39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
В завершении недели отметим наиболее трендовые уязвимости и угрозы, а также связанные с ними рекомендации и обновления:
1. BeyondTrust выпустила обновление для исправления ошибки удаленного выполнения кода в своих приложениях удаленного рабочего стола.
CVE-2025-5309 была обнаружена исследователями Resilion и влияет на продукты BeyondTrust Remote Support и Privileged Remote Access.
Она позволяет удаленным злоумышленникам внедрять вредоносный код в шаблонизатор BeyondTrust и захватывать неисправленные серверы.
2. Citrix выпустила обновления для четырех уязвимостей в трех продуктах, включая критическую проблему (CVE-2025-5777) в NetScaler ADC и NetScaler Gateway.
Citrix не упоминает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но пользователям рекомендуется обновить свои установки как можно скорее.
3. Джонатан Мэннхен отыскал ошибку в стандартной библиотеке Erlang/OTP ZIP-процедур, которая позволяет проводить атаки с обходом абсолютного пути, позволяя злоумышленникам перезаписывать или создавать любой путь по своему усмотрению.
4. Исследователи CrowdStrike представили обзор наступательной техники, известной как обход AMSI без патчей, ее недавнего злоупотребления и способов ее обнаружения.
5. Cisco выкатила два бюллетеня безопасности для различных своих решений.
6. Atlassian объявила о выпуске исправлений для пяти уязвимостей в сторонних зависимостях Bamboo, Bitbucket, Confluence, Crowd и Jira.
К ним относятся CVE-2025-22228 (неправильная авторизация в Spring), CVE-2025-24970 (DoS в фреймворке Netty), CVE-2024-38816 (обход пути, связанный с веб-фреймворками WebMvc.fn и WebFlux.fn), CVE-2024-57699 (DoS в Netplex Json-smart) и CVE-2025-31650 (DoS в Apache Tomcat).
7. Microsoft объявила о планах периодического удаления устаревших драйверов из каталога Центра обновления Windows для снижения рисков безопасности и совместимости.
8. GreyNoise предупреждает о всплеске попыток эксплуатации CVE-2023-28771 (оценка CVSS 9,8) в межсетевых экранах Zyxel, которой уже два года.
Исследователи подозревают, что попытки эксплуатации связаны с вариантом ботнета Mirai.
9. Недавняя критическая уязвимость Langflow, известная как CVE-2025-3248, использовалась для вовлечения устройств в ботнет Flodrix, о чем сообщила Trend Micro.
В частности, злоумышленники сканировали интернет на предмет уязвимых экземпляров Langflow, а затем использовали один из общедоступных PoC, чтобы получить доступ к оболочке в системе и запустить различные команды в разведывательных целях.
Исследователи Zimperium раскрывают новую версию вредоносного ПО для Android Godfather, которая задействует виртуализацию для взлома банковских приложений.
Вредоносные приложения запускаются в контролируемой виртуальной среде на устройстве, позволяя осуществлять шпионаж в режиме реального времени, кражу учетных данных и манипулирование транзакциями, реализуя при этом «идеальный» визуальный обман.
Подобная тактика прослеживалась во вредоносном ПО FjordPhantom для Android в конце 2023 года, которое также использовало виртуализацию для запуска банковских приложений SEA внутри контейнеров с целью уклонения от обнаружения.
Однако сфера действия Godfather гораздо шире и затрагивает более 500 банковских, криптовалютных и коммерческих приложений по всему миру, используя полноценную виртуальную файловую систему, виртуальный идентификатор процесса, подмену намерений и StubActivity.
По данным Zimperium, уровень обмана достаточно высок: пользователь видит реальный пользовательский интерфейс приложения, а защита Android пропускает аспект вредоносной операции, поскольку в манифесте декларируются только действия хост-приложения.
Godfather поставляется в виде APK, содержащего встроенную среду виртуализации, использующую для подключения инструменты с открытым исходным кодом, такие как движок VirtualApp и Xposed.
После активации на устройстве он проверяет наличие установленных целевых приложений и перемещает их в виртуализированную среду, используя StubActivity для запуска внутри контейнера хоста.
StubActivity действует как оболочка или прокси-сервер для запуска и выполнения действий из виртуализированных приложений.
Он не содержит собственного пользовательского интерфейса или логики, а вместо этого делегирует поведение хостовому приложению, обманывая Android и заставляя его думать, что запущено легитимное приложение, но на самом деле перехватывая и контролируя его.
Когда жертва запускает настоящее банковское приложение, разрешение службы специальных возможностей Godfather перехватывает Intent и перенаправляет его в StubActivity внутри хост-приложения, которое инициирует виртуальную версию банковского приложения внутри контейнера.
Пользователь видит реальный интерфейс приложения, но все конфиденциальные данные, задействованные в его взаимодействии, могут быть легко перехвачены.
Используя Xposed для подключения к API, Godfather может фиксировать учетные данные, пароли, PIN-коды, события касания и захватывать ответы из банковского бэкэнда.
Вредоносная ПО отображает фейковый экран блокировки в ключевые моменты, чтобы обманом заставить жертву ввести свой PIN-код или пароль.
После извлечения данных Godfather ожидает команд от операторов для разблокировки устройства, выполнения навигации по пользовательскому интерфейсу и инициирования переводов уже из реального банковского приложения.
При этом пользователю демонстрируется поддельный экран обновления или черный экран, чтобы не вызвать подозрений.
Godfather впервые появился в марте 2021 года, его обнаружила ThreatFabric, и с тех пор заметно эволюционировал, что можно увидеть ьв сравнении даже с последним образцом, проанализированным Group-IB в декабре 2022 года.
Несмотря на то, что обнаруженная Zimperium кампания нацелена два десятка приложений турецких банков, в распоряжении операторов Godfather более 500 целевых приложений, которые могут быть задействованы для атак на другие регионы.
Будем следить.
🧬Анатомия хайпа: утечка на «16 миллиардов паролей»
Новостные ленты пестрят заголовками о «величайшей утечке» и компрометации 16 миллиардов паролей. Первоисточником выступил портал Cybernews, информацию оперативно подхватили Forbes и другие крупные медиа. Звучит как настоящий киберапокалипсис, но если отделить зерна от плевел, то картина получается совсем иной.
Начнем с первоисточника. Cybernews действительно время от времени находят уязвимости и утечки. Исследователи обнаружили масштабный набор данных, который был временно доступен через незащищенные экземпляры Elasticsearch или объектных хранилищ (object storage instances). Проблема кроется в подаче и последующей медийной интерпретации. Использование формулировок вроде «план для массовой эксплуатации» и «свежая, готовая к применению разведывательная информация» создает ложное впечатление единовременного и катастрофического взлома супер-пупер глобального хранилища. Не обладая технической экспертизой, журналисты приняли такую подачу за чистую монету. Цифра в 16 миллиардов стала триггером, а путаница в терминах, когда одни пишут про «учетные записи», а другие про «пароли», лишь усилила медийный хайп.
В чем же фундаментальная ошибка такой подачи? Как верно подметили трезвые аналитики, это не утечка, а компиляция. Данный массив является результатом многолетней работы вредоносных программ класса инфостилер. Механика процесса проста: тысячи компьютеров заражаются, а затем инфостилер похищает все сохраненные в браузерах пароли, после чего логи агрегируются в стандартизированном формате (URL:логин:пароль). То, что нашли исследователи, всего лишь гигантский «склад» таких логов. В нем огромное количество дублей, устаревших паролей и давно скомпрометированных данных.
Вместо того, чтобы подготовить сдержанный технический отчет для ИБ-сообщества с внятной детализацией (заявления серьёзные), они упаковали свою находку в сенсационную обертку для широких масс и СМИ.
Если появятся какие-то новые вводные, детали (что-то интересное) или аналитики опубликуют убедительные доказательства того, что "утечка" заслуживает внимания, то сделаю ещё один пост, а так нет смысла обсуждать.
В любом случае рекомендуется использовать сложные и уникальные пароли, подключить двухфакторную аутентификацию (2FA) и проверять периодически себя на утечки. Стоит напомнить, что в РФ у нас есть свой Have I Been Pwned — https://chk.safe-surf.ru (сайт создан при поддержке 🛡 Национального координационного центра по компьютерным инцидентам (НКЦКИ).
✋ @Russian_OSINT
Ресерчеры из Лаборатории Касперского выкатили отчет с обзором активности APT и финансово мотивированных атак на промышленные предприятия и объекты критической инфраструктуры, раскрытых в первом квартале 2025 года.
Не вдаваясь в детали, выделим основные отмеченные исследователями по итогам квартала тренды.
На корейском направлении исследователи отмечают риски атак на цепочки поставок. На этот раз целью стал местный разработчик VPN-решения.
Пострадала как минимум одна промышленная компания - производитель полупроводниковой продукции.
В двух инцидентах задействовались 0-day в ходе атак на промышленные организации - один касался уязвимости 7-Zip, а другой - 0-click в MS Windows.
Разработчик отказался исправить последнюю уязвимость, хотя она была отслежена в нескольких вредоносных кампаниях, самая ранняя из которых произошла в 2017 году.
Техника использования файлов-полиглотов, которые создаются из данных разных форматов таким образом, что их интерпретируют разные легитимные интерпретаторы, внезапно стала популярной среди злоумышленников.
Исследователи Proofpoint сообщили об одной такой кампании с участием полиглотов PDF/HTA и PDF/ZIP, в то время как эксперты ЛК предупредили о другой - участием полиглота PE/ZIP.
Еще одна история - это сложные методы кражи данных аутентификации на этапах бокового перемещения. Подчеркивается необходимость для постоянно проверять периметр промышленных предприятий на предмет признаков потенциальной компрометации.
Настоятельно рекомендуем ознакомиться всем, кто интересуется APT-тематикой.
Фактурно в новом обзоре раскрыты:
- атаки SalmonSlalom, нацеленные на организации в Азиатско-Тихоокеанском регионе с помощью фишинга и FatalRAT;
- вредоносная кампания по доставке VIP Keylogger, ориентированная на инжиниринговые компании в Азиатско-Тихоокеанском регионе;
- новейшая виктимология и арсенал SideWinder;
- фишинговая кампания Squid Werewolf с финальной нагрузкой - VeilShell;
- деятельность связанной с Китаем APT PlushDaemon, которой удалось провернуть атаку на цепочку поставок южнокорейского VPN IPany;
- атаки на маршрутизаторы Juniper и VPN-шлюзы с использованием J-magic;
- использование Shadowpad для для развертывания ранее не документированного семейства ransomware;
- новая кампания атак под названием RevivalStone, организованная группой Winnti;
- новые кампании китайской APT Lotus Blossom на Филиппинах, во Вьетнаме, Гонконге и Тайване с обновленным бэкдором Sagerunex;
- TTPs впервые замеченного китайскоязычного злоумышленника Earth Alux;
- удары по российским научно-производственным предприятиям, предпринимаемые Sticky Werewolf;
- особенности кибершпионажа Rezet (Rare Wolf) на российском, белорусском и украинском направлениях;
- задействование CVE-2025-0411 для развертывания вредоносного ПО SmokeLoader в кампании, нацеленной на украинские организации;
- атаки на российские компании со стороны группировки Mythic Likho;
- новые активности группы ReaverBits;
- разоблачение ранее неизвестной APT-группы под названием Telemancon;
- разбор инструментария и волны новых целевых атак Head Mare;
- описание инциированной подгруппой Seashell Blizzard кампании BadPilot;
- атаки с использованием GoGo Exfiltration;
- расследование новой APT-атаки под названием NGC4020;
- препарирование нового злоумышленника, получившего название Desert Dexter;
- деятельность UNK_CraftyCamel;
- атаки с использованием загрузчика вредоносного ПО под названием MintsLoader, а также уязвимости ZDI-CAN-25373;
- IOC и TTPs программы-вымогателя Ghost (Cring).
В общем, полная версия отборной аналитики - здесь.
Журналисты Bloomberg совместно с Lighthouse Reports провели расследование, результаты которого указывают на то, что швейцарская компания Fink Telecom Services обрабатывала коды 2Fa для Google, Meta и Amazon, оказывая при этом услуги кибершпионажа, в том числе госсектору.
Дело в том, что Big Tech компании сами не отправляют коды авторизации своим клиентам напрямую, для этого задействуется целая сеть подрядных организаций на аутсорсинге, которые обеспечивают «маршрутизацию SMS-трафика с наименьшей стоимостью».
При этом в виду присущих SMS недостатков субъекты, обрабатывающие такие сообщения, могут видеть их содержимое.
Но сложность системы означает, что ни отправитель, ни получатель не могут быть уверены в том, кто именно обрабатывал их по пути.
Предоставленная журналистам в анонимном порядке подборка из примерно 1 млн. сообщений с кодами 2Fa за июнь 2023 года показала, что каждое из них прошло через сеть малоизвестной швейцарской компании Fink Telecom Services.
Согласно многочисленным ИБ-отчетам, компания и ее основатель Андреас Финк активно сотрудничали со спецслужбами и частными заказчиками, реализуя услуги по наблюдению за мобильными телефонами, установлению местоположения пользователей и взлому онлайн-аккаунтов.
Бывший инженер Cisco Systems Inc., Финк основал свою компанию в 2016 году.
Несмотря на ее небольшой размер штата (менее 10 сотрудников), ей удалось заключить прибыльные контракты в различных сферах технологического наблюдения.
Ключевой частью бизнеса Fink Telecom являются контракты с международными операторами мобильной связи на использование так называемых глобальных номеров.
Они служат своего рода телефонным номером Telecom-to-Telecom, позволяя владельцам отправлять сообщения на мобильные сети в других странах.
Помимо использования своих глобальных номеров для собственных операций, телеком-компании могут получать дополнительный доход, сдавая их в аренду таким операторам, как Fink.
Fink Telecom владел или имел права на глобальные права у телекоммуникационных компаний в таких локациях, как Швейцария, Великобритания, Намибия и даже Чеченская Республика.
В представленных журналистам сообщениях помимо автоматически сгенерированными кодов входа также присутствовали пути маршрутизации до конечных пунктов назначения.
Среди отправителей - Google, Meta (признана экстремистской) и Amazon, несколько европейских банков, популярные приложения, такие как Tinder и Snapchat, криптобиржа Binance и мессенджеры Signal и WhatsApp.
Предполагаемые получатели - в более чем 100 странах на пяти континентах.
Сам Финк категорически отрицает все обвинения и заявляет, что напрямую не работает с крупными технологическими игроками, прокладываясь сетью субподрядных компаний и делаюя весь процесс передачи сообщений абсолютно непрозрачным.
Шокирующим является даже не это, а то, что Финк до сих пор продолжает получать доступ к нужному сегменту сообщений.
Исследователи из Positive Technologies сообщают об обнаружении атак TaxOff, нацеленных на 0-day в Google Chrome, которая была исправлена после ее раскрытия Лабораторией Касперского в рамках расследования ее реальной эксплуатации в ходе кампании «Операция ForumTroll».
Атака, обнаруженная Позитивами в середине марта 2025 года, включала использование уязвимости выхода из «песочницы», отслеживаемой как CVE-2025-2783 с оценкой CVSS: 8,3.
Первоначальным вектором атаки выступает фишинговое письмо с вредоносной ссылкой.
При переходе активировался Zero-Click эксплойт (CVE-2025-2783), что приводило к установке бэкдора Trinper, используемого TaxOff.
При этом фишинговое письмо было замаскировано под приглашение на форум «Примаковские чтения» (та же приманка, о которой сообщали Касперы), призывая пользователей нажать на ссылку, ведущую на поддельный веб-сайт, на котором размещался эксплойт.
TaxOff впервые была задокументирована Позитивами в конце ноября 2024 года как группа, нацеленная внутренние государственные учреждения с помощью фишинговых писем юридического и финансового характера для доставки вредоносного ПО Trinper.
Написанный на C++, бэкдор использует многопоточность для захвата информации о хосте жертвы, записи нажатий клавиш, сбора файлов c определеннымb расширениямb (.doc, .xls, .ppt, .rtf и .pdf), а также установления соединения с C2 для получения команд и извлечения результатов выполнения.
Инструкции, отправляемые с C2, расширяют функциональность импланта, позволяя ему читать/записывать файлы, выполнять команды с помощью cmd.exe, запускать обратную оболочку и завершать работу.
Как отмечают Позитивы, многопоточность обеспечивает высокую степень параллелизма, позволяя скрыть бэкдор, сохраняя при этом возможность собирать и извлекать данные, устанавливать дополнительные модули и поддерживать связь с C2.
Расследование мартовского взлома привело к обнаружению еще одной атаки, датируемой октябрем 2024, которая также началась с фишингового письма с фейковым приглашением на международную конференцию «Безопасность Союзного государства в современном мире».
В этом письме содержалась ссылка, которая загружала файл архива ZIP с ярлыком Windows, который, в свою очередь, запускал команду PowerShell, в конечном итоге отображая документ-приманку и запуская бэкдор Trinper посредством загрузчика Donut с открытым исходным кодом.
Кроме того, была обнаружена разновидность атаки, которая заменяет загрузчик Donut на Cobalt Strike.
Данная цепочка атак имеет ряд тактических сходств с killchain другой группы, известной как Team46, что повышает вероятность того, что эти два кластера угроз являются одним и тем же субъектом.
Причем, другая серия фишинговых писем, отправленных Team46 месяцем ранее, была реализована якобы от Ростелекома, предупреждая получателей о предполагаемых отключениях из-за технического обслуживания в прошлом году.
В письмах содержался ZIP-архив, в который был встроен ярлык, запускавший команду PowerShell для развертывания загрузчика, который ранее использовался для доставки другого бэкдора в ходе атаки, нацеленной на неназванную российскую компанию в сфере Ж/Д-грузоперевозок.
Эта группа использует 0-day эксплойты, что позволяет ей более эффективно проникать в защищенные инфраструктуры.
Группа также создает и использует сложное вредоносное ПО, преследуя долгосрочную стратегию и сохраняя устойчивость в скомпрометированных системах.
Новости из мира коммерческих шпионцев
Я время от времени пишу про коммерческое шпионское ПО. Это то, которое продается относительно легально, в зависимости от юрисдикции и тд. Сегодня я расскажу немного про новую "звездочку", которую активно, судя по всему, лоббируют для рынка США взамен наследившей NSO Group и еёйной Pegasus.
И так, знакомьтесь, Paragorn Solutions, основана в 2019 в Израиле. Стартер пак израильского стартапа: выходцы из Unit 8200 (например, бригадный генерал запаса, служил командиром подразделения 8200), бывший премьер министр Израиля как главный инвестор и GR и тд (фото 1). Забавный факт - один со-основателей и одновременно CTO то ли шифруется коряво, то ли журналисты "путают" фамилию - Игорь Богудлов (по другой версии Богданов)
В марте 2021 года они открывают "дочку" в штатах Delaware, а в октябре 2022 года получают разрешение на ведение бизнеса в штате Вирджиния. Почему там? Да прост... И в целом в этом штате ОЧЕНЬ МНОГО ИБ стартапов с мутненькими темками. Ну да ладно, едем дальше. Дочку в Штатах накачивают топ "бывшими": бывшие ЦРУшники, бывший ввсник, бывшкая из L3Harris (тоже гос подрядчик штатовский).
Дальше веселее. В декабре 2024 года Paragon (оставшееся израильское подразделение) выкупается частной инвестиционной компанией из США AE Industrial Partners. Изначальный транш - 500 млн USD с увеличением объема сделки до 900 млн USD. Средства были распределены между 450 (!!!) сотрудниками Paragon, ее соучредителями и венчурными инвесторами, такими как Battery Ventures и Red Dot. После сделки по легальному переносу активов из Израиля в США, Paragorn заводят под крыло другой ибэшкой компании из США - REDLattice. Они специализируются на услугах для Госдепа и "ангглоговорящих стран". Перевожу - подрядчик американской военщины и 5EYES (разведовательное сообщество пяти англоговорящих стран)
Зачем всё это? Очень просто - NSO со своим Pegasus очень сильно наследили последнее время. А легализовать рынок кибератак в США нужно. В Израиле уже давно есть термин "cyberattack industry". Однако США нужно заполнить эту нишу: (а) санкции на существующих игроков вне США; (б) покупка перспективных новичков, подвод их за ручку к текущим клиентам и расширение портфолио. И теперь это не киберпреступники и нарушители privacy, а борцы за демократию. Гениально, мне кажется. Смело, дерзко, уверенно
Первые сделки в США у Paragorn были с DEA (Управление по борьбе с наркотиками). Это уже не случайность, а зависимость. На этом "грязном" агентстве, которое активно использует новые эксперементальные технологии, обкатывают многое
Передел рынка коммерческого шпионского ПО идет очень быстро. Подход поистине масштабный и основательный. Причем даже израильские сми уже пишут, что тяжело от американских санкций в области "cyberattack industry", что многие специалисты из этой области либо меняют профиль, либо переезжают на Ближний Восток, где это можно - работают в Intellexa, которую основали Tal Dilian (выходец из Unit 81 и вместе со своей женой под санкциями США) и, простихоспади, Dark Matter. Видимо будут "договариваться" с мессенджерами типа WhatsApp и Signal. Мол, мы не невинных ломаем, а тех, кого нужно. "Хотите узнать почему? Ой сорри - CLASSIFIED INFORMATION. Предъявите доступ к этой инфе с разрешением DoD и тогда дадим". С точки зрения приватности и защиты пользователей - полная катастрофа. С точки зрения работы GR и стратегического развития бизнеса (вижу цель, не вижу преград) - вау!
К сожалению, или счастью (ищу тут веские доводы), в России рынок cyberattack industry даже не в зачаточном состоянии, а в каком-то подполье и нет нормальной организованности. Но, боюсь, что классический подход к такой организованности может сделать хуже. Тут нужно смелее
- Махните рукой если запомнили положения политики ИБ!
Правильные методы корпоративного обучения на канале SecAtor.
У Microsoft традиционно что-то снова поломалось после выпуска обновлений, а этот раз проблема связана с зависанием службы DHCP зависает на некоторых системах Windows Server после июньского PatchTuesday.
DHCP автоматизирует назначение IP-адресов и других сетевых конфигураций, сокращая объем администрирования сети и обеспечивая надежную конфигурацию IP-адресов в сетях Windows.
В затронутых средах вновь возникшая проблема DHCP, которую на выходных официально подтвердила сама Microsoft, препятствует корректному применению обновлений одноадресных IP-адресов на сетевых устройствах.
Как отмечает Редмонод в рекомендациях по безопасности, после установки обновления служба DHCP-сервера может периодически переставать отвечать, затрагивая обновление IP-адресов клиентов.
В числе затронутых версий Windows и обновлений, вызывающих эту проблему: Windows Server 2016 (KB5061010), Windows Server 2019 (KB5060531), Windows Server 2022 (KB5060526) и Windows Server 2025 (KB5060842).
В общем, в Microsoft проблему обещают исправить. Как обычно оперативно - согласно традиционной формуле: как только, так сразу.
В частности, возникшие после апрельского патча проблемы аутентификации на контроллерах домена Windows Server микромягкие закрыли лишь в июне.
В этом году наблюдаются динамичные изменения в деятельности банд вымогателей.
Помимо разборок и сливов исходников запущена новая модель RaaS в формате White label, а заявившая о себе в прошлом году банда Anubis добавила в арсенал модуль очистки, который уничтожает целевые файлы без возможности восстановления.
Anubis ransomware - относительно новый субъект RaaS-угроз, впервые обнаруженный в декабре 2024 года, но ставший более активным в начале года. 23 февраля операторы анонсировали партнерскую программу на RAMP.
Как сообщали тогда исследователи KELA, Anubis предлагала своим операторам в рамках классической схемы до 80% своей выручки, при вымогательстве - 60%, а брокерам первоначального доступа - 50%.
В настоящее время на DLS Anubis в даркнете перечислено всего восемь жертв, но масштабы атак, по всей видимости, будут возрастать по мере оттачивания технической стороны вопроса.
Впрочем, исследователи Trend Micro подтверждают эти доводы, сообщая об обнаружении новых функций, над которыми активно работает Anubis, самой необычной из них является стирание файлов.
В частности, последние проанализированные ресерчерами образцы Anubis содержали wiper, который, по их мнению, должен усилить давление на жертв и заставит платить быстрее, избегая при этом затягивания переговоров или вовсе их игнорирования.
Такое деструктивное поведение активируется с помощью параметра командной строки «/WIPEMODE», для которого требуется аутентификация на основе ключа.
При активации вайпер стирает все содержимое файлов, уменьшая их размер до 0 КБ, сохраняя при этом имена и структуру файлов нетронутыми.
Жертва по-прежнему будет видеть все файлы в нужных каталогах, но их содержимое будет необратимо уничтожено, что сделает восстановление невозможным.
Атаки начинаются с фишинга с вредоносными ссылками или вложениями.
Анализ Trend Micro показывает, что Anubis поддерживает несколько команд при запуске, включая повышение привилегий, исключение каталогов и целевые пути для шифрования.
Важные системные и программные каталоги по умолчанию исключены. Программа-вымогатель удаляет теневые копии томов и завершает процессы и службы, которые могут помешать процессу шифрования.
Схема шифрования задействует ECIES (интегрированную схему шифрования на основе эллиптических кривых), что имеет некоторое тактическое сходство в реализации с EvilByte и Prince.
Зашифрованным файлам добавляется расширение .anubis, в затронутые каталоги помещается HTML-записка с требованием выкупа.
Кроме того, же вредоносная ПО предпринимает попытку изменения обоев рабочего стола.
Полный перечень IoC, связанных с атаками Anubis, доступен здесь.
Будь текуч как вода, покоен как зеркало и отмазывайся как вторая тётка из видео с синими ведрами (с) Лао-цзы, "Наставление для начинающего ИБшника"
Читать полностью…
Пора бы Trend Micro начать отслеживать в качестве Earth Huend Huykrow угрозы, создаваемые многочисленными критическими уязвимостями в собственных решениях компании, как это они делают по APT, присваивая им незамысловатые наименования.
Компания выпустила обновления для устранения множества критических уязвимостей удаленного выполнения кода и обхода аутентификации, которые влияют на ее Apex Central и Endpoint Encryption (TMEE) PolicyServer.
Решение реализует полное шифрование диска и шифрование съемных носителей для конечных точек на базе Windows, используется корпоративных средах в регулируемых отраслях.
Согласно бюллетеню по безопасности, Trend Micro устранила следующие критические недостатки:
- CVE-2025-49212: RCE-ошибка до аутентификации, вызванная небезопасной десериализацией в классе PolicyValueTableSerializationBinder. Удаленные злоумышленники могут использовать ее для выполнения произвольного кода как SYSTEM без необходимости входа в систему
- CVE-2025-49213: RCE-уязвимость до аутентификации в классе PolicyServerWindowsService, возникающая из-за десериализации ненадежных данных. Злоумышленники могут запустить произвольный код как SYSTEM без необходимости аутентификации
- CVE-2025-49216: ошибка обхода аутентификации в службе DbAppDomain в виду некорректной реализации аутентификации. Удаленные злоумышленники могут полностью обойти вход в систему и выполнять действия на уровне администратора без учетных данных
- CVE-2025-49217: RCE-уязвимость предварительной аутентификации в методе ValidateToken, вызванная небезопасной десериализацией. Позволяет неаутентифицированным злоумышленникам запускать код как SYSTEM
Уязвимости затрагивают все версии вплоть до последней (устранены в версии 6.0.0.4013 (Patch 1 Update 6), не имеют никаких смягчений или обходных путей.
Второй набор уязвимостей, закрытых Trend Micro, затрагивает Apex Central - централизованную консоль управления безопасностью, используемую для мониторинга, настройки и управления продуктами и агентами безопасности Trend Micro в контуре организации.
Обе проблемы являются критически важными и связаны с RCE до аутентификации с CVSS 9.8:
- CVE-2025-49219: RCE-уязвимость предварительной аутентификации в методе GetReportDetailView Apex Central, вызванная небезопасной десериализацией. Эксплуатация позволяет неаутентифицированным злоумышленникам выполнять код в контексте NETWORK SERVICE.
- CVE-2025-49220: RCE до аутентификации в Apex Central в методе ConvertFromJson. Неправильная проверка входных данных во время десериализации позволяет злоумышленникам выполнять произвольный код удаленно без аутентификации.
Проблемы были исправлены с выпуском патча B7007 для Apex Central 2019 (локально), для Apex Central как услуги - автоматически применяются на бэкэнде.
Поставщик решений в области ИБ указывает на отсутствие каких-либо проявлений Earth Huend Huykrow в дикой природе. Но не смотря на это, рекомендует немедленно применить обновления для устранения рисков.
Некто Сатоши, как анонсируется, взломал провайдера электронной почты с неоднозначной репутацией Cock[.]li и теперь реализует данные в киберподполье на XSS по цене в 1 биткоин.
Хакер, по всей видимости, задействовал недавно обнаруженную 0-day в Roundcube (CVE-2025-49113) для взлома базы данных Cock[.]li и последующей кражи данных более миллиона зарегистрированных пользователей.
В отчете по результатам расследования администрация веб-почты отрицает инцидент, утверждая, что уязвимость, использованная при атаке, не влияет на ее версию Roundcube, однако в публичных отчетах указывается совсем противоположное.
При этом с формулировкой «даже если не будет обнаружено никаких признаков вторжения или успешной эксплуатации», Cock[.]li заявила, что планирует отказаться от использования Roundcube в любом случае.
Пользователям рекомендовано перейти на десктопные почтовые клиенты для подключения к своим аккаунтам, пока админы не подберут другое ПО для веб-почты.
Несмотря на заявления Cock[.]li, многие исследователи подтверждают подлинность утечки, которая уже заинтересовала многие инфосек-компании и силовой блок.
Cock[.]li стартовал в 2013 году в качестве бесплатного почтового сервиса и быстро вошел в обиход киберпреступности. Уже в 2015 его сервера выхлапывали немецкие спецслужбы, которые тогда вели розыск анонима, сообщившего о бомбе в США.
В свою очередь, упомянутая 0-day является типичным примером «пробела в исправлениях».
Разработчики Roundcube внедрили исправление в кодовую базу GitHub, но затем потребовалось несколько дней, чтобы реализовать новую версию проекта, в результате чего информация об уязвимости оказалась в открытом доступе, а серверы веб-почты Roundcube оказались уязвимы для атак.
По данным FearsOff, злоумышленники вовремя заметили измененный код и быстро выкатили эксплойты для ошибки на хакерские форумы до того, как Roundcube выпустила исправление, которое пользователи смогли установить.
При этом исследователи Shadowserver полагают, что более 85 000 серверов Roundcube подверглись атакам.
Весьма вероятно, что большая часть из них была в итоге взломана, а украденные данные ждет та же участь, что и Cock[.]li.
Подкатила очередная подборка уязвимостей и обновлений, отметим наиболее основные:
1. Разработчики Jenkins опубликовали обновление безопасности для своих плагинов Gatling.
2. Тайваньский производитель NAS-устройств QNAP выпустил обновления безопасности для девяти своих продуктов.
3. Cisco устранила четыре уязвимости в платформе Splunk SIEM.
4. В платформе Apache InLong устранена уязвимость ненадежной сериализации данных.
5. SolarWinds представила обновление безопасности для инструмента удаленного рабочего стола DameWare Mini Remote Control.
6. Исследователь Эджидио Романано анализирует, как исправление уязвимости внедрения PHP-объектов 2014 года в программное обеспечение vBulletin привело к тайному внедрению вектора атаки десериализации, называя это хрестоматийным примером поспешных исправлений.
Заменив serialize() на json_encode() в попытке исправить предполагаемые уязвимости PHP Object Injection, разработчики непреднамеренно открыли возможность подписывать и отправлять полезные данные в кодировке base64.
Затем эти полезные данные можно использовать для вызова функции PHP unserialize(), что позволяет десериализовать вредоносные объекты.
7. Команда Orange выкатила технический анализ для пяти уязвимостей, обнаруженных в устройствах SMA 500 SonicWall, которые были исправлены в декабре 2024 года.
8. DFSEC опубликовала анализ эксплойта BLASTPASS для iOS.
9. Исследователи SecureLayer7 выдали описание и PoC для RCE в пользовательском интерфейсе AWS Amplify Codegen, отслеживаемой как CVE-2025-4318.
10. Исследователь cR0w сообщает об обнаружении на прошлой неделе крупной партии PoC-документов для маршрутизаторов Tenda (1, 2, 3, 4, 5 и 6).
11. Исследователь Дэвид Бьюкенен обнаружил первый эксплойт для Nintendo Switch 2 в первый день после запуска продукта.
12. Исследователи Codean Labs обнаружили уязвимость (CVE-2025-47934) в библиотеке OpenPGP.js, которую можно использовать для подделки действительных результатов проверки подписи.
13. Исследователь обвиняют Apple в молчаливом исправлении эксплойта iMessage с нулевым щелчком.
Джозеф Гойдиш утверждает, что эксплойт мог позволить удаленные атаки на выполнение кода и кражу ключей Secure Enclave и данных криптокошелька.
Apple якобы исправила две ошибки, связанные с цепочкой эксплойтов, в апреле без какого-либо упоминания или подтверждения, несмотря на ответственное раскрытие информации.
Исследователи Binarly раскрыли способ обхода Secure Boot, который отслеживается как CVE-2025-3052 и затрагивает практически все системы, которые доверяют сертификату Microsoft UEFI CA 2011, то есть практически все оборудование, поддерживающее безопасную загрузку.
ОБнаружить уязвимость позволил анализ утилиты для перепрошивки BIOS, которая первоначально была разработана для защищенных планшетов, но поскольку она подписана сертификатом UEFI от Microsoft, ее можно запустить на любой системе с поддержкой Secure Boot.
Расследования показало, что уязвимый модуль циркулировал в сети по крайней мере с конца 2022 года, а затем, в 2024 году, был загружен на VirusTotal, где его и задетектила компания Binarly.
Последняя сообщила о найденной уязвимости в CERT/CC 26 февраля 2025 года, исправления для нее подкатили в рамках Patch Tuesday от Microsoft за июнь 2025 года.
По результатам отработки Microsoft пришла к выводу, что проблема затронула не один модуль, как предполагалось изначально, а на самом деле 14 различных модулей.
Так что обновленный dbx, выпущенный во время Patch Tuesday 10 июня 2025 года, содержит 14 новых хешей.
Уязвимость вызвана легальной утилитой обновления BIOS, подписанной сертификатом Microsoft UEFI CA 2011, которому доверяют большинство современных систем, использующих прошивку UEFI.
Она считывает переменную NVRAM (IhisiParamBuffer), доступную для записи пользователем, без ее проверки.
Если у злоумышленника есть права администратора операционной системы, он может изменить эту переменную, чтобы произвольные данные записывались в области памяти во время процесса загрузки UEFI. Выполнение реализуется еще до загрузки операционной системы или даже ядра.
Используя эту уязвимость, исследователи Binarly разработали PoC для обнуления глобальной переменной gSecurity2, которая используется для обеспечения безопасной загрузки.
Эта переменная содержит указатель на архитектурный протокол Security2, который функция LoadImage использует для обеспечения безопасной загрузки.
Установив его в ноль, удается фактически отключить безопасную загрузку, разрешая выполнение любых неподписанных модулей UEFI.
После отключения злоумышленники могут установить вредоносное ПО типа буткит со всеми вытекающими отсюда последствиями.
Для исправления CVE-2025-3052 Microsoft добавила хэши затронутых модулей в список отзыва Secure Boot dbx.
Кроме того, для защиты своих устройств Binarly и Microsoft настоятельно рекомендуют пользователям немедленно установить обновленный файл dbx с помощью доступных обновлений безопасности.
Помимо CVE-2025-3052 Microsoft пофиксила еще один обход Secure Boot, влияющий на UEFI-совместимую прошивку на основе Insyde H2O.
Уязвимость, названная Hydroph0bia и отслеживаемая как CVE-2025-4275, была раскрыта Insyde и исправлена через 90 дней.
Cloudflare рапортует об отражении крупнейшей из когда-либо зафиксированных распределенных атак типа DDoS, пиковая мощность которой составила 7,3 терабита в секунду (Тбит/с).
Атака, обнаруженная в середине мая 2025 года, была направлена на неназванного хостинг-провайдера, через сети которого прошло 37,4 терабайта в течение 45 секунд.
Ранее в январе этого года Cloudflare сообщала о DDoS-атаке мощностью 5,6 Тбит/с, направленную на неназванного интернет-провайдера (ISP) из Восточной Азии. Тогда для ее проведения был задействован вариант ботнета Mirai.
Позже в апреле 2025 года Cloudflare противостояла мощному трафику в 6,5 Тбит/с, который, вероятно, исходил от Eleven11bot, ботнета, состоящего примерно из 30 000 веб-камер и видеорегистраторов. Гиперобъемная атака длилась около 49 секунд.
Для сравнения, DDoS-атака мощностью 7,3 Тбит/с затронула в среднем 21 925 портов назначения одного IP-адреса хостинг-провайдера, достигнув пика в 34 517 портов назначения в секунду.
Многовекторная атака возникла из схожего распределения исходных портов и была идентифицирована как комбинация UDP-флуда, отражения QOTD, echo, NTP, portmap-флуда, атак Mirai UDP-флуда и усиления RIPv1. При этом UDP-флуд составил 99,996% всего трафика атаки.
Cloudflare также указала, что атака исходила из более чем 122 145 исходных IP-адресов, охватывающих 5 433 автономных систем (AS) в 161 стране.
Основными источниками трафика атак были Бразилия, Вьетнам, Тайвань, Китай, Индонезия, Украина, Эквадор, Таиланд, США и Саудовская Аравия.
Подкатили новые подробности относительно эксплуатации критической уязвимости FreeType, которая отслеживается как CVE-2025-27363.
Согласно данным WhatsApp, принадлежащий Meta (признана экстремистской), недавняя уязвимость FreeType, отмеченная на момент раскрытия информации как потенциально эксплуатируемая, была связана с эксплойтом израильской Paragon.
В середине марта Meta опубликовала рекомендацию, информируя пользователей о CVE-2025-27363 - уязвимости в библиотеке с открытым исходным кодом FreeType, которая может привести к RCE и потенциально могла быть использована в дикой природе.
В начале мая уязвимость в Android была исправлена и добавлена CISA в каталог известных эксплуатируемых уязвимостей.
Однако никакой публичной информации об атаках с использованием CVE-2025-27363 не поступало.
На этой неделе стало известно, что идентификатор CVE-2025-27363 был запрошен исследователями WhatsApp после того, как уязвимость была связана с эксплойтом Paragon.
Исследовательская группа Citizen Lab в марте сообщала, что 0-day WhatsApp использовалась в атаках шпионского ПО Paragon.
Представители WhatsApp тогда отмечали, что 0-day атаки включали использование групп и отправку PDF-файлов, а уязвимость была исправлена на стороне сервера, без необходимости исправления на стороне клиента.
При этом CVE-2025-27363 была обнаружена в ходе расследования других потенциальных каналов (за пределами WhatsApp), которые злоумышленники, прежде всего, компании-разработчики шпионского ПО, могут использовать для распространения вредоносного ПО.
В WhatsApp заявили, что поделились своими выводами с другими разработчиками в рамках координации общих усилий по повышению защиты в отрасли.
FreeType - это библиотека разработки, предназначенная для рендеринга текста на растровых изображениях, а также обеспечивающая поддержку других операций, связанных со шрифтами.
В случае CVE-2025-27363, которая влияет на FreeType 2.13.0 и более ранние версии, Meta обнаружила, что проблема возникает при попытке проанализировать структуры субглифов шрифта, связанные с TrueType GX и файлами переменных шрифтов.
Уязвимый код присваивает короткое знаковое значение длинному беззнаковому значению, а затем добавляет статическое значение, заставляя его переворачиваться и выделять слишком маленькое количество буфера кучи.
Затем код записывает до 6 длинных знаковых целых чисел за пределы этого буфера, что может привести к выполнению произвольного кода.
Paragon известна разработкой сложных эксплойтов, не требующих никакого взаимодействия со стороны целевого пользователя, а ее шпионское ПО Graphite Paragon в недавнем времени было замечено в Австралии, Канаде, Дании, Италии, Кипре, Сингапуре и Израиле.
Компания до недавнего времени также могла взламывать современные iPhone.
Правда, с тех пор, эксплуатируемая уязвимость была исправлена, как в случае и с CVE-2025-27363.
Но полагаем пройдет не много времени, прежде чем в Paragon смогут вооружиться новыми нулями, тем более, что оборотки заметно прибавилось в компании после финансирования со стороны американского правительства.
Мы встречаем нового CISO. Машу таращит от антидепрессантов. А лысый вообще не из нашего отдела.
Читать полностью…
Исследователи Tenable обнаружили серьезную проблему, связанную с неправильной настройкой разрешений на платформе Gerrit, которая могла привести к взлому ChromiumOS и других проектов Google.
Gerrit, разработанная Google, представляет собой платформу для совместной работы и обзора открытого исходного кода, которая позволяет разработчикам вносить изменения кода до их объединения в проекты.
Регистрация на Gerrit открыта для всех. Google использует эту платформу для ChromiumOS, Bazel, Dart, самого Gerrit, сторонних пакетов Chromium и множества других проектов.
По данным Tenable, разрешения по умолчанию как минимум в 18 проектах Google, а также состояние гонки в автоматизированном процессе отправки одобренных коммитов могли позволить злоумышленникам внедрить вредоносный код без взаимодействия с пользователем и реализовать атаку на цепочку поставок.
Получившая наименование GerriScary проблема связана с разрешением addPatchSet, которое позволяет зарегистрированным пользователям вносить изменения в существующие предложения по изменению кода, а также с процессом утверждения исправлений, который мог позволить злоумышленникам изменять одобренные изменения кода, не запуская новую проверку кода.
Любое изменение кода должно было соответствовать определенным требованиям к отправке и иметь маркировку, прежде чем объединялось ботом, но некорректно настроенные разрешения приводили к тому, что изменения оставались доверенными и одобренными даже после внедрения вредоносного кода.
В частности, Tenable обнаружила, что во многих проектах Google отсутствовали должным образом настроенные разрешения для механизма Gerrit под названием «условия копирования», что позволяло копировать их метки в дополнительные наборы исправлений.
По сути, это позволило добавлять вредоносные исправления к изменениям кода и сохранять требования по отправке.
Кроме того, исследователи выявили состояние гонки в процессе слияния, что позволяло модифицировать доверенные и одобренные изменения кода непосредственно перед тем, как автоматизированный бот их объединял.
Как полагают в Tenable, злоумышленники могут запросить API Gerrit или написать скрипт для перехвата изменений со статусом «отправляемых» и помеченных как подлежащие слиянию, а затем внедрить вредоносный код в изменение всего за несколько минут до того, как автоматизированный бот выполнит его слияние.
Для реализации нудно 5 минут в ChromiumOS и репозиториях Dart, а также до минуты - в других репозиториях Google, пока изменение не будет объединено ботом, включая вредоносный код.
По данным Tenable, в виду того, что GerriScary обусловлен неправильно настроенными разрешениями, любой проект, не устранивший эту проблему, подвержен атакам на цепочку поставок, приводящим к внедрению вредоносного кода в доверенные конвейеры.
Ресерчеры сообщили о проблеме 18 октября.
В течение 10 дней в Google подтвердили ошибку и внесли ограничения в разрешение addPatchSet для доверенных участников, продолжая при этом работать над устранением небезопасной логики копирования.
7 ноября Google полностью устранила уязвимости во всех проектах Gerrit, связанных с Chrome/ChromeOS. Проблеме была присвоена по итогу средняя степень серьезности, признаков эксплуатации не наблюдалось.
В январе компания перечислила Tenable вознаграждение в размере $5000 по программе баг-баунти, а в феврале уязвимости был присвоен идентификатор CVE-2025-1568.
😈 Как хакеры используют рекламные посты в социальных сетях.
• Еще в марте у Positive Technologies вышел интересный отчет, где подробно расписана вредоносная кампания, которая была нацелена на жителей стран Ближнего Востока и Северной Африки. Для распространения малвари хакеры создавали поддельные новостные группы в социальных сетях и публиковали посты с рекламой, содержащие ссылки на файлообменник или Telegram-каналы. По этим ссылкам располагался AsyncRAT - модифицированное вредоносное ПО для поиска криптокошельков и взаимодействия с Telegram-ботами. Если интересно, то почитайте детальное описание по ссылке ниже:
➡ https://www.ptsecurity.com/desert-dexter-ataki-na-strany-blizhnego-vostoka
• Так вот, давайте расскажу вам про распространение вредоносного ПО посредством различных блогов на YT \ Telegram и продвижение их через рекламу! На самом деле данный метод был весьма эффективным, и особенно эффективным он был в 2018-2020 году (если мы говорим о Telegram). Суть заключалась в следующем: злоумышленники создавали группы, куда публиковали различные программы или игры под видом "взломанных" приложений с платным функционалом. Такая группа активно рекламировалась в других каналах (особенно в даркнет сегменте) и тем самым находила свою аудиторию...
• Сейчас проблема носит точечный характер, так как телега активно борется с распространением ВПО через группы и удаляет их. Но про другие платформы забывать не нужно. Особенно такая схема была распространена на ютубе, когда под видом читов для игр продвигалась малварь для кражи крипты, а в дополнение покупали под ролик отзывы реальных людей. Какой вывод из этого следует? Всегда проверяйте то, что скачиваете! Напомню, что любой сомнительный файл \ ссылку \ ip и даже QR-код вы всегда можете проверить в нашем бесплатном боте. Всем безопасности ❤️
➡ S.E. Virus Detect.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Qualys TRU предупреждают о двух недавно обнаруженных уязвимостях локального повышения привилегий (LPE), которые могут быть использованы для получения прав root в системах, работающих под управлением основных дистрибутивов Linux.
Первая CVE-2025-6018 была обнаружена в конфигурации фреймворка Pluggable Authentication Modules (PAM) в openSUSE Leap 15 и SUSE Linux Enterprise 15, позволяя локальным злоумышленникам получить привилегии пользователя allow_active.
Другая CVE-2025-6019 была обнаружена в libblockdev и позволяет пользователю allow_active получить права root через демон udisks (службу управления хранилищем, которая по умолчанию работает в большинстве дистрибутивов Linux).
Успешное использование этих двух уязвимостей в рамках цепочки эксплойтов может позволить злоумышленникам быстро получить права root и полностью захватить контроль над системой SUSE.
При этом уязвимость libblockdev/udisks в принципе сама по себе также чрезвычайно опасна.
Номинально для нее, кончено, требуются привилегии allow_active, но учитывая, что udisks по умолчанию поставляется почти со всеми дистрибутивами Linux, следует полагать - практически любая система уязвима.
Методы получения allow_active, включая проблему PAM, раскрытую здесь, еще больше сводят на нет этот барьер.
Злоумышленник может объединить уязвимости для root-доступа, приложив для этого минимальные усилия.
Исследователи Qualys разработали также PoC-эксплойт, успешно реализовав CVE-2025-6019 для получения прав root в системах Ubuntu, Debian, Fedora и openSUSE Leap 15.
Кроме того, поделились также подробной технической информацией об этих уязвимостях (здесь) и ссылками на Openwall с соответствующими исправлениями безопасности.
С учетом повсеместного распространения udisk и простоты эксплуатации следует рассматривать выявленные проблемы в качестве критических и незамедлительно развертывать исправления.
Ведь, как отмечают ресерчеры, один неисправленный сервер подвергает опасности весь парк.
Veeam выпустила обновления для исправления ряда уязвимостей в Veeam Backup & Replication (VBR), включая критическую RCE-уязвимость.
Раскрытие CVE-2025-23121 приписывается исследователям watchTowr и CodeWhite.
Она затрагивает Veeam Backup & Replication 12 или более поздние версии, исправлена в 12.3.2.3617, которая была выпущена на днях.
Как объясняет Veeam в бюллетене по безопасности, уязвимость может быть использована аутентифицированными пользователями домена в атаках низкой сложности для удаленного выполнения кода на сервере резервного копирования.
Несмотря на то, что CVE-2025-23121 затрагивает только установки VBR, присоединенные к домену, любой пользователь домена может ею воспользоваться, что упрощает злоупотребления в таких конфигурациях.
При этом многие компании присоединили свои серверы резервного копирования к домену Windows, игнорируя рекомендации Veeam.
Учитывая, что решениями Veeam пользуются более 550 000 клиентов по всему миру, включая 82% компаний из списка Fortune 500 и 74% фирм из списка Global 2000, подобные уязвимости в VBR всегда находятся на прицеле организованной киберпреступности и APT.
В частности, в октябре-ноябре прошлого года на уязвимости VBR RCE нацеливались вымогатели Frag, Akira и Fog, а еще ранее - Cuba и FIN7.
Вероятно, новая проблема также не станет исключением. Но будем посмотреть.
Исследователи F6 сообщают о первых попытках атак на пользователей из России с использованием приложения SuperCard, новой вредоносной модификации легитимной программы NFCGate.
Весной 2025 года SuperCard использовалась в атаках на клиентов европейских банков, а меньше чем через месяц её протестировали и России.
SuperCard позволяет злоумышленникам похищать данные банковских карт путём перехвата NFC-трафика для последующего хищения денег с банковских счетов пользователей.
Незадолго до этого, в апреле 2025, итальянская Cleafy предупреждала об обнаружении MaaS-платформы SuperCard X, через которую это вредоносное ПО распространялось.
Первые атаки с использованием SuperCard исследователи задетектили в Италии.
Алгоритм выявленных Cleafy атак был аналогичен описанным в недавних отчетах F6, когда в криминальных целях задействовалось NFCGate.
Потенциальную жертву с помощью социнженерии побуждали установить вредоносный APK на устройство под видом полезной программы.
Вредоносные версии NFCGate реализовывались предстаивтелями киберподполья через даркнет, однако в случае SuperCard продажа вредоносного приложения с таким функционалом производилась с рекламой через Telegram-каналы и сервисной поддержкой клиентов.
Тогда же, в апреле 2025-го, аналитики F6 обнаружили ряд каналов на китайском языке, в которых предлагалась подписка на ВПО Supercard с поддержкой китайского и английского языкиов.
На китайском выходили все публикации, работала служба поддержки и боты для покупки подписки, на английском изредка появлялись уточняющие комментарии.
Распространялось вредоносное ПО для атак на пользователей крупных банков США, Австралии и Европы.
Никаких ограничений на использование вредоносного ПО в тех или иных странах установлено не было.
Так что спустя месяц после первого публичного упоминания SuperCard атаки с его применением настигли и Россию.
По результатам исследования семплов нового вредоносного ПО F6 были выявлены серьезные отличия как в части функциональных возможностей, так и в структуре кода, что свидетельствует о причастности к их разработке разных групп злоумышленников.
Столь пристальное внимание киберподполья к новинке обусловлено высокой маржинальностью подобных криминальных схем: только в первом квартале 2025 года совокупный ущерб от NFCGate составил 432 млн рублей, а число скомпрометированных устройств превысило 175 тыс.
Технические подробности исследования и индикаторы – в отчете.
Более 46 000 доступных в глобальной сети экземпляров Grafana подвержены уязвимости открытого перенаправления на стороне клиента, которая позволяет запустить вредоносный плагин и захватить учетную запись.
CVE-2025-4123 затрагивает несколько версий, была обнаружена багхантером Альваро Баладой и устранена в обновлениях, выпущенных Grafana Labs 21 мая.
Несмотря на это, по данным исследователей из OX Security, называющих уязвимость The Grafana Ghost, более трети всех экземпляров Grafana не были исправлены до настоящего времени.
Идентифицировав версии, уязвимые для атаки, ресерчеры обнаружили 128 864 экземпляров в сети, из которых 46 506 все еще не обновлены, что соответствует 36% от общего числа.
Глубокий анализ CVE-2025-4123, проведенный OX Security, показал, что с помощью поэтапной эксплуатации, сочетая обход пути на стороне клиента с механизмами открытого перенаправления, злоумышленники могут заставить жертв перейти по URL-адресам, которые приведут к загрузке вредоносного плагина Grafana с сайта, контролируемого злоумышленником.
Исследователи утверждают, что вредоносные ссылки могут использоваться для выполнения произвольного JavaScript в браузере пользователя.
Эксплойт при этом не требует повышенных привилегий и может работать даже при включенном анонимном доступе.
Уязвимость позволяет злоумышленникам перехватывать сеансы пользователей, изменять учетные данные и, в случаях, когда установлен плагин Grafana Image Renderer, выполнять SSRF для чтения внутренних ресурсов.
Несмотря на то, что политика безопасности контента (CSP) по умолчанию в Grafana обеспечивает некоторую защиту, она не предотвращает эксплуатацию из-за ограничений в обеспечении безопасности на стороне клиента.
Разработанный OX Security эксплойт демонстрирует, что уязвимость CVE-2025-4123 может быть использована на стороне клиента для обхода современных механизмов нормализации браузера с помощью логики маршрутизации JavaScript, встроенной в Grafana.
Это позволяет злоумышленникам использовать несоответствия в обработке URL-адресов для обслуживания вредоносных плагинов, которые, в свою очередь, изменяют адреса электронной почты пользователей, что упрощает задачу взлома учетных записей посредством сброса пароля.
Для эксплуатации CVE-2025-4123 требуется ряд условий, включая взаимодействие с пользователем, активный сеанс пользователя при переходе жертвы по ссылке и наличие включенной функции плагина.
Однако в силу достаточно большого количества выявленных уязвимых экземпляров в сочетании с отсутствием необходимости аутентификации открывается значительная поверхность для атак.
Для снижения риска эксплуатации, администраторам Grafana рекомендуется обновиться до версий 10.4.18+security-01, 11.2.9+security-01, 11.3.6+security-01, 11.4.4+security-01, 11.5.4+security-01, 11.6.1+security-01 и 12.0.0+security-01.
Исследователи Cisco Talos предупреждают об уязвимости высокой степени серьезности в ASUS Armoury Crate, которая позволяет злоумышленникам повышать привилегии до уровня SYSTEM на компьютерах Windows.
Armoury Crate - официальное ПО для управления системой Windows от ASUS, включая RGB-подсветкой (Aura Sync), настройками вентиляторов, профилями производительности и периферийными устройствами ASUS, а также для загрузки драйверов и обновлений прошивки
Для выполнения всех этих функций и обеспечения низкоуровневого мониторинга системы программный пакет использует драйвер ядра для доступа к аппаратным функциям и управления ими.
CVE-2025-3464 с оценкой 8,8 из 10 может быть использована для обхода авторизации и связана с виртуальным драйвером AsIO3.sys, который Armoury Crate использует для определенных функций, и устройством Asusgio3, создаваемым этим драйвером.
В целях защиты доступ к драйверу ограничен AsusCertService.exe и процессами, PID которых им добавлены, а также соответствующим хешем SHA-256.
Однако Talos обнаружила, что злоумышленник может создать жесткую ссылку, указывающую на исполняемый файл в том же каталоге, что и AsusCertService.exe, в результате чего функция, проверяющая хэш SHA-256, считывает доверенный двоичный файл, приводя к обходу авторизации.
Благодаря обходу авторизации злоумышленник получает низкоуровневые системные привилегии, открывающие ему прямой доступ к физической памяти, портам ввода-вывода и регистрам, специфичным для модели (MSR), в общем - путь к полной компрометации ОС.
Важно отметить, что для эксплуатации уязвимости CVE-2025-3464 злоумышленник уже должен находиться в системе (заражение вредоносным ПО, фишинг, скомпрометированная непривилегированная учетная запись).
Однако с учетом широкого распространения ПО на компьютерах по всему миру реализует достаточно большую поверхность для атак, что делает ее эксплуатацию весьма привлекательной.
Cisco Talos подтвердила, что уязвимость CVE-2025-3464 затрагивает версию Armoury Crate 5.9.13.0, но в бюллетене ASUS отмечается, что уязвимость затрагивает все версии от 5.9.9.0 до 6.1.18.0.
Cisco сообщила об этой уязвимости ASUS в феврале, но до сих пор не было замечено ни одной эксплуатации в дикой природе.
Тем не менее, ASUS настоятельно рекомендует пользователям обновить установку Armoury Crate до последней версии.
Кстати, Palo Alto Networks ушли недалеко от своих коллег и вполне заслуживают схожего наименования после устранения устранения семи уязвимостей в своей продуктовой линейке.
Помимо этого компания применила 11 исправлений Chrome и исправила уязвимость кэша CVE-2025-4233, влияющую на браузер Prisma Access.
Самая серьезная уязвимость, отлеживаемая как CVE-2025-4232 (CVSS 7,1), представляет собой внедрение аутентифицированного кода с помощью подстановочных знаков в функции сбора журналов приложения GlobalProtect на macOS.
Она позволяет пользователю, не являющемуся администратором, повысить свои привилегии до уровня root.
Palo Alto Networks также устранила уязвимость внедрения аутентифицированных команд администратора PAN-OS’a, идентифицируемую как CVE-2025-4231 (оценка CVSS 6,1), в веб-интерфейсе управления.
Уязвимость PAN-OS’a позволяет аутентифицированным администраторам с доступом к веб-интерфейсу выполнять действия как root. Компания заявляет, что Cloud NGFW и Prisma Access не затронуты.
Другая проблема, исправленная компанией, в PAN-OS’e: уязвимость внедрения аутентифицированных команд администратора через CLI, которая отслеживается как CVE-2025-4230 и имеет оценку CVSS 5,7.
Ошибка позволяет аутентифицированному администратору обходить системные ограничения и запускать произвольные команды как пользователь root. Для эксплуатации пользователь должен иметь доступ к CLI PAN-OS’a.
При этом, как уточняется в рекомендации, риск значительно минимизируется, когда доступ к CLI ограничен ограниченной группой администраторов. Cloud NGFW и Prisma Access не подвержены этой уязвимости.
Компания также исправила уязвимость в PAN-OS’e CVE-2025-4228, раскрывающую незашифрованные данные SD-WAN, а также ошибку виртуальной машины Cortex XDR Broker, которая позволяла злоумышленникам повышать привилегии до уровня root.
Информации об эксплуатации проблем в дикой природе Palo Alto Networks не располагает, а если и располагает - то не делится.
Подкатили подробности исправленной CVE-2025-43200, благодаря которой были совершены Zero-Click атаки на устройства Apple iOS по меньшей мере двух журналистов в Европе.
Традиционно, вредоносная активность инициировалась с использованием spyware, на этот раз - шпионской платформы Graphite компании Paragon, а расследование проводили исследователи Citizen Lab.
По их данным, криминалистические доказательства с высокой степенью достоверности подтверждают, что один известный европейский журналист и его коллега - Чиро Пеллегрино из итальянского издания Fanpage, стали жервами Graphite.
Атаки произошли в начале 2025 года, а 29 апреля Apple отправила жертвам сообщения с уведомлениями о нацеленных на них атаках шпионского ПО.
Неустановленный злоумышленник задействовал шпионскую платформу Graphite для совершения атак на устройства iPhone под управлением iOS 18.2.1 и эксплуатации уязвимости CVE-2025-43200, которая на тот момент являлась 0-day.
Apple описывает уязвимость как логическую проблему, возникшую при обработке вредоносной фотографии или видео, отправленных через iCloud Link.
Поставщик устранил уязвимость 10 февраля в iOS 18.3.1, добавив улучшенные проверки.
Однако соответствующие идентификатор CVE был добавлен в бюллетень безопасности только недавно.
Согласно анализу Citizen Lab, вектором доставки шпионского ПО Graphite выступал iMessage: с использованием легитимного оккаунта злоумышленник рассылал специально созданные сообщения для реализации RCE посредством CVE-2025-43200.
После активации шпионское ПО связывалось с сервером C2 для получения дальнейших инструкций.
В случае, изученном Citizen Lab, зараженный телефон подключался к https://46.183.184[.]91, VPS на EDIS Global, связанному с инфраструктурой Paragon, который был активен до 12 апреля.
Несмотря на то, что на устройствах не осталось практически никаких следов, Citizen Lab удалось восстановить некоторые журналы, которые включали в себя артефакты, позволяющие с высокой степенью уверенности приписать атаки Paragon.
Бенефициар выявленных атак не раскрывается, тем не менее, в последнее время Paragon существенно расширила портфель своих заказов за счет более тесного сотрудничества с американской стороной.
Microsoft выкатила июньский Patch Tuesday с обновлениями безопасности для 66 уязвимостей, включая одну активно эксплуатируемую и другую публично раскрытую 0-day.
В целом в текущем Patch Tuesday исправлены десять критических уязвимостей, восемь из которых связаны с RCE, а две - с EoP.
Общее распределение по каждой из категории представлено следующим образом: 13 уязвимостей связаны с EoP, 3 - обходом функций безопасности, 25 - RCE,
17 - раскрытием информации, 6 - DoS, 2 - спуфингом.
В числе исправленных нулей Patch Tuesday включает:
RCE-уязвимость в Web Distributed Authoring and Versioning (WEBDAV), которая отслеживается как CVE-2025-33053.
Проблема была обнаружена исследователями Check Point Research.
Успешная эксплуатация позволяет удаленному злоумышленнику выполнить произвольный код в уязвимой системе.
В рекомендациях Microsoft также отмечается, что для эксплуатации пользователь должен щелкнуть по специально созданному URL-адресу WebDav.
Согласно отчету Check Point Research, CVE-2025-33053 задействовалась в атаках в качестве нуля APT-группой Stealth Falcon.
Как пояснили в Check Point, попытка кибератаки на оборонную компанию в Турции была выявлена в марте 2025 года.
Злоумышленники использовали ранее нераскрытую технику для выполнения файлов, размещенных на контролируемом ими сервере WebDAV, путем манипулирования рабочим каталогом легитимного встроенного инструмента Windows.
В числе исправленных в рамках июньского обновления также указана другая публично раскрытая уязвимость нулевого дня, которая отслеживается как CVE-2025-33073 и связана с повышением привилегий клиента Windows SMB.
Ошибка позволяет злоумышленникам получать привилегии SYSTEM на уязвимых устройствах.
Как поясняет Microsoft, нправильный контроль доступа в Windows SMB позволяет авторизованному злоумышленнику повысить привилегии в сети.
Чтобы воспользоваться уязвимостью, злоумышленник может выполнить специально созданный вредоносный скрипт, чтобы заставить машину-жертву подключиться обратно к атакуемой системе с помощью SMB и пройти аутентификацию.
Это может привести к повышению привилегий.
Microsoft традиционно не поделилась какими-либо подробностями относительно этой проблемы.
Однако Born City сообщает, что DFN-CERT начала распространять предупреждения от RedTeam Pentesting об уязвимости на этой неделе.
Хотя обновление уже доступно, уязвимость можно устранить, включив принудительную подпись SMB на стороне сервера с помощью групповой политики.
Microsoft приписывает обнаружение этой уязвимости нескольким исследователям из CrowdStrike, Synacktiv, SySS GmbH, RedTeam Pentesting GmbH и Google Project Zero.
Полный список исправленных текущим патчем уязвимостей с описанием каждой уязвимости и систем, которые она затрагивает - здесь.
😷 «Спящая красавица» в расширениях браузера 🧊 Chrome
ИБ-компания LayerX опубликовала исследование, где раскрывает подробно информацию о сети вредоносных расширений для браузера Google Chrome. Расширения маскируются под безобидные инструменты, например, для управления звуком и скачаны почти у 1,5 миллионов пользователей по всему миру. Действуют они по принципу "спящих агентов" в духе сказки «Спящая красавица», готовые в час Х проснуться и выполнить вредоносные команды.
Самое крупное из них, 🦠«Volume Max – ⚠️Ultimate Sound Booster», установлено у миллиона пользователей и до сих пор доступно в официальном магазине Chrome Web Store [на момент публикации исследования].
🔊Атакующие обещают пользователю расширение для "улучшения звука" в браузере.
Эксперты LayerX обнаружили как минимум 4 популярных расширения, которые, несмотря на кажущуюся легитимность, содержат скрытую инфраструктуру для проведения потенциальных кибератак.
Все расширения используют идентичные фрагменты кода, которые ранее были замечены в других вредоносных программах, уже удаленных из Chrome Web Store. В частности, упоминается класс ExtStatTracker, который был частью печально известного расширения ReadBee. Компонент способен в фоновом режиме отслеживать действия пользователя (установку, удаление), отправлять зашифрованные данные на удаленный сервер и, что самое опасное, открывать любые веб-страницы в новых вкладках по команде извне.
Расширения способны загружать конфигурационные файлы с удаленных серверов. Злоумышленники могут активировать вредоносные функции, даже не обновляя само расширение, и таким образом обойти стандартные проверки безопасности магазина Chrome. Например, команды могут включать перенаправление трафика, загрузку вирусов или кражу данных.
Установлено, что расширения обмениваются данными с доменами, которые уже числятся в базах вредоносных ресурсов, например, francjohn[.]com. Другие домены, с которыми они связываются, размещены на IP-адресах, ранее замеченных в распространении зловредов.
Для сокрытия своей деятельности код использует шифрование и обфускацию через Base64, что усложняет анализ их поведения.
Исследование LayerX подчеркивает новую, тревожную тенденцию в мире киберугроз. Создание сети «спящих» расширений вполне простой и эффективный способ получить контроль над миллионами устройств в отличие от создания ботнетов из взломанных IoT-устройств. Браузерное расширение предоставляет прямой доступ к самой ценной информации: файлам cookie, паролям, истории посещений и даже содержимому веб-страниц.
❗️ Несмотря на то, что некоторые из этих расширений были отмечены как вредоносные на платформе VirusTotal, они по-прежнему доступны в Chrome Web Store.
Эксперты призывают пользователей с осторожностью относиться к установке браузерных расширений.
✋ @Russian_OSINT
Вслед за Касперскими за Mirai принялись ресерчеры из Akamai, которые заметили активную эксплуатацию критической RCE-уязвимости платформы Wazuh, отлеживаемую как CVE-2025-24016.
Wazuh - это общедоступная платформа безопасности с открытым исходным кодом, предназначенная для обнаружения и реагирования на угрозы.
Ее разработчики объявили 10 февраля об исправлении CVE-2025-24016, проблему десериализации, затрагивающую серверы, работающие под управлением версии 4.4.0 и более новых версий, до 4.9.1, которая включает исправление.
Как поясняют разработчики, ошибка позволяет удаленно выполнять код на серверах Wazuh и может быть активирована любым с доступом к API (скомпрометированная панель управления или серверы Wazuh в кластере) или, в определенных конфигурациях, даже скомпрометированным агентом.
На момент раскрытия информации уже был доступен PoC, позволяющий проводить DoS-атаки, а несколько дней спустя вышел PoC, предназначенный и для выполнения произвольного кода.
Согласно телеметрии ханипотов Akamai, попытки эксплуатации in-the-wild начались еще в марте.
Тогда исследователи зафиксировали сразу две кампании Mirai, использующие CVE-2025-24016 для взлома серверов Wazuh.
Один из вариантов ботнета Mirai нацелен на уязвимость с начала марта, при этом эксплойт разработан для извлечения и выполнения вредоносного скрипта оболочки, который служит загрузчиком для вредоносной нагрузки Mirai.
Тот же ботнет также нацелен на уязвимости в Hadoop YARN, а также маршрутизаторах TP-Link и ZTE.
Второй штамм Mirai, нацеленный на CVE-2025-24016, был обнаружен в начале мая, и некоторые данные свидетельствуют о том, что кампания могла быть нацелена на устройства италоязычных пользователей.
Исследователи отмечают, что распространение Mirai неуклонно продолжается, что объясняется простотой модификации старых исходников для настройки или создания новых ботнетов и задействованием свежих эксплойтов.
Индикаторы компрометации (IoC) - в отчете.