиллари Клинтон в 2016 году все изменилось.
Чиновники Обамы немедленно обратились к своим союзникам в СМИ, чтобы распространить свои ложные заявления. Анонимные источники в разведке передали секретную информацию газете «Вашингтон пост» и другим изданиям о том, что Россия вмешалась, чтобы повлиять на выборы в пользу Трампа.
8 декабря 2016 года сотрудники Независимой разведки подготовили оценку для ежедневного брифинга президента, в которой установили, что Россия «не повлияла на результаты последних выборов в США» путем проведения кибератак на инфраструктуру.
В этих документах подробно описывается предательский заговор чиновников высшего ранга Белого дома Обамы с целью подорвать волю американского народа и попытаться отстранить президента от исполнения его полномочий.
Те, кто продал эту ложь [историю про русских хакеров] американскому народу, стали теми же злодеями, которых они сами и придумали.
Исследователи BI.ZONE сообщают об обнаружении серии фишинговых писем с вредоносными вложениями, нацеленных на российские компании в сфере здравоохранения и IT.
Злоумышленники рассылали письма с подлинных, но скомпрометированных почтовых адресов реальных компаний.
При этом использовали методы маскировки, в частности polyglot-файлы, что позволяет с большей вероятностью пройти фильтры и доставить фишинговое письмо.
Проанализировав вредоносные файлы, исследователи приписали атаки кластеру Rainbow Hyena. Кроме того, обнаружили новый инструмент в арсенале злоумышленников - самописный бэкдор PhantomRemote.
Атакующие практически отказались от распространения вредоносных документов, предпочитая альтернативные форматы, в том числе LNK‑файлы. В наблюдаемой рассылке фигурировали следующие: «Транспортная накладная ТТН № 391‑44 от 26.06.2025», «Договор РН83‑371».
К письмам были приложены polyglot‑файлы с расширением .zip. Файлы представляли собой динамически подключаемую библиотеку формата PE32+, содержащую отвлекающий документ и ZIP‑архив с LNK‑файлом.
LNK из архива выполнял поиск и запуск обнаруженного polyglot‑файла с помощью rundll32.exe, вызывая экспортируемую функцию EntryPoint и извлекая отвлекающий документ.
Для этого считывалось определенное количество байтов по заданному смещению в polyglot‑файле, затем - сохранение отвлекающего документа в %TEMP% с последующим открытием с помощью команды cmd /c start.
В свою очередь, бэкдор PhantomRemote представляет собой динамически подключаемую библиотеку (DLL) формата PE32+, реализованную на C++.
PhantomRemote собирает информацию о скомпрометированной системе, загружает с сервера атакующих другие исполняемые файлы, а также выполняет команды в интерпретаторе командной строки cmd.exe.
Коммуникация с C2 осуществляется по HTTP, используя GET- и POST‑запросы.
Индикаторы компрометации и технический разбор PhantomRemote - в отчете.
Исследователи из Лаборатории Касперского раскрыли подробности обнаруженной в рамках IR кампании, нацеленной на инфраструктуру Microsoft Exchange в Азии с задействованием бэкдора, получившего название GhostContainer.
Анализ журналов указывает на то, что исследованный сервер, вероятно, был скомпрометирован из-за известной N-day.
Предполагается, что в атаках могла использоваться RCE-ошибка в Exchange Server (CVE-2020-0688 с CVSS: 8,8).
Углубленное изучение вредоносного ПО привело к идентификации сложного многофункционального бэкдора, который можно динамически расширять, добавляя произвольные функции посредством загрузки дополнительных модулей.
При этом злоумышленники использовали несколько проектов с открытым исходным кодом для создания этого бэкдора.
Вредоносное ПО использует различные методы уклонения и маскируется под обычный компонент сервера, чтобы не выделяться на фоне обычных процессов.
После загрузки GhostContainer обеспечивает злоумышленникам полный контроль над сервером Exchange, что позволяет им выполнять ряд вредоносных действий.
Вредоносное ПО способно анализировать инструкции, которые могут выполнять шелл-код, загружать файлы, читать или удалять их, выполнять произвольные команды и загружать дополнительный байт-код .NET.
Функционал также включает в себя модуль веб-прокси и туннелирования.
Бэкдор GhostContainer не устанавливает соединение с какой-либо С2 инфраструктурой.
Вместо этого злоумышленник подключается к скомпрометированному серверу извне, а его команды управления скрываются в обычных веб-запросах Exchange.
Образец, использованный в этой APT-атаке, не имеет структурного сходства с каким-либо известным вредоносным ПО, а выявленную атаку невозможно сопоставить с другими, поскольку злоумышленники не раскрывали свою инфраструктуру.
Так что атрибутировать угрозу пока не удалось, но считается, что актор обладает высокой квалификацией благодаря глубокому пониманию Microsoft Exchange Server и способности преобразовывать общедоступный код в продвинутые инструменты кибершпионажа.
Телеметрия ЛК указывают на то, что это вредоносное ПО может быть частью APT-кампании, нацеленной на крупные компании, включая госсектор и высокотехнологичные компании в Азии.
В настоящее время ресерчеры продолжают изучать особенности атак и отслеживать кластер угроз.
Подробный технический разбор найденного образца GhostContainer (App_Web_Container_1.dll) - в отчете.
Подкатили подробности куда более серьезного киберинцидента, связанного с халатностью представителей британских спецслужб.
Его уже окрестили самым масштабным в современной истории Соединенного Королевства и засекретили через отдельный судебный акт, который, в свою очередь, тоже засекретили.
Как передает BBC, местное правительство было вынуждено тайно переселить более 20 тысяч афганцев в Великобританию после масштабной утечки данных из Министерства обороны в 2023 году.
На эти цели, по данным The Guardian, за последние два года правительство Великобритании потратило более 2 млрд. фунтов стерлингов.
Как стало известно после частичного снятия судьей Высокого суда ограничения о неразглашении, в результате утечки были раскрыты личные данные более 33 000 афганских граждан, которые оказывали содействие британским войскам во время войны в Афганистане.
В базе данных также содержались личные данные почти 19 000 афганцев, подавших заявки на переселение в Великобританию после того, как Талибан восстановил контроль над страной в 2021 году.
Но помимо этого, были раскрыты личности более сотни сотрудников британской разведки MI-6, военнослужащих засекреченных подразедлений специального назначения SAS и SBS.
Утечка произошла в феврале 2022 года, когда сотрудник штаб-квартиры британских сил специального назначения в Лондоне случайно отправил по электронной почте базу данных за пределы правительственного учреждения.
Затем, каким-то образом 14 августа 2023 года анонимный пользователь на Facebook публикует небольшой отрывок из утекшего объема данных.
Далее уже инициируется особый протокол и втайне от общественности власти локализуют последствия инцидента.
Но судя по представленным фактам, за халатностью сотрудника, вероятно, скрывалась социнженерия и все причитающиеся атрибуты грамотно спланированной кампании, а все сопутствующие случайности вовсе оказались не случайны.
Но будем посмотреть.
Cisco выпустила исправления для множества уязвимостей, включая критическую ошибку в Identity Services Engine (ISE) и ISE Passive Identity Connector, которая приводит к удаленному выполнению кода.
Соответствующие обновления были внесены в рекомендацию от 25 июня, в которой подробно описываются две такие уязвимости, CVE-2025-20281 и CVE-2025-20282.
Теперь добавлена новая CVE с предупреждением пользователей о ее максимальном уровне серьезности.
Ошибка отслеживается как CVE-2025-20337 и имеет оценку CVSS 10/10, такую же, как и две предыдущие проблемы, и затрагивает тот же API, что и CVE-2025-20281.
Множественные уязвимости в API Cisco ISE и Cisco ISE-PIC позволют неаутентифицированному удалённому злоумышленнику выполнить произвольный код в базовой ОС с правами root.
Злоумышленнику не потребуются какие-либо действительные учётные данные для эксплуатации.
Компания поясняет, что недостаточная проверка вводимых пользователем данных может позволить злоумышленнику отправить сфабрикованный запрос API и получить права root на уязвимом устройстве.
Ошибки затрагивают Cisco ISE и ISE-PIC версий 3.3 и 3.4 и устранены в версиях 3.3 исправление 7 и 3.4 исправление 2.
Cisco также объявила об исправлении уязвимости CVE-2025-20274 (CVSS 6,3) - уязвимости высокого уровня опасности в веб-интерфейсе управления Unified Intelligence Center, которая может быть использована для произвольной загрузки файлов.
Ненадлежащая проверка файлов, загружаемых в интерфейс, позволяет аутентифицированным удалённым злоумышленникам хранить вредоносные файлы в системе, что приводит к выполнению произвольных команд.
По данным Cisco, уязвимость может быть использована для повышения привилегий до уровня root, что повышает её серьёзность.
Исправления этой проблемы были включены в версии Unified Intelligence Center 12.5(1) SU ES05 и 12.6(2) ES05. Cisco рекомендует пользователям Unified CCX версий 12.5(1) SU3 и более ранних перейти на версию 15, которая не подвержена этой уязвимости.
Поставщик также анонсировал исправления для проблем средней степени серьезности в ISE и ISE-PIC, Evolved Programmable Network Manager (EPNM), Prime Infrastructure и Unified Intelligence Center.
Cisco отмечает, что ей неизвестно о случаях эксплуатации уязвимостей в реальных условиях.
Исследователи Google отслеживают вредоносную кампанию, нацеленную на устройства удалённого доступа Secure Mobile Access (SMA) SonicWall с использованием бэкдора и руткита пользовательского режима.
Злоумышленник, отслеживаемый Google как UNC6148, действует как минимум с октября 2024 года, а задействуемых арсенал реализует кражу данные, вымогательство и развертывание ransomware.
При этом окончательно понять мотивацию исследователям так и не удалось.
Исследователи Google идентифицировали ограниченное число пострадавших организаций, но при этом не смогли определить первоначальный вектор атаки.
Согласно расследованию Google Mandiant, скомпрометированные устройства SonicWall были полностью пропатчены.
Однако исследователи не считают, что для первоначального доступа была использована 0-day SonicWall SMA 100.
Они полагают, что злоумышленники ранее воспользовались одной из нескольких известных уязвимостей, чтобы получить учетные данные локального администратора, которые впоследствии можно было бы использовать для доступа к устройствам.
В числе таких, позволяющих получить учетные данные администратора целевого устройства SMA, могли оказаться CVE-2025-32819, CVE-2024-38475, CVE-2021-20035, CVE-2021-20038 и CVE-2021-20039.
Как известно, все они эксплуатировались.
Используя полученные учетные данные, злоумышленники установили сеанс SSL-VPN на целевом устройстве SMA и создали обратный шелл.
Причем доступ к оболочке изначально в принципе был невозможен на этих устройствах. Исследователи Mandiant и SonicWall (PSIRT) поломали голову над этим, но понять как UNC6148 установил этот обратный шелл, так и не смогли.
Возможно, использовалась неизвестная ошибка.
Проведя разведку скомпрометированной системы, злоумышленники запустили ранее неизвестную вредоносную программу, получившую название Overstep.
Вредоносное ПО описывается как устойчивый бэкдор и руткит пользовательского режима, способный скрытно изменять процесс загрузки скомпрометированного устройства для обеспечения его устойчивости. Обеспечивает кражу учётных данных, токенов сеансов и одноразовых паролей.
Установить точный характер действий злоумышленников на взломанных устройствах также не удалось в виду того, что атакующие подчистили и замели все следы своего присутствия, опустошив соответствующие файлы журналов.
Несмотря на отсутствие четких доказательств возможной монзтизации доступа к взломанным устройствам SonicWall, исследователи все же нащупали некоторые связи с World Leaks (преемник банды вымогателей Hunters International), а также с Abyss.
В своем отчете Google поделилась индикаторами компрометации (IoC) и правилами обнаружения для блокировки потенциальных атак UNC6148.
Google выпустила обновления для Chrome с исправлениями полдюжины уязвимостей, одна из которых активно использовалась злоумышленниками для обхода защиты «песочницы» браузера.
CVE-2025-6558 получила оценку CVSS 8,8 и была обнаружена исследователями группы анализа угроз Google TAG 23 июня.
Проблема описывается как недостаточная проверка ненадёжных входных данных в ANGLE и GPU и затрагивает все версии Google Chrome до 138.0.7204.157.
Злоумышленник, успешно эксплуатирующий ошибку, может совершить побег из песочницы, используя специально созданную HTML-страницу.
Компонент Chrome Sandbox - это основной механизм безопасности, который изолирует процессы браузера от базовой ОС, тем самым предотвращая распространение вредоносного ПО за пределы веб-браузера и нанесение ущерба устройству.
В свою очередь, ANGLE (Almost Native Graphics Layer Engine) - это абстрактный графический слой с открытым исходным кодом, используемый Chrome для преобразования вызовов API OpenGL ES в Direct3D, Metal, Vulkan и OpenGL.
Поскольку ANGLE обрабатывает команды GPU из ненадежных источников, таких как веб-сайты, использующие WebGL, ошибки в этом компоненте могут иметь критические последствия для безопасности.
Уязвимость позволяет удалённому злоумышленнику, используя специально созданную HTML-страницу, выполнить произвольный код в графическом процессоре браузера. Google как обычно не раскрыла технических подробностей.
Учитывая высокий риск и активный статус эксплуатации CVE-2025-6558, пользователям Chrome рекомендуется как можно скорее обновиться до версии 138.0.7204.157/.158.
Текущее обновление Chrome также включает исправления для пяти уязвимостей, в том числе серьёзной уязвимости в движке V8 (CVE-2025-7656) и проблемы использования памяти после освобождения в WebRTC (CVE-2025-7657).
Ни одна из них активно не эксплуатируется. Во всяком случае пока.
Исследователи EclecticIQ сообщают о задействовании новой RaaS под названием GLOBAL GROUP передовых ИИ-технологий для реализации своих кампании, нацеленных на широкий спектр компаний в Австралии, Бразилии, Европе и США.
С момента своего появления в начале июня 2025 года GLOBAL GROUP продвигалась на форуме Ramp4u злоумышленником, известным как $$$, который ранее был причастен к управлению Mamona и BlackLock RaaS.
Последняя - это ребрендинг Eldorado.
Предполагается, что GLOBAL GROUP - это ребрендинг BlackLock после того, как сайт утечки данных последнего был взломан картелем вымогателей DragonForce.
Группа активно использует IAB для распространения программы-вымогателя, используя доступ к уязвимым периферийным устройствам Cisco, Fortinet и Palo Alto Networks.
Также применяются утилиты для подбора паролей к порталам Microsoft Outlook и RDWeb.
Передача работ по проникновению на аутсорсинг другим акторам, специализирующихся на реализации скомпрометированных точек входа в корпоративные сети, позволяет операторам фокусировать свои усилия на доставку полезной нагрузки, вымогательство и переговоры.
Платформа RaaS включает в себя портал переговоров и панель партнёров, которая позволяет киберпреступникам управлять жертвами, создавать вредоносные программы-вымогатели для VMware ESXi, NAS, BSD и Windows, а также отслеживать операции.
Стремясь привлечь больше операторов, владельцы RaaS обещают выплаты гонораров до 85%.
Но примечательно то, что GLOBAL GROUP для проведения переговоров о выкупе использует автоматизированную систему, работающую на основе чат-ботов с ИИ, что позволяет не говорящим по-английски операторам эффективнее взаимодействовать с жертвами.
По состоянию на 14 июля 2025 года банда заявила о 17 жертвах в Австралии, Бразилии, Европе и США из здравоохранения, производства нефтегазового оборудования, машиностроения, автоиндустрии и аутсорсинга бизнес-процессов (BPO).
Взаимосвязь BlackLock и Mamona обусловлена использованием одного и того же российского VPS-провайдера IpServer и сходством исходного кода с Mamona.
В частности, GLOBAL GROUP считается усовершенствованной версией Mamona с дополнительными функциями, позволяющими устанавливать программы-вымогатели на весь домен.
Более того, вредоносная программа, как и BlackLock, написана на языке Go.
Как отмечают в EclecticIQ, GLOBAL GROUP - это результат продуманной стратегии владельцев RaaS-бизнеса, нацеленной на расширение рентабельности и обеспечение конкурентоспособности.
Новый бренд предлагает рынку ransomware такие киллер-фичи, как ведение переговоров на основе ИИ, мобильные панели и настраиваемые конструкторы полезной нагрузки.
👆Анализ отчета "Лаборатории Касперского" подсвечивает интересные и важные детали:
1️⃣ Первый патч Microsoft для CVE-2025-49704 был "дефектным" по своей сути, так как требовал ручного запуска "SharePoint Products Configuration Wizard".
Microsoft не устраняет собственно уязвимость, а пытается снизить риски, добавив новый класс AddExcelDataSetToSafeControls в пространство имен Microsoft.SharePoint.Upgrade. Этот класс содержит новый код, который модифицирует файл web.config и помечает элемент управления Microsoft.PerformancePoint.Scorecards.ExcelDataSet как небезопасный. При этом все, кто установил обновление, но не запустил апгрейд вручную, остаются уязвимыми к этой CVE. Многие администраторы, установившие исправление, остались уязвимыми, даже не подозревая об этом.
2️⃣ ЛК удалось обойти патч CVE-2025-49706, добавив всего один байт к POST-запросу, выступающему в роли эксплойта. Все, что потребовалось — добавить символ / в конец пути к ToolPane.aspx.
3️⃣ Читатели, знакомые с предыдущими эксплойтами для SharePoint, могут заметить, что уязвимость CVE-2025-49704/CVE-2025-53770 и эксплойт, использованный атакующими, похожи на более старую RCE-уязвимость CVE-2020-1147 во фреймворке .NET, SharePoint Server и Visual Studio. На самом деле, если сравнить эксплойты к CVE-2025-49704/CVE-2025-53770 и CVE-2020-1147, то можно увидеть, что код практически идентичен. Единственная разница — в том, что в эксплойте для CVE-2025-49704/CVE-2025-53770 опасный объект ExpandedWrapper помещен в список. Таким образом, можно сказать, что CVE-2025-53770 — это вариант CVE-2020-1147, а патч к ней — обновленный патч к уязвимости 2020 года.
4️⃣ Несмотря на то что патчи к уязвимостям ToolShell уже доступны, цепочка эксплойтов будет использоваться атакующими еще долго. Подобная ситуация наблюдалась с другими печально известными уязвимостями, такими как ProxyLogon, PrintNightmare или EternalBlue. Хотя их обнаружили несколько лет назад, некоторые злоумышленники до сих пор продолжают использовать их в атаках на непропатченные системы. Такая же судьба постигнет и ToolShell, поскольку эти уязвимости крайне просты в эксплуатации и позволяют получить полный контроль над уязвимым сервером.
👆Под атаку попали серверы по всему миру, в том числе в 🇪🇬Египте, 🇯🇴Иордании, 🇷🇺России, 🇻🇳Вьетнаме и 🇿🇲Замбии, а затронутые организации относились к различным отраслям, включая государственные и финансовые учреждения, сельское хозяйство, промышленность и лесоводство. Западные отчеты и СМИ создают картину целенаправленной атаки на госсектор 🇺🇸США, но широкая география указывает именно на массовую проблему.
💚 https://securelist.ru/toolshell-explained/113097 (Русский)
💚 https://securelist.com/toolshell-explained/117045 (Eng)
✋ @Russian_OSINT
Еще одна интересная деталь, которую следует добавить к нашему разбору кейса с 0-day в Microsoft SharePoint (известную как ToolShell).
Сообщается, что одной из жертв ToolShell стало Национальное управление по ядерной безопасности США (NNSA).
NNSA - это правительственное агентство в составе Министерства энергетики США, которое отвечает за контроль над ядерным оружием страны, а также реализует реагирование на ядерные и радиационные чрезвычайные ситуации в США и за их пределами.
Как сообщил Bloomberg представитель Министерства энергетики, в пятницу, 18 июля, эксплуатация 0-day в Microsoft SharePoint привела к взлому сети организации.
При этом само министерство пострадало минимально благодаря широкому использованию облака Microsoft M365 и эшелонированной системе киберзащиты.
Пострадало лишь ограниченное число систем NNSA, которые в настоящее время активно восстанавливаются.
Анонимный источник в агентстве также отметил, что, по всей видимости, в результате утечки не была раскрыта какая-либо конфиденциальная или секретная информация.
В целом, как заключают исследователи Eye Security, к настоящему времени число скомпрометированных в результате атак ToolShell объектов значительно возросло.
Согласно телеметрии компании, злоумышленники, стоящие за этими атаками, уже заразили вредоносным ПО не менее 400 серверов и взломали 148 организаций по всему миру.
И это еще не конец. Будем следить.
Кейс с 0-day (CVE-2025-53770) атаками на сервера SharePoint, названные ShellTool, вызвал достаточно широкий общественный резонанс, в виду которого вышло значительное число отчетов с отражением большого числа подробностей.
Для понимания развития всей ситуации решили сосредоточиться на хронологии основных событий, а также отразить наиболее значимые моменты:
- Сама 0-day и атаки были раскрыты в субботу, 19 июля, а на следующий день были выпущены патчи. Она представляет собой вариант старой RCE, известной как CVE-2025-49704, которая была исправлена ранее в этом месяце.
- Ошибка позволяет получить данные конфигурации MachineKey сервера SharePoint, которые затем можно использовать для обхода аутентификации и проведения атаки с целью RCE.
- Ранее злоумышленники пытались использовать CVE-2025-49704 и CVE-2025-49706, прежде чем переключиться на CVE-2025-53770. Обе они демонстрировались на Pwn2Own Berlin в мае этого года под названием ShellTool.
- Microsoft также исправила четвертую ошибку, CVE-2025-53771, которая представляет собой ошибку обхода пути, являющуюся разновидностью CVE-2025-49706 и, вероятно, также находящуюся под угрозой эксплуатации.
- 0-day затрагивает только локальные серверы SharePoint версий 2016 и 2019. Серверы SharePoint 2010 и 2013 также уязвимы, но исправление для них не будет выпущено. Облачные серверы Microsoft SharePoint не затронуты.
- Злоумышленники используют 0-day для развертывания веб-шеллов на взломанных серверах. Microsoft связала некоторые атаки с тремя китайскими APT: Linen Typhoon, Violet Typhoon и Storm-2603.
- Первые две группы действуют с 2012 и 2015 годов соответственно и связаны со шпионскими операциями. Третья более новая: некоторые атаки заканчивались развертыванием программ-вымогателей Warlock и Lockbit.
- SentinelOne также связала атаки с тремя кластерами, но не назвала ни имен, ни источника атак.
- Microsoft и SentinelOne сообщают, что теперь они обнаружили и других злоумышленников, также эксплуатирующих 0-day, включая другие APT.
- По данным Tenable, публичный PoC для уязвимости теперь широко доступен.
- По данным Censys, к Интернету подключено более 9700 серверов SharePoint 2016 и 2019 и, как полагает NextGov, более 1100 из них связаны с госсектором.
- По данным многочисленных источников, на сотнях из них установлены веб-шеллы, хотя неясно, связано ли это с ShellTool.
- Телеметрия Eye Security и SentinelOne показала, что первая волна атак началась 17 июля. После этого последовали и другие кампании.
- По данным WaPo, ряд госучреждений подверглись взлому.
- Исследователи SentinelOne полагают, что первоначальные цели свидетельствуют о том, что изначально деятельность была тщательно таргетированной. После раскрытия информации атаки стали носить ситуативный характер.
- В некоторых отчетах утверждается, что также была эксплуатирована CVE-2025-53771, но Microsoft этого пока не подтверждает.
- Помимо исправления ошибок, организациям следует также проводить ротацию криптографических материалов MachineKey и сканирование на наличие известных веб-шеллов. Украденные MachineKeys позволят в будущем получить доступ через бэкдор, даже после исправления систем.
- Теперь также доступен сканер, а также множество IOC в следующих отчетах: Broadcom Symantec, CISA, Cisco Talos, Censys, Check Point, CrowdStrike, Eye Security, Logpoint, Microsoft, Orange, Palo Alto Networks, Qualys, SentinelOne, Tenable, Trend Micro и Varonis.
Hewlett-Packard Enterprise (HPE) предупреждает о жестко запрограммированных учетных данных в точках доступа Aruba Instant On, которые позволяют злоумышленникам обходить обычную аутентификацию устройства и получать доступ к веб-интерфейсу.
Aruba Instant On - это компактные беспроводные (Wi-Fi) устройства с функцией plug-and-play, разработанные для малого и среднего бизнеса с функционалом корпоративного уровня (гостевые сети, сегментация трафика) и управлением через облако/мобильные приложения.
CVE-2025-37103 имеет оценку CVSS v3.1: 9,8 и затрагивает точки доступа Instant On с версией прошивки 3.2.0.1 и ниже.
Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику получить административный доступ к системе.
Поскольку административные учетные данные жестко запрограммированы в прошивке, для опытных пользователей их обнаружение не представляет особой сложности.
Получив доступ к веб-интерфейсу в качестве администраторов, злоумышленники могут изменить настройки точки доступа, перенастроить систему безопасности, установить бэкдоры, осуществлять перехват трафика и даже осуществить горизонтальное перемещение.
Уязвимость была обнаружена исследователем ZZ из Ubisectech Sirius, который сообщил о ней непосредственно поставщику.
В том же бюллетене HPE указывает на вторую серьёзную CVE-2025-37102, связанную с аутентифицированным внедрением команд в интерфейс командной строки (CLI) точек доступа Aruba Instant On.
Ее можно связать с CVE-2025-37103, поскольку для ее эксплуатации требуются права администратора, что позволяет злоумышленникам вводить произвольные команды в CLI для извлечения данных, отключения безопасности и обеспечения устойчивости.
Обе проблемы решаются обновлением прошивки до версии 3.2.1.0 (или более поздней), обходные пути отсутствуют.
HPE Aruba Networking не располагает информацией об эксплуатации этих двух уязвимостей, однако, как полагает поставщик, ситуация может быстро измениться.
Топ телеграм-каналов в ИБ
Июль, когда адский месяц массовых отпусков и информационного треша в мире не начался, подходящее время для нашего третьего рейтинга каналов по ИБ.
В третьем рейтинге есть те, кто появился в Telegram совсем недавно, но уже делает качественный контент и имеет вес в количестве подписчиков.
Некоторых новоприбывших мы тоже хотели добавить, но у них пока что очень малое количество подписчиков, а самое главное — мало содержания. Поэтому их мы, надеемся, увидим уже в следующем рейтинге.
Часть 1.
Авторские:
1. Пост Лукацкого
2. Пакет Безопасности
3. Sachok
4. Сицебрекс
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова
7. Максимов.Записки
8. Наталья Касперская
9. Вектор Грабского
Offensive:
1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers
Defensive:
1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear
Mixed:
1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do
Микроблоги:
1. Ильдар Пишет
2. Омский багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity
Новостные/агрегаторы:
1. SecАtor
2. НеЛукацкий
3. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. RUSCADASEC news: Кибербезопасность АСУ ТП
Корпоративные:
1. Kaspersky
2. Базис
3. Avanpost
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, 3side кибербезопасности
7. Echelon Eyes
8. VK Security
9. Солар
10. Red Security
Каналы IT-журналистов:
1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС
7. Точксичная цифра, Первый канал, Корневой DoStup
8. По сути, Аркадий
@cybersachok
Японские силовики представили дешифратор для Phobos и 8base ransomware, который может быть использован жертвами для бесплатного восстановления залоченных файлов.
Phobos функционировала по модели RaaS, начиная с 2018 года.
Несмотря непубличный характер своей деятельности, Phobos считается одной из наиболее широко распространенных RaaS, ответственной за множество атак по всему миру.
В свою очередь, банда 8base приступила к работе в 2023 году с использованием утекшей версии кода Phobos, практикуя классическую схему двойного вымогательства.
В 2024 году подозреваемый в организации Phobos RaaS был задержан и экстрадирован из Южной Кореи в США, где ему предъявили обвинения по 13 пунктам.
Затем в результате международной операции силовых ведомств также было заблокировано и изъято 27 серверов, а также арестовано четверо подозреваемых в руководстве группировкой 8Base.
Власти Японии не раскрывают, каким образом им удалось разработать дешифратор.
Тем не менее обстоятельства дают все основания полагать, что для этого использовался мощный инструмент современной прикладной криптографии, а именно: терморектальный криптоанализор.
Дешифратор можно загрузить с сайта японской полиции (инструкция прилагается), а также доступен на платформе Европола - NoMoreRansom.
Следует отметить: Google Chrome и Mozilla Firefox распознают дешифратор как вредоносное ПО, что затрудняет его загрузку и использование.
Однако результаты практических тестов дешифратора показали его высокую эффективность.
В настоящее время он поддерживает расшифровку файлов со следующими расширениями: phobos, 8base, elbie, faust и LIZARD.
Но, как сообщают японские правоохранители, могут поддерживаться и некоторые другие расширения.
Так что жертвам Phobos и 8Base стоит протестировать дешифратор, даже если их зашифрованные файлы не входят в указанный перечень расширений. Вполне возможно, что утилита их также сможет отработать.
Microsoft анонсировала экстренные обновления для исправления активно эксплуатируемых 0-day в SharePoint Server, которые отслеживаются как CVE-2025-53770 и CVE-2025-53771.
По данным обнаружившей атаки Eye Security, эксплуатация CVE-2025-53770 и CVE-2025-53771, получивших условное наименование ToolShell, началась 18 июля.
На удивление Microsoft оперативно подтвердила использование проблем в реальных условиях и поделилась мерами по смягчению, одновременно приступив к разработке исправлений.
Поздно вечером в воскресенье разработчики сообщили об обновлениях безопасности, которые позволят устранить уязвимости в SharePoint Subscription Edition и SharePoint 2019. Обновления для SharePoint 2016 - почти на выходе.
CVE-2025-53770 и CVE-2025-53771 затрагивают только локальные серверы SharePoint. Уязвимости могут быть объединены в цепочку для реализации RCE без аутентификации.
В ходе атак, замеченных Eye Security и Google, злоумышленники внедряли веб-шелл и похищали криптографические секреты, что открыла им полный доступ к взломанным системам.
При этом результаты сканирования Eye Security глобальной сети позволили выявить десятки серверов SharePoint, которые были взломаны с помощью ToolShell.
В свою очередь, ShadowServer заявила о более чем 9000 экземплярах SharePoint, доступных через интернет, большинство из которых располагаются в Северной Америке и Европе, но пока без маркировки их возможной уязвимости для обнаруженных проблем.
На выходных компания Palo Alto Networks также задетектила задействование CVE-2025-49704 и CVE-2025-49706 в широкомасштабных атаках по всему миру.
CVE-2025-53770 и CVE-2025-53771 являются вариантами CVE-2025-49706 и CVE-2025-49704, которые исследователи из команды Viettel продемонстрировали еще в мае на хакерском турнире Pwn2Own в Берлине, о чем мы также сообщали.
Microsoft исправила уязвимости CVE-2025-49706 и CVE-2025-49704 в рамках PatchTuesday за июль 2025 года.
Однако несколько дней спустя исследователи Code White воспроизвели цепочку эксплойтов, которую они назвали ToolShell, показав, возможность ее выполнения всего лишь одним запросом неавторизованного злоумышленника.
Так что и злоумышленникам, по всей видимости, удалось обойти исправления Microsoft для CVE-2025-49706 и CVE-2025-49704 для инициирования атак на уязвимые серверы SharePoint.
Соответственно Microsoft опубликовала новые рекомендации и присвоила новые CVE: CVE-2025-53770 и CVE-2025-53771, исправления которых обеспечивает, как уверяют разработчики, более качественную защиту нежели для предыдущих CVE-2025-49704 и CVE-2025-49706.
При этом, в рекомендациях Microsoft по уязвимости CVE-2025-53771 до сих пор не упоминается активная эксплуатация. Впрочем, микромягкие, как всегда, в своем репертуаре.
Завершаем неделю обзором наиболее серьезных уязвимостей и связанных с ними трендов. Из основного:
1. Подкатили позитивные новости от Positive Technologies, специалисты которой анонсировали общедоступную базу, в которой консолидировали более 317 тысяч уязвимостей со всего мира, агрегировав данные об уязвимостях из различных источников, включая CVE, NVD, соцсети и Telegram.
Причем, как заявляют Позитивы, база будет обновляться на еженедельной основе, что становиться особенно актуальным на фоне проблем, возникающих с зарубежными аналогами.
Помимо скорости обработки и публикации данных об уязвимостях, фиксировалась недостаточная точность и полнота предоставления информации. В CVE/NVD (в отличие от БДУ ФСТЭК) попадают не все данные от российских исследователей.
Кроме того, Позитивы обещают расширять функциональность портала и создать белым хакерам комфортные условия для работы, как на ведущих багбаунти-платформах.
2. Citrix конкретно облажалась. Новую CitrixBleed 2 теперь можно называть не иначе, как CitrixBl…d 2 CVE-2025–5777 (оценка CVSS 9,3).
Оказывается, что вопреки заявлениям поставщика, вводивших клиентов в заблуждение, атаки с использованием уязвимости в NetScaler, согласно данным GreyNouse начались еще за две недели до публикации публичного PoC 4 июля.
26 июня Citrix опубликовала запись в блоге, опровергающие отчеты об эксплуатации, и обновила ее только 11 июля. Благодаря чему по меньшей мере 100 организаций были взломаны.
При этом тысячи экземпляров все еще остаются уязвимыми.
3. Та же GreyNoise также обнаружила массовую разведывательную и эксплуатационную деятельность для CVE-2025-48927, уязвимости в инструменте резервного копирования Signal TeleMessage SGNL.
4. Исследователи Tenable сообщили об RCE-уязвимости в Oracle Cloud Infrastructure Code Editor, которая может быть использована для взлома среды Cloud Shell клиента. Проблема исправлена.
5. Semperis отметила конструктивную ошибку в делегированных учётных записях управляемых служб (dMSA) Windows Server 2025, которая получила название Golden dMSA и значительно упрощает генерацию паролей методом подбора для всех пользователей dMSA.
6. Польский CERT сообщает, что три предустановленных на смартфонах Bluebird приложения содержат уязвимости, позволяющие проводить локальные атаки.
7. И вновь про Positive Technologies: ресерчеры нашли три уязвимости в KVM-переключателях ATEN, которые позволяют злоумышленникам получить контроль над всеми подключенными устройствами.
8. ENEA раскрывает атаки, нацеленные начиная с конца 2024 года на уязвимость в протоколе SS7 с использованием эксплойта, который позволяет обойти средства защиты SS7 и обманным путём заставить оператора мобильной связи раскрывать местоположение абонента.
Компания F6 представила сервис полного цикла SOC MDR для обнаружения, расследования и автоматического реагирования на киберинциденты в корпоративной инфраструктуре.
Решение ориентировано на активную защиту как внешнего периметра, так и внутренней сети. При обнаружении признаков атаки команда F6 инициирует работу, не привлекая специалистов заказчика. В сценариях реагирования – изоляция скомпрометированных хостов, блокировка вредоносных процессов и учётных записей, восстановление инфраструктуры.
Особое внимание уделяется зонам внешнего периметра, которые, по данным F6, в большинстве российских компаний содержат критические уязвимости. Каждый выявленный инцидент не только фиксируется, но и становится объектом расследования — вплоть до анализа хронологии и источника проникновения.
В основе SOC MDR — система Threat Intelligence от F6 с поддержкой AI. Решение интегрируется с уже существующими средствами защиты клиента.
От традиционных SOC-сервисов MDR F6 отличает единый замкнутый цикл работы: от проактивного мониторинга до самостоятельного устранения инцидента.
По факту, это полноценное внешнее киберподразделение, способное действовать автономно и обеспечивать наступательную защиту. Для ИБ-команд с ограниченными ресурсами подход может быть особенно актуален — в условиях, когда атаки становятся всё сложнее, а окно возможностей для реагирования сокращается.
Исследователи Wiz раскрыли NVIDIAScape - критическую уязвимость в Nvidia Container Toolkit, которую можно эксплуатировать для получения полного контроля над хост-компьютером.
Представляющая серьезную угрозу для управляемых облачных сервисов ИИ ошибка официально отслеживается как CVE-2025-23266 и ранее демонстрировалась на хакерском конкурсе Pwn2Own в Берлине и принесла команде Wiz получила 30 000 долл.
Nvidia проинформировала клиентов об уязвимости и наличии исправления в бюллетене, вышедшем на прошлой неделе.
По данным производителя, эта критическая уязвимость (CVSS 9,0) может привести к повышению привилегий, раскрытию информации, подмене данных и DoS-атакам.
Набор инструментов Nvidia Container Toolkit предназначен для создания и запуска контейнеров с ускорением на GPU, и, по словам Wiz, его часто используют крупные поставщики облачных услуг для управляемых служб ИИ.
CVE-2025-23266 вызвана неправильной настройкой, связанной с обработкой хуков Open Container Initiative (OCI), которые позволяют пользователям определять и выполнять действия в указанных точках жизненного цикла контейнера.
Наибольший риск возникает в случае управляемых облачных сервисов ИИ, которые позволяют пользователям запускать собственные контейнеры на общей инфраструктуре графических процессоров.
NVIDIAScape может быть использована вредоносным контейнером для обхода изоляции и получения полного root-доступа к хост-машине.
С хост-машины злоумышленник может похитить или манипулировать конфиденциальными данными и проприетарными моделями ИИ всех остальных клиентов, использующих то же оборудование.
Wiz поделилась техническими подробностями уязвимости и показала, как ее можно эксплуатировать с помощью вредоносной полезной нагрузки и трехстрочного Docker-файла, размещенного внутри образа контейнера.
Как отмечают ресерчеры, исследование уже не в первый раз подчёркивает, что контейнеры не являются надёжным барьером в плане безопасности и не должны рассматриваться как единственное средство изоляции.
При проектировании приложений, особенно для многопользовательских сред, всегда следует «предполагать наличие уязвимости» и реализовывать как минимум один надёжный барьер изоляции, например, виртуализацию.
В Британии на закон кладут не только премьеры-министры, но и стражи правопорядка из элитных подразделений национальных спецслужб.
Пять с половиной лет тюрьмы получил 42-летний оперативник Национального агентства по борьбе с преступностью Великобритании (NCA) Пол Чоулз, который за время расследования дела Silk Road 1 и 2 смог помимо наград и регалий заработать «пенсию» в размере 50 биткоинов.
Как выяснили оперативники NCA, к работе Silk Road 2 был причастен Томас Уайт, личность которого удалось раскрыть в 2014 году, менее чем через месяц после закрытия ФБР США оригинального сайта.
Тогда на момент расследования на счету Уайта находилось 97 монет.
Активную роль в расследовании принимал Чоулз, именно ему перепала возможность изъять и ознакомиться с содержимым устройств подозреваемого.
И, как позже стало известно, согласно пресс-релизу Королевской прокурорской службы (CPS), выкрасть в период с 6 по 7 мая 2017 года с криптокошелька те самые 50 биткоинов.
Причем, пропажа долгое время оставалась незамеченной и к концу 2021 года потерянные деньги были списаны, поскольку их невозможно было отследить, а оставшиеся 47 BTC были проданы более чем за миллион фунтов стерлингов.
Жертва ограбления, отсидев положенный ему срок, в начале 2022 года заявила о краже, обвиняя в причастности к ней представителей NCA, которые могли заполучить приватные ключи от его криптокошелька.
Специальному прокурору отдела по расследованию особых преступлений Королевской прокурорской службы ничего иного не оставалось, как начать внутреннее расследование с привлечением возможностей Chainalysis, основным фигурантом которого почти сразу стал Чоулз.
По итогу он был арестован в мае 2022 года. В ходе обыска и досмотра его устройств были найдены имена пользователей, пароли и выписки, относящиеся к криптоаккаунтам Уайта, а также ряд следы отмывания похищенных средств.
Чоулз использовал Bitcoin Fog - популярный сервис микширования, успешно зарекомендовавший себя в сфере искусной обфускации крипты. Задействовал депозитный адрес P2P-сервиса, конвертировал и потратил часть биткоинов через дебетовые карты Cryptopay и Wirex.
Тем не менее, согласно отчету Chainalysis, следователям удалось установить движение средств на пяти ключевых этапах и выявить каналы их обнала.
По оценкам Королевской прокурорской службы, Чоулз в результате своей преступной деятельности заработал 613 147,29 фунтов стерлингов.
После отмывания денег Чоулз консолидировал около 30 BTC на отдельном кошельке.
Он оставался бездействующим почти пять лет, до 2022 года, когда в ходе обыска в доме Чоулза полиция обнаружила устройство с его приватными ключами.
В настоящее время все активы конфискованы, а сам Чоулз был уволен из NCA 11 июля 2025 года с одновременным переводом на нары.
В общем, что сказать: пацан к успеху шёл, не получилось, не фартануло.
Исследователи из команды GERT Лаборатории Касперского представили результаты исследования артефакта UserAssist и структуры его данных, выявив в процессе анализа разные варианты их состава.
Артефакт UserAssist является одним из самых ценных в работе по реагированию на инциденты, содержит полезную информацию о выполнении программ для выявления и отслеживания активности злоумышленников, а также обнаружения образцов вредоносного ПО.
Новый отчет ЛК включает детальный анализ артефакта UserAssist с разъяснением его неоднозначного представления данных, что безусловно, должно помочь максимально эффективно использовать содержащиеся в нем данные.
При этом следует отметить, что детальное исследование UserAssist еще не проводилось и остаются пробелы в части интерпретации данных, условий логирования и триггеров.
В исследовании рассматривается порядок создания и обновления данных артефакта, назначение структуры UEME_CTLSESSION и ее роль в логировании данных UserAssist, а также описывается ранее неизученная часть структуры данных этого артефакта.
Основная функция, отвечающая за обновление данных UserAssist, - это FireEvent из shell32.dll. К вызову функции FireEvent могут приводить разные действия с программами, и в зависимости от этих действий состав данных в записях UserAssist тоже может быть разным.
Кроме того, ресерчеры также исследовали структуру UEME_CTLSESSION, отвечающую за текущую сессию логирования UserAssist. Сессия завершается, когда общее время в фокусе всех программ достигает двух дней.
Дальнейшее изучение UEME_CTLSESSION позволило раскрыть назначение ранее не задокументированных бинарных данных UserAssist, которые оказались списком показателей использования программ и счетчиком перезаписи значений.
В общем, всем заинтересованным настоятельно рекомендуем погрузиться в техническую часть, которая достаточно доступна отражена в отчете.
Киберподполье не дремлет: сразу после появления общедоступных PoC стартовали первые RCE-атаки на Fortinet FortiWeb.
Предполагается, что несколько экземпляров Fortinet FortiWeb, недавно зараженных веб-шеллами, были скомпрометированы с помощью общедоступных эксплойтов для недавно исправленной RCE-уязвимости, отлеживаемой как CVE-2025-25257.
Детекты словили исследователи The Shadowserver Foundation, зафиксировав 85 заражений 14 июля и 77 на следующий день.
Исследователи сообщили, что замеченные экземпляры Fortinet FortiWeb предположительно, были взломаны благодаря уязвимости CVE-2025-25257.
CVE-2025-25257 - это критическая предварительно аутентифицированная уязвимость RCE через SQL-инъекцию (SQLi), затрагивающая FortiWeb версий 7.6.0-7.6.3, 7.4.0-7.4.7, 7.4.0-7.4.7 и 7.0.0-7.0.10.
Fortinet выпустила исправления 8 июля 2025 года, настоятельно рекомендовав пользователям обновиться до FortiWeb 7.6.4, 7.4.8, 7.2.11 или 7.0.11 и более поздних версий каждой ветки.
11 июля WatchTowr и один из первооткрывателей уязвимости «faulty *ptrrr» выкатили информацию об эксплойтах, которые включали методы внедрения веб-шеллов или открытия обратных шеллов на непропатченных конечных точках.
Эксплуатация включает выполнение SQLi с помощью специально созданных заголовков авторизации в HTTP-запросах, отправляемых на /api/fabric/device/status, что записывает вредоносный файл .pth в «site-packages» Python.
Затем осуществляется удаленный доступ к легитимному CGI-скрипту FortiWeb (/cgi-bin/ml-draw.py), что приводит к выполнению кода во вредоносном файле .pth и обеспечивает удаленное выполнение кода на устройстве.
На тот момент не было никаких свидетельств активной эксплуатации уязвимости, но ситуация быстро изменилась, как мы и предполагали.
Большинство (40) скомпрометированных конечных точек расположены в США, за ними следуют Нидерланды (5), Сингапур (4) и Великобритания (4).
При этом по данным The Shadowserver, 223 интерфейса управления FortiWeb все еще уязвимы, хотя информация о том, какую версию они используют, отсутствует.
Так что продолжаем следить.
🪱 Эволюция безопасности: Code Red.
• 15 июля 2001 года. Утро. Аналитики компании eEye Digital Security допивали очередную порцию газировки Code Red Mountain Dew, когда в лабораторию стали поступать предупреждения о массовом распространении нового компьютерного червя. Не мудрствуя лукаво, парни назвали вредонос в честь своего любимого напитка – "Code Red". Так эта угроза получила свое имя, которое многим жертвам червя запомнилось надолго — буквально за несколько дней Code Red захватил Интернет.
• Но начало этой истории было относительно удачным: распространение интернет-червя Code Red, атакующего системы на базе Windows с установленным веб-сервером Microsoft IIS (Internet Information Services for Windows Server), удалось выявить в самом начале эпидемии. На момент обнаружения специалисты занимались разработкой системы по поиску уязвимостей в Microsoft IIS. Их тестовый сервер неожиданно перестал отвечать на запросы. Вслед за этим последовала бессонная ночь, которую исследователи провели, изучая логи системы в поисках следов заражения.
• Однако относительно раннее обнаружение не особо помогло остановить эпидемию. Зловред использовал уже зараженные системы для дальнейших атак, и буквально за считанные дни распространился по всему миру. Интернет-червь использовал тривиальнейшую уязвимость в одном из модулей веб-сервера, а точнее, расширении для индексации данных. В библиотеке idq.dll была обнаружена ошибка переполнения буфера. Уязвимость получила идентификатор MS01-33. По современным меркам это простейшая ошибка, которую можно проэксплуатировать, отправив на сервер чрезмерно длинный запрос такого вида:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
N интерпретируются как инструкции и выполняются. Вся вредоносная нагрузка содержится непосредственно в запросе, то есть при наличии уязвимой инсталляции Microsoft IIS система заражается моментально и со стопроцентной гарантией. Самым заметным следствием заражения становился дефейс веб-сайта, обслуживаемого веб-сервером. Вместо его содержимого выводилась заглушка (пример).
X” вместо “N”.
12 лет с момента обнаружения критических уязвимостей понадобилось Ассоциации американских железных дорог (AAR), чтобы прекратить использовать небезопасный радиопротокол, который может быть использован для активации тормозов на поездах в любой точке Северной Америки.
Этот радиопротокол связывает локомотив (голову поезда) с устройствами, установленными на последнем вагоне - оконечной сигнализации (ETD), иногда называемое EOT, мигающим задним фонарем (FRED) или датчиком и тормозным устройством (SBU).
Устройство используется для сбора телеметрических данных с задней части поезда, что особенно актуально для длинных грузовых поездов, длина которых часто превышает одну-две мили.
Помимо телеметрии, устройства также могут принимать команды от машинистов, самой важной из которых является торможение задней части поезда.
Еще в 2012 году исследователь Нил Смит пришел к выводу, что радиопротокол, используемый для отправки команд с локомотивов на устройства EoT, использует слабую форму аутентификации - простую контрольную сумму BCH.
Злоумышленник, имеющий дешевое оборудование стоимостью всего 500 долларов и программно-определяемую радиостанцию (SDR), способен создавать пакеты и отдавать команды устройству EoT для внезапного включения тормозов.
Расстояние зависит от усиления и прямой видимости. При этом EOT/HOT в том виде, в котором он разработан, работает лишь на расстоянии нескольких миль, поскольку в некоторых случаях поезда длиной 3 мили - не редкость.
Смит впервые сообщил о проблеме слабой аутентификации в ICS-CERT в 2012 году, после чего организация связалась с разработчиком протокола - Американской ассоциацией железных дорог.
AAR, в свою очередь, годами преуменьшала ее значение, рассматривая её лишь как теоретическую угрозу, даже несмотря на представленные Смитом доказательства обратного. Разрешение на проведение испытаний также не выдавало.
Поскольку AAR отказалась исправлять протокол, Смит публично раскрыл эту проблему в статье на Boston Review, однако неделю спустя AAR выпустила опровержение в Fortune.
По итогу Смит забил на эту ошибку.
Тем временем другой исследователь, Эрик Рейтер, независимо также наткнулся на ту же проблему два года спустя и даже представил ее на конференции DEFCON.
Тогда Смит решил вновь насесть на AAR и настоял на возобновлении кейса летом 2024 года.
На этот раз ситуация изменилась.
Проблема получила идентификатор CVE-2025-1727, и на прошлой неделе CISA даже выдала официальное предупреждение, спустя 12 лет после первоначального обнаружения.
Рекомендация появилась через два месяца после того, как сама AAR объявила о планах заменить устаревший протокол HoT/EoT на протокол IEEE 802.16t Direct Peer-to-Peer (DPP), который поддерживает как безопасность, так и реализует меньшую задержку.
Теперь железнодорожникам предстоит заменить более 75 000 устройств EoT на поездах по всей территории США, Канады и Мексики.
Внедрение запланировано на 2026 год, а на полную модернизацию составов потребуется около 5–7 лет и от 7 до 10 миллиардов долл.
Этим, собственно, и объясняются все старания AAR приуменьшить значимость проблемы, несмотря на очевидные выводы двух независимых исследований.
Теперь же после раскрытия технических деталей риски и вероятность эксплуатации CVE-2025-1727 значительно возросли.
Особенно, если учитывать, что подобные атаки уже совершались. При этом смягчающих мер практически не существует.
По данным WIRED, в августе 2023, неизвестные злоумышленники использовали аналогичный метод (адаптированный под европейский протокол), парализовав движение поездов в районе города Щецин.
