39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Билдер, партнерская панель и исходники DLS запущенной в марте 2025 года и поддерживающей Windows, Linux, BSD, ARM и ESXi программы-вымогателя VanHelsing просочился в паблик на RAMP.
Началось все с того, как th30c0der попытался продать исходный код партнерской панели VanHelsing и Tor-сайтов DLS, а также сборщики шифровальщиков для Windows и Linux, включая кайловый сервер и базу данных, за 10 000 долларов.
Как первым отметил Эмануэле Де Люсия, участники VanHelsing решили обойти продавца, также опубликовав исходный код и заявив, что th30c0der - это один из их старых разработчиков, намеревающийся кинуть участников форума.
Позже выяснилось, что просочившиеся данные неполны по сравнению с тем, что, по словам th30c0der, у них есть, поскольку они не включают в себя сборщик Linux или ряд баз данных, которые были бы гораздо полезнее для правоохранителей и исследователей.
В свою очередь, исследователи изучив утечку подтверждают, что она содержит легитимный конструктор для шифратора Windows, а также исходный код для партнерской панели и сайта утечки данных.
Исходный код сборщика при этом достаточно запутан: файлы проекта Visual Studio находятся в папке «Release», которая обычно используется для хранения скомпилированных двоичных файлов и артефактов сборки.
После завершения работы над сборщиком VanHelsing потребуется проделать некоторую работу, поскольку он подключается к партнерской панели, которая работала под управлением 31.222.238[.]208, для получения данных, используемых в процессе сборки.
Тем не менее утечка также включает в себя исходный код партнерской панели, на которой размещена конечная точка api.php, поэтому злоумышленники могут изменить код или запустить собственную версию этой панели, чтобы заставить конструктор работать.
Архив также содержит исходный код шифратора Windows, который можно использовать для создания отдельной сборки, дешифратора и загрузчика.
Утечка исходного кода также показала, что злоумышленники пытались создать блокировщик MBR, который заменил бы основную загрузочную запись на специальный загрузчик, отображающий сообщение о блокировке.
Банда VanHelsing действует уже почти два месяца и набрала всего восемь жертв, согласно Ransomware.live.
Несмотря на все сложности с утечкой, банда обещает перезапуститься и вернуться с новой и улучшенной версией локера VanHelsing 2.0.
Игровые методы обучения корпоративного персонала основам информационной безопасности
Читать полностью…
Фонд «Центр стратегических разработок» (ЦСР) представил результаты ежегодного исследования рынка систем управления базами данных (СУБД) и инструментов обработки данных за 2024 год.
По словам генерального директора ЦСР Екатерины Кваша, ожидается значительное увеличение объема отечественного рынка СУБД к 2031 году, который превысит 251 млрд. руб.
При этом среднегодовой темп роста в России до 2031 год будет на уровне мирового и составит порядка 16%.
Как отмечают в ЦСР, 2024 год можно назвать поворотным для российского ИТ-рынка в целом, прежде всего, по части беспрецедентного роста и высокой степени зрелости отечественной цифровой экосистемы.
Совокупный объём продаж российских ИТ-решений (оборудования, программного обеспечения, услуг и прочего) достиг 4,5 трлн рублей.
По результатам исследования, на конец 2024 года российский рынок СУБД достиг 89,5 млрд рублей, что на 14% больше, чем в предыдущем.
Аналогично предыдущему году в сфере продаж преобладает СУБД общего назначения - 48%, за ними следуют аналитические - 32%.
В структуре рынка доминирует ПО - его доля составляет 78%, остальное приходится на долю услуг 22% (в годом исчислении увеличилась ненамного).
В числе лидеров рынка СУБД по итогам 2024 года эксперты выделили такие компании, как PostgresPro, Группа Arenadata, DIS Group, Yandex Cloud и Тантор Лабс.
Почти во всех компаниях отмечается рост выручки.
В период с 2024 по 2027 год ожидается стремительный рост рынка на уровне 21,6%. Однако после 2027 года темпы роста замедлятся до 11,9%, что будет соответствовать общемировым показателям.
Это связано с тем, что до 2027 года основным фактором роста будут процессы импортозамещения. Далее рост продолжится за счет увеличения объема генерируемых данных и развития технологий ИИ.
Что касается западного софта, то его доля на рынке продолжит уменьшаться и к 2031 году составит примерно 1% от общего объёма новых продаж.
При этом ПО российских поставщиков будет активно развиваться и к 2031 году может занять до 99% рынка.
Кроме того, по итогам опроса представителей отрасли выявлено, доля иностранных решений, которые уже были установлены и применяются на объектах российских заказчиков на конец 2024 года составляет 60%.
По мнению экспертов ЦСР, росту рыночной доли российских продуктов будет способствовать стабильный спрос на замену западных программ, повышение зрелости продуктов и команд за счет растущего опыта реализации новых больших проектов.
Немаловажными факторами будут также выступать всесторонняя господдержка, применение в российских продуктах опенсорсных решений, растущие запросы клиентов и требования регуляторов.
В целом, получилось весьма востребованное для IT-отрасли исследование с понятными выводами и прогнозами, что весьма актуально для понимания перспектив развития отечественной индустрии.
Инфографика и детальный разбор основных трендов - в исследовании.
DDoSerets (Distributed Denial of Secrets) анонсировала доступ для исследователей и журналистов к базе данных в 410 ГБ, включающей переписку и метаданные пользователей TeleMessage, который фигурировал в недавнем скандале с советником по нацбезу США Майком Уолтцем.
Компания, принадлежащая Smarsh, разработчику из Портленда, реализует программное обеспечение для приложений, орсиентрорвоанных на зашифрованный обмен сообщениями, в том числе Signal и WhatsApp. Клон Signal называется TM SGNL.
Компания специализируется на комплексном архивировании и имеет необходимую сертификацию соответствия регуляторным требованиям для таких отраслей, как правоохранительный блок, юриспруденция, госсектор и финансы.
Утечка потенциально может также раскрыть и других должностных лиц, поскольку приложение использовало серверы Signal и сохраняло копии сообщений в виде простого текста.
Для большей простоты работы с архивом DDoSerets извлекла из него все текстовые данные, включая информацию об отправителе и получателе, временные метки и имена групп.
Компания предоставляет доступ к данным только лишь журналистам и исследователям в виду наличия в наборе данных персонально идентифицируемой информации, «а также включения групп и сообщений, не связанных с деятельностью правительства или корпораций».
Модифицированный клиент Signal был взломан 4 мая 2025 года и, как известно, активно использовалась высокопоставленными чиновниками администрации Трампа, а также федеральным правительством - как минимум с февраля 2023.
Уолтц был отстранен от должности советника по национальной безопасности после того, как он случайно добавил журналиста Джеффри Голдберга в секретный групповой чат Signal, где высшие должностные лица обсуждали предстоящие удары США по целям хуситов в Йемене 15 марта.
Согласно источникам СМИ, злоумышленник воспользовался уязвимостью в TeleMessage, получив доступ к внутренней инфраструктуре, что позволило сдампить сообщения пользователей. При этом хакерам потребовалось для этого менее 20 минут.
По словам журналиста Мики Ли, после того, как в марте случился SignalGate, 3 мая исходный код TM SGNL попал на GitHub, спустя три дня TeleMessage взломали, а 5 мая снова был взломан кем-то другим (согласно NBC News).
На следующий день анализ исходного кода TM SGNL, а также некоторых взломанных данных, показал, что TeleMessage вопреки своим заявлениям о сквозном шифровании, и в отличие от оригинального Signal, в реальности не имел такого функционала, сохраняя все в текстовом виде на сервере.
CISA добавила уязвимость TeleMessage, CVE-2025-47729, в каталог KEV, утверждая, что архивный бэкэнд TeleMessage по состоянию на 5 мая 2025 хранил открытые текстовые копии сообщений пользователей приложения TM SGNL (Archive Signal), что не соответствует документации ПО.
По всей видимости, SignalGate только набирает обороты и в самое ближайшее время могут появиться новые более скандальные инфоповоды.
Будем следить.
Прикупив поддержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen.
При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.
После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.
Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.
Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).
Volkswagen устранила выявленные уязвимости в своем мобильном приложении, которые позволяли злоумышленникам взламывать учетные записи пользователей, доставать широкий спектр данных по автомобилю и информацию в отношении его владельцев.
Автопроизводителя уведомили 23 ноября 2024 года, после чего в течение трех месяцев Volkswagen волокитила тикет, а по итогу заставила подписать исследователя NDA и к 6 мая устранила все косяки.
Но один все же остался - Вишал так и не получил вознагражаления.
Разработчик мобильных приложений Дэвид Уитли обнаружил серьезные уязвимости в реализации телекоммуникационной сети оператора O2, связанные с внедрением Voice over LTE (VoLTE) с использованием стандарта IP Multimedia Subsystem (IMS).
Как удалось выяснить, британская телекоммуникационная компания неправильно настроила свою сеть 4G, чт привело к утечке конфиденциальные данные клиентов и их геолокацию.
Трафик сети VoLTE раскрывал необработанные данные, включая IMEI и IMSI, а также данные о вышках сотовой связи для каждого телефонного соединения.
Причем, свою первую услугу IMS компания O2 UK запустила еще 27 марта 2017 года.
По словам Дэвида Уитли, эти данные можно было использовать для снятия фингерпринтов с устройств и определения геолокации пользователей O2, попросту совершая звонки на их телефонные номера.
Для нейтрализации вектора потенциальных, как отметил разработчик, O2 следовало бы удалить определенные заголовки из всех сообщений IMS/SIP, обеспечив таки образом конфиденциальность и безопасность клиентов.
Злоумышленник, имеющий даже базовые знания о мобильных сетях, сможет легко обнаружить любого клиента O2, который при этом не будет иметь возможности как-либо защититься, ведь отключение 4G Calling не предотвращает раскрытие этих заголовков.
Как обычно, больше вопросов вызывает не сама уязвимость, а реакция оператора O2, которого уведомили о проблеме в марте, но исправить ситуацию удалось лишь после публичной огласки, буквально сегодня.
Настало время очередного этапа Pwn2Own, на этот раз Berlin 2025, в первый день которого исследователи смогли заработать 260 000 долларов после успешной реализации 0-day эксплойтов для Windows 11, Red Hat Linux и Oracle VirtualBox.
Red Hat Enterprise Linux для рабочих станций стал первым, залетев в категорию локального EoP после того, как Pumpkin из исследовательской группы DEVCORE смог воспользоваться уязвимостью переполнения целочисленного значения и заработать 20 000 долларов.
Хёнву Ким и Вонги Ли также достигли прав root на устройстве Red Hat Linux, связав ошибки использования после освобождения и раскрытия информации (при этом одной из эксплуатируемых была N-day), которая привела к столкновению ошибок.
Затем Чэнь Ле Ци из STARLabs SG увел 30 000 долларов за демонстрацию цепочки эксплойтов, объединяющей использование памяти после освобождения и целочисленное переполнение для EoP до SYSTEM в системе Windows 11.
Windows 11 затем была взломана дважды в части повышения привилегий Марцином Вионзовски, который задействовал уязвимость записи за пределами выделенного буфера памяти, и Хёнджином Чоем, продемонстрировавшим 0-day, связанную с путаницей типов.
Команда Prison Break заработала 40 000 долларов после демонстрации цепочки эксплойтов на основе целочисленного переполнения для выхода из Oracle VirtualBox и выполнения кода в базовой ОС.
Сина Кхейрха из Summoning Team получила еще 35 000 долларов за 0-day Chroma и уже известную уязвимость в Triton от Nvidia, а Билли и Рамдхан из STARLabs SG - 60 000 долларов за обход Docker Desktop и выполнение кода в базовой ОС с использованием 0-day (use-after-free).
После того, как нули будут продемонстрированы и раскрыты в ходе Pwn2Own, у поставщиков будет 90 дней на выпуск исправлений для своих программных и аппаратных продуктов.
Участники очередного Pwn2Own нацелены на полностью пропатченные продукты в категориях ИИ, браузеров, виртуализации, локального повышения привилегий, серверов, корпоративных приложений, облачных/контейнерных приложений и автомобильной промышленности.
👾 Самая дорогостоящая малварь.
• 26 января 2004 в России был зафиксирован первый случай заражения новой малварью, которую назвали MyDoom. Всего за неделю, распространяясь через электронную почту, MyDoom поразил до 500 тысяч компьютеров по всему миру. Этот червь стал настоящим рекордсменом по скорости распространения и даже умудрился частично парализовать работу поисковых систем (Google, Yahoo!, AltaVista и Lycos), а на пике активности исходящий от MyDoom спам снизил мировой интернет-трафик на 10 процентов. В то время MyDoom генерировал 16-25% от общего числа всех писем в мире.
• В 2011 году эксперты McAfee и вовсе признали MyDoom самой «дорогой» малварью в истории: убытки, связанные с потерей производительности и прекращением торговли в связи с заражением вирусом в результате крупных спам-кампаний, в конечном итоге составили 38 миллиардов долларов.
• MyDoom распространяется через электронные письма с вредоносными вложениями. На каждой новой зараженной машине малварь ищет новые email-адреса в различных файлах, а затем рассылает свои копии по всем обнаруженным адресам. При этом спам маскируется, к примеру, под уведомления о неудачной доставке сообщения, или тема письма может содержать случайные символы и слова «hello», «hi» и так далее. Казалось бы, такие приманки можно отнести к числу самых примитивных, но они работают по сей день.
• В период с 2015 по 2018 год порядка 1,1% всех электронных писем с вредоносными вложениями содержали червя именно MyDoom. Жертвами таких вредоносных рассылок становятся компании из самых разных отраслей, начиная от высоких технологий, оптовой и розничной торговли, до здравоохранения, образования и производства.
• В первой половине 2019 года MyDoom даже продемонстрировал небольшой рост количества образцов малвари, а также увеличение количества вредоносных писем, отправляемых и получаемых жертвами. Основными источниками такой корреспонденции являются США, Китай и Великобритания.
• Фактически MyDoom полностью самодостаточен и автономен. Червь может распространяться вечно, до тех пор, пока люди продолжают открывать почтовые вложения.
• Кстати, в самом начале своей активности MyDoom атаковал сайт Microsoft. Червь был слишком мало распространён и потому не нанёс ему серьёзного ущерба. Однако Microsoft назначила свои $250 000 «за голову» его создателя. Эти деньги не нашли получателя — мир так и не узнал, кто создал MyDoom.
➡ https://yourstory.com/MyDoom
S.E. ▪️ infosec.work ▪️ VT
В США крупнейшая сталелитейная корпорация Nucor, входящая в десятку лидеров отрасли в мире, вынуждена была остановить работу в результате инцидента кибербезопасности.
В компании трудоустроено более 32 000 сотрудников на боле чем 20 заводах в США, Мексике и Канаде, а ее выручка за первый квартал года составила 7,83 миллиарда долларов.
Продукция широко реализуется в строительстве, мостостроении, дорожном хозяйстве, обеспечивая функционирования критически важной инфраструктуры страны.
Об инциденте стало известно после направления в Комиссию по ценным бумагам и биржам США (SEC) официального уведомления по форме 8-K.
Согласно сообщению инцидент затронул «определённые информационные системы», однако подробности и масштабы бедствия не раскрываются.
Известно, что инцидент был связан с несанкционированным доступом третьих лиц к определенным системам IT-инфраструктуры, используемой Nucor.
После обнаружения инцидента незамедлительно были предприняты меры сдерживания и реагирования, включая упреждающее отключение потенциально затронутых систем и локализацию последствий.
Кроме того, Nucor привлекла правоохранительный блок и сторонних экспертов по кибербезопасности для проведения всестороннего расследования.
Тем не менее, производственные операции в различных локациях корпорации были остановлены и к настоящему времени, как сообщают в Nucor, компания находится в процессе их постепенного перезапуска.
Никаких подробностей о точной дате или характера атаки не разглашается, но судя по всему речь идет об участии банд вымогателей, ни одна из которых, правда, пока на себя ответственность за нападение.
🇺🇸 В американские видеокарты хотят встроить геотрекинг?
Сенатор Том Коттон представил в Конгрессе США законопроект, который кардинально меняет правила экспортного контроля для высокопроизводительных процессоров и графических ускорителей для будущих поставок. Законопроект предусматривает обязательное оснащение "железа" средствами геотрекинга с возможностью физической слежки: прослеживание пути от производителя до конечного пользователя, включая периодическую проверку физического местоположения.
Инициатива направлена на предотвращение передачи передовых чипов странам-противникам. В этом контексте упоминается 🇨🇳 Китай. 🇷🇺РФ не упоминается, но "уважаемые партнеры", как не трудно догадаться, могут передумать в любой момент.
Классификация идет по кодам экспортного контроля 3A090, 4A090, 4A003.z и 3A001.z.
Подпадают все высокопроизводительные процессоры, GPU и сопутствующие системы, перечисленные в четырёх кодах экспортного контроля США (ECCN). Даже обычные ❗️ RTX 5090 входят в лист.
Nvidia, AMD и Intel будут нести ответственность за верификацию факта присутствия оборудования в утверждённой точке назначения. Сама система должна быть способна к😹 "удалённой проверке", но в то же время "не раскрывать коммерчески чувствительную информацию". Охотно верим!
В случае перенаправления партии ИИ-чипов "противникам", компания-экспортёр обязана уведомить Бюро промышленности и безопасности (BIS) Минторга США.
Проект предполагает внедрение дополнительных механизмов поэтапно. В случае принятия законопроекта, в течение первого года Минторг и 🛡 Пентагон проведут совместное исследование, чтобы определить необходимость новых технических требований.
Далее Министерство торговли и 🎖 Министерство обороны США обязуются в течение трёх лет проводить ежегодные оценки эффективности мер и состояния экспортного контроля.
👆Производители встроят что-то вроде “чёрного ящика” с GPS контролем перемещений. Пользователь не сможет его отключить. Технология предполагает удалённую проверку, а также фиксацию 📖“несанкционированных изменений или вмешательство”. Конкретные механизмы не раскрываются, однако реализация планируется на аппаратном уровне, поэтому вместе с обновлением может прилететь "кирпич". Код систем закрыт, спецификации — не публичны.
Фактически в железо будет вшит бэкдор 🤌"аппаратный механизм контроля с закрытым кодом", который кроме геотрекинга технически может выполнять ряд других операций.
Законопроект сенатора Тома Коттона пока только внесён в Сенат. Учитывая масштабы перемен, скорее всего, будут сделаны поправки, отсрочки, а также отдельные исключения для определенных рынков. Эксперты прогнозируют, что история может затянуться не на один год, но, опять же, не факт.
🤔Будем посмотреть...
====
Пояснение: 9 мая 2025 года сенатор Том Коттон внёс в Сенат законопроект под названием Chip Security Act. Конгрессмен Билл Фостер планирует внести аналогичный законопроект в Палату представителей в ближайшее время.
✋ @Russian_OSINT
Google выпустила экстренные обновления для устранения четырех проблем безопасности в браузере Chrome, для одной из которых, по данным поставщика, существует эксплойт в дикой природе.
Уязвимость высокой серьезности отслеживается как CVE-2025-4664 (CVSS: 4,3) и связана с недостаточно неэффективным механизмом применения политики в компоненте под названием Loader в Google Chrome до 136.0.7103.113.
Уязвимость может быть использована удаленным злоумышленником «для утечки данных из разных источников через специально созданную HTML-страницу» и привести к полному захвату аккаунта в случае успешной эксплуатации.
Google приписывает раскрытие недостатка исследователю Solidlab Всеволоду Кокорину (slonser_), представившего описание проблемы в X 5 мая 2025 года, отметив свои осведомленность в существовании эксплойта для CVE-2025-4664 в дикой природе.
Несмотря на отсутствие подробностей, именно такую формулировку Google обычно использует, когда уязвимость Chrome используется для вредоносных атак.
Так что можно считать CVE-2025-4664 второй уязвимостью после CVE-2025-2783, попававшей под «активную эксплуатацию».
Slonser пояснил, что злоумышленник может изменить заголовок Link, который Chrome разрешает в запросах подресурсов, чтобы захватить параметры запроса, содержащие конфиденциальную информацию.
При этом разработчики редко рассматривают возможность кражи параметров запроса через изображение со стороннего ресурса, что делает этот трюк иногда удивительно полезным.
Для защиты от потенциальных угроз рекомендуется обновить браузер Chrome до версий 136.0.7103.113/.114 для Windows и Mac и 136.0.7103.113 для Linux.
Пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправления по мере их появления.
После проблем с финансированием CVE и демаршем членов совета MITRE, решивших выйти из-под Министерства внутренней безопасности США и работать как самостоятельный незаивисмый фонд, в Европе также решили «импортозаместиться» в этом вопросе.
Агентство ЕС по кибербезопасности ENISA запустило собственную базу данных уязвимостей, предназначенную для сбора информации об ошибках ПО в европейской экосистеме.
При этом свое решение по учреждению новой базы данных EUVD в руководстве ЕС никак не связывают с недавними проблемами финансирования MITRE в США.
ЕС фактически обязал ENISA создать новую базу данных посредством директивы NIS2, принятой в декабре 2022 года (пункты 62 и 63).
С самого начала ЕС знал о существовании подобных баз данных уязвимостей, но хотел, чтобы одна из них находилась под его прямым контролем и подчинялась его правилам прозрачности.
Чиновники ЕС, возможно, этого не говорят, но они подозревают, что их коллеги из США и Китая могут задерживать публикацию ряда уязвимостей в своих национальных базах данных, задействуя их в атаках.
Наличие собственной базы данных позволит ENISA находить пробелы в отчетности своих коллег и, по всей видимости, заниматься аналогичным промыслом.
При этом начиная с сентября этого года благодаря Закону ЕС о киберустойчивости поставщики программного обеспечения будут обязаны информировать об уязвимостях.
EUVD также будет уполномочена присваивать собственные CVE, поскольку орган является авторизованным CNA MITRE, но в распоряжении будет и собственная система нумерации и идентификации уязвимостей.
По мнению исследователей, к настоящему времени EUVD явно не дотягивает до уровня CVE MITRE, но ожидается, что NIS2 и CRA все же изменят ситуацию.
Будем, конечно, посмотреть.
SAP выпустила исправления для устранения второй уязвимости, которая использовалась в недавних атаках на серверы SAP NetWeaver в качестве 0-day.
Компания выпустила обновления для новой CVE-2025-42999 в понедельник, после того, как она вскрылась в ходе расследования 0-day атак, нацеленных на другую уязвимость неаутентифицированной загрузки файлов (CVE-2025-31324) в SAP NetWeaver Visual Composer, которая была исправлена в апреле.
ReliaQuest впервые обнаружила атаки, ориентированные CVE-2025-31324 еще в апреле.
Тогда злоумышленники загружали веб-оболочки JSP в общедоступные каталоги и инструмент Brute Ratel red team после взлома систем клиентов.
Причем все скомпрометированные экземпляры были полностью исправлены, что указывает на то, что злоумышленники использовали 0-day эксплойт.
Целями кампании стали предприятия газа и водоснабжения, управления отходами в Великобритании, заводы по производству медтехники, компании в сфере ТЭК США, а также правительственные учреждения в Саудовской Аравии в сфере финансов.
Результаты основаны на общедоступном каталоге, обнаруженном в контролируемой злоумышленником инфраструктуре («15.204.56[.]106»), который содержал журналы событий, фиксирующие действия в нескольких скомпрометированных системах:
- CVE-2025-31324-results.txt, в котором отмечено 581 скомпрометированных экземпляров SAP NetWeaver и бэкдор с веб-оболочкой;
- 服务数据_20250427_212229.txt, в нем перечислено 800 доменов, работающих под управлением SAP NetWeaver, которые, вероятно, будут атакованы в будущем.
Ранее атаки также были замечены исследователями watchTowr и Onapsis, а Vedere Labs из Forescout связали некоторые из этих атак с китайским злоумышленником Chaya_004, который развертывал SuperShell на основе Go.
EclecticIQ связывает вторжения с китайскими кластерами угроз, отслеживаемыми как UNC5221, UNC5174 и CL-STA-0048.
В Onyphe также выяснили, что по состоянию на конец апреля примерно 20 компаний из списка Fortune 500/Global 500 были уязвимы, а многие даже скомпрометированы.
В общем на тот момент в сети было выявлено 1284 уязвимых экземпляра, 474 из которых уже были скомпрометированы.
В настоящее время Shadowserver Foundation отслеживает более 2040 серверов SAP Netweaver, размещенных в Интернете и уязвимых для атак.
Несмотря на то, что SAP не подтверждает эксплуатацию CVE-2025-42999 в реальных условиях, исследователи Onapsis фиксировали, как злоумышленники объединяли обе уязвимости (CVE-2025-31324 и CVE-2025-42999) в атаках еще с января.
Эта комбинация позволяла злоумышленникам выполнять произвольные команды удаленно и без каких-либо привилегий в системе.
Администраторам SAP рекомендуется немедленно исправить свои экземпляры NetWeaver до последней версии и рассмотреть возможность отключения службы Visual Composer, а также ограничить доступ к службам загрузки метаданных и отслеживать подозрительную активность.
Исследователи Microsoft раскрывают новую кампанию турецкой APT Marbled Dust, нацеленную на курдских военных, действующих в Ираке.
Для реализации своих целей турецкие хакеры с апреля 2024 года задействовали 0-day в индийской корпоративной коммуникационной платформе Output Messenger для доставки бэкдоров Golang на целевые серверы.
Разработанные эксплойты позволили осуществить сбору связанных пользовательских данных с целей в Ираке, которые имели отношение курдским военным, что вполне соответствует ранее замеченным устремлениям Marbled Dust.
Наблюдаемую активность исследователи приписали Marbled Dust (ранее Silicon), которая также известна как Cosmic Wolf, Sea Turtle, Teal Kurma и UNC1326.
Считается, что хакерская группа активна по крайней мере с 2017 года, при том, что задокументировать на Ближнем Востоке и в Северной Африке удалось лишь спустя два года исследователям Cisco Talos.
В начале прошлого года APT нацеливалась на телеком, СМИ, поставщиков ISP, IT и курдские ресурсы в Нидерландах.
Последние атаки, связанные с 0-day Output Messenger, по всей видимости, включали этап заблаговременной разведки, по результатам которой был сформирован пул целей из числа пользователей мессенджера.
Уязвимость, о которой упоминает Microsoft, - CVE-2025-27920, которая связана с обходом каталога и затрагивает версию 2.0.62, позволяя удаленным злоумышленникам получать доступ к произвольным файлам или выполнять их.
Проблема была устранена Srimax в конце декабря 2024 года в версии 2.0.63. Однако компания в своем сообщении о какой-либо эксплуатации уязвимости в реальных условиях не сообщает.
Цепочка атак начинается с того, что злоумышленник получает доступ к приложению Output Messenger Server Manager как аутентифицированный пользователь.
Считается, что Marbled Dust полагалась на DNS-перехват или тайпсквоттинг доменов, чтобы перехватить учетные данные, необходимые для аутентификации.
Затем доступ задействовался для сбора учетных данных пользователя Output Messenger и эксплуатации уязвимости CVE-2025-27920 с целью размещения полезных нагрузок OM.vbs и OMServerService.vbs, в папке запуска сервера, а OMServerService.exe - в каталоге Users/public/videos сервера.
На следующем этапе злоумышленник использовал OMServerService.vbs для вызова OM.vbs и OMServerService.exe, последний из которых представляет собой бэкдор Golang, который связывается с жестко запрограммированным доменом (api.wordinfos[.]com) для извлечения данных.
На стороне клиента установщик извлекает и запускает как легитимный файл OutputMessenger.exe, так и OMClientService.exe, еще один бэкдор Golang, который подключается к С2 домену Marbled Dust.
Этот бэкдор сначала выполняет проверку подключения с помощью запроса GET к домену C2 api.wordinfos[.]com.
В случае успеха на тот же C2 отправляется второй запрос GET, содержащий информацию об имени хоста для уникальной идентификации жертвы.
Затем ответ от C2 напрямую выполняется с помощью командной строки Windows, после чего работа завершается.
В одном случае устройство жертвы с установленным клиентским программным обеспечением Output Messenger подключалось к IP-адресу, который ранее был идентифицирован как используемый Marbled Dust для эксфильтрации данных.
Microsoft также обнаружила вторую уязвимость межсайтового скриптинга (XSS) в той же версии (CVE-2025-27921), но не нашла никаких доказательств ее использования в реальных атаках.
Новые активности, связанные с использованием 0-day эксплойта, сигнализируют о заметном усилении технических возможностей Marbled Dust и сложности предпринимаемых атак при сохранении их общего курса в кибершпионаже.
Apple выкатила исправления для уязвимостей в стеке macOS, iPhone и iPad, в том числе ряда критических RCE.
Обновленная iOS 18.5, выпущенная вместе с патчами для iPadOS, закрывает критические проблемы в AppleJPEG и CoreMedia, позволяющие злоумышленникам создавать вредоносные медиафайлы для запуска произвольного кода с привилегиями целевого приложения.
Компания также пофиксила серьезные уязвимости в CoreAudio, CoreGraphics и ImageIO, каждая из которых способна привести к сбою приложений или утечке данных при открытии специализированного контента.
Обновление iOS 18.5 также устраняет 9 других уязвимостей
WebKit, эксплуатация которых может быть реализована через вредоносный веб-сайт, привести к выполнению кода или сбою движка Safari.
Компания также исправила серьезную ошибку «кнопки отключения звука» в FaceTime, из-за которой аудиозапись разговора могла оставаться доступной даже после отключения микрофона.
По данным Apple, в iOS 18.5 усилена защита ядра в части двух проблем с повреждением памяти и устранена уязвимость libexpat (CVE-2024-8176), которая затрагивает широкий спектр программных решений.
Среди других важных исправлении:
- CVE-2025-31214 в Baseband, которая позволяет злоумышленникам, находящимся в привилегированном положении в сети, перехватывать трафик на новой линейке iPhone 16e;
- EoP-уязвимость в mDNSResponder (CVE-2025-31222);
- проблема в Notes, которая раскрывает данные с заблокированного экрана iPhone;
- а также недостатки в FrontBoard, iCloud Document Sharing и Mail Addressing.
Apple не упоминает о том, что какие-либо ошибки были использованы в реальных условиях.
Обновление iOS 18.5 доступно для iPhone XS и более поздних версий; сопутствующий выпуск iPadOS охватывает iPad Pro (2018 и новее), iPad Air 3, iPad 7, iPad mini 5 и более поздние модели.
Компания также представила крупные обновления для macOS Sequoia, macOS Sonoma, macOS Ventura, WatchOS, tvOS и visionOS.
🧊 Firefox устраняет две критические уязвимости JavaScript, выявленные на Pwn2Own Berlin 2025
Mozilla оперативно выпустила обновления безопасности для браузера Firefox и его версий ESR, устранив две критические уязвимости, продемонстрированные в ходе конкурса Pwn2Own Berlin 2025. Обе уязвимости затрагивали обработку объектов JavaScript в процессе отображения контента, но, как сообщается, благодаря архитектуре песочницы не позволили атакующим выйти за пределы изолированного окружения.
Первая уязвимость, идентифицированная как CVE-2025-4918, была обнаружена исследователями Эдуаром Бошеном и Тао Яном из Palo Alto Networks. Она позволяла выполнять операции чтения и записи за пределами выделенной памяти при разрешении объектов Promise в JavaScript, что потенциально могло привести к выполнению произвольного кода в процессе контента браузера.
Вторая уязвимость, CVE-2025-4919, была представлена Манфредом Полом и связана с путаницей размеров индексов массивов при оптимизации линейных сумм, также приводящей к выходу за пределы памяти.
Обе уязвимости были успешно продемонстрированы на конкурсе Pwn2Own Berlin 2025, организованном инициативой Zero Day Initiative от Trend Micro. Исследователи получили по $50 000 и по 5 очков в рейтинге "Master of Pwn" за свои находки. Mozilla выпустила обновления безопасности в течение суток после демонстрации уязвимостей.
🛡Несмотря на то, что уязвимости не позволили атакующим выйти за пределы процесса контента благодаря архитектуре песочницы Firefox, Mozilla настоятельно рекомендует всем пользователям как можно скорее обновиться до последних версий c целью обеспечения максимальной безопасности своих браузеров.
✋ @Russian_OSINT
Исследователи ZeroDay Labs Эйдан Леон раскрыл атаку на цепочку поставок, которая привела к распространению троянизированного установщика VMware RVTools через официальные сайты, которая доставляла на компьютеры пользователей загрузчик вредоносного ПО Bumblebee.
Robware.net и RVTools.com являются единственными авторизованными и поддерживаемыми веб-сайтами для ПО RVTools, на время расследования инцидента временно были отключены.
RVTools, изначально разработанный компанией Robware, а теперь принадлежащий Dell, представляет собой утилиту Windows, которая обеспечивает комплексную инвентаризацию и отчетность о состоянии сред VMware vSphere.
RVTools широко признан важным инструментом для администраторов VMware, а Virtual Blocks компании VMware признал его ведущей утилитой для управления vSphere.
Атака была впервые обнаружена после того, как исследователь заметил, что официальный установщик RVTools [VirusTotal] пытался выполнить вредоносную версию .dll [VirusTotal], которая была идентифицирована как загрузчик вредоносного ПО Bumblebee.
Дальнейшее расследование выявило несоответствие между хэшем файла, указанным на сайте RVTools, и фактически загружаемым файлом. Модифицированная версия была значительно больше и содержала вредоносный файл version.dll.
Bumblebee обычно реализуется через SEO-отравление, вредоносную рекламу и фишинговые атаки, активно задействовался бандой вымогателей Conti.
После установки загружает и выполняет дополнительные полезные нагрузки на зараженных устройствах, включая маяки Cobalt Strike, стиллеры и ransomware.
Исследователи Arctic Wolf в своем отчете также отмечают факты распространения троянизированных установщиков RVTools через вредоносные домены с помощью тайпсквоттинга, которые, вероятно, продвигались посредством SEO-инфильтрации или вредоносной рекламы.
Кроме того, фиксировались и другие аналогичные кампании, нацеленные на RVTools, в частности, для доставки бэкдора SMOKEDHAM PowerShell .NET.
В настоящее время неизвестно, как долго троянизированная версия RVTools была доступна для загрузки и сколько пользователей установили ее до того, как сайт был отключен.
Так что пользователям рекомендуется проверить хэш установщика и просмотреть все запуски version.dll из пользовательских каталогов.
Исследователи WithSecure Threat Intelligence обнаружили активную на протяжении восьми месяцев кампанию, нацеленную на пользователей KeePass с использованием троянизированных версий менеджера паролей для кражи учетных данных и развертывания ransomware.
Атаки начались с вредоносного установщика KeePass, продвигаемого через фейковые сайты с программным обеспечением посредством рекламы Bing.
Поскольку KeePass имеет открытый исходный код, злоумышленники модифицировали его, создав троянизированную версию, названную KeeLoader, которая содержит все обычные функции управления паролями.
Помимо этого она включает модификации, которые устанавливают маяк Cobalt Strike и экспортируют базу данных паролей KeePass в виде открытого текста.
Как отмечает WithSecure, уникальные идентификаторы Cobalt Strike, используемый для генерации полезной нагрузки и задейстсвованные в этой кампании, связаны с IAB, который, как предполагается, был связан с атаками Black Basta в прошлом.
Тем не менее, исследователям не известно о каких-либо других инцидентах (связанных с программами-вымогателями или иными), использующих именно этот идентификатор Cobalt Strike, но это не значит, что их не было.
WithSecure задетектила несколько вариантов KeeLoader, подписанных легальными сертификатами, которые распространялись через домены-типосквоттеры, такие как keeppaswrd[.]com, keegass[.]com и KeePass[.]me.
При этом первый при этом до сих пор активен и содержит троянизированный установщик KeePass (VirusTotal).
Помимо доставки маяков Cobalt Strike, троянизированная версия KeePass включала в себя функцию кражи паролей, которая позволяла злоумышленникам красть любые учетные данные, введенные в программу.
В конечном итоге атака, наблдавшаяся WithSecure, привела к шифрованию серверов VMware ESXi компании с помощью программы-вымогателя.
Дальнейшее расследование привело к обширной инфраструктуре, созданной для распространения вредоносных ПО, замаскированных под легитимные инструменты, а также фишинговым страницам, предназначенным для кражи учетных данных.
Домен aenys[.]com использовался для размещения дополнительных поддоменов, которые выдавали себя за известные компании и сервисы, такие как WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank и DEX Screener.
Каждый из них использовался для распространения различных вариантов вредоносного ПО или кражи учетных данных.
WithSecure с умеренной уверенностью приписывает эту активность UNC4696, группе злоумышленников, ранее связанной с кампаниями Nitrogen Loader.
Предыдущие кампании Nitrogen также пересекались с бандой вымогателей BlackCat/ALPHV.
Технические подробности атак и атрибуции - в отчете.
В течение полугода поставщик принтеров Procolored размещал вместо оригинальных программ на своем общедоступном сайте троянизированное ПО со стиллером и бэкдором под капотом.
Заметить подставу смог один из авторов Hackster News Кэмерон Ковард, который в процессе установки Microsoft Visual C++ Redistributable и PrintExp словил детекты антивируса. Поставщик его заверил, что срабатывания, вероятно, имели ложный характер.
В свою очередь, исследователи GData после анализа доступных для загрузки на сайте компании файлов ПО обнаружила, что они также заражены.
В общей сложности GData обнаружила, что 39 загрузок программного обеспечения, размещенных на mega.nz и последний раз обновленных в октябре 2024 года, были заражены двумя семействами вредоносных ПО.
Первая из них представляла собой бэкдор, получивший название XRed на Delphi, который реализует поведение червя.
Образец, обнаруженный в загрузках Procolored, мог регистрировать нажатия клавиш, загружать дополнительные полезные данные, делать скрины, изменять файлы и предоставлять оболочку по запросу.
Стиллер под названием CoinStealer нацелен на криптокошельки, но также может подменять адреса криптовалют в буфере обмена на адрес злоумышленника, чтобы перенаправлять средства злоумышленнику во время транзакций.
GData также заметила, что стиллер атакует исполняемые файлы, присоединяясь к ним, а затем перемещает зараженные файлы в исходное местоположение хоста.
По данным компании, XRed объединяет вирус, получивший название SnipVex, реализуя эффект «суперинфекции», поскольку в целевой системе оказывается несколько самовоспроизводящихся семейств вредоносных ПО.
Подобная вирусная инфекция также объясняет, откуда появились 39 зараженных файлов в разделе загрузок Procolored. SnipVex, вероятно, реплицировал себя на системе разработчика или на серверах сборки.
При этом указанный операторами адрес криптовалюты, который фигурирует в качестве замены в буфере, получил переводы на сумму в чем более 9 биткоинов (более 900 000 долл).
Несмотря на свои первичные заявления, Procolored все же удалила загрузки со своего веб-сайта, отмечая о начале проведения расследования.
4⃣ Фейковый GitHub.
• Автор проекта Snoop Project (тулза для поиска user_name с учетом СНГ локаций) выкатил новый бесплатный инструмент, который позволяет определить накрутку звезд в GitHub репозиториях. Для #ИБ специалистов (и не только) это отличная тулза для анализа и детекта фейковых проектов. Подобные репо нужно тщательно проверять перед использованием и быть максимально осторожным, либо не использовать вовсе.
• Инструмент работает из коробки на любых OS (в т.ч. и в Android / Termux) и не требует чтения мануалов и тех.скиллов. А еще есть описание на русском языке.
• Заявленный функционал:
➡Помогает найти и определить факт накрутки звезд в различных репозиториях;
➡Проверяет репозитории на предмет накрутки звезд за выбранный период времени;
➡Сообщает реальную дату создания репозитория;
➡Покажет ~ размер любого публичного репозитория;
➡Предоставит краткое описание репозитория;
➡Есть история сканирований с выбором ранее учтенных проектов для быстрой проверки;
➡Генерирует CLI/HTML отчеты (статистика, периоды времени, дублирующая активность пользователей, url's и графики);
➡Находит пересекающихся у Github-проектов пользователей, в т.ч. и тех, у кого профиль скрыт/приватный;
➡Создан для людей и работает из коробки, поддержка OS: Windows7+, GNU/Linux, Android;
➡Отрабатывает задачи с реактивной скоростью и является полностью бесплатным.
➡ https://github.com/snooppr/shotstars
S.E. ▪️ infosec.work ▪️ VT
За во второй день Pwn2Own Berlin 2025 участники смогли заработать 435 000 долл., проэксплуатировав 0-day в нескольких продуктах, включая Microsoft SharePoint, VMware ESXi, Oracle VirtualBox, Red Hat Enterprise Linux и Mozilla Firefox.
Самым ярким событием стала успешная реализация Нгуена Хоанга Тхача из STARLabs SG по взлому VMware ESXi, которая принесла ему 150 000 долл. за эксплойт с переполнением целочисленного значения.
Дин Хо Ань Хоа из Viettel Cyber Security получил 100 000 долл. за взлом Microsoft SharePoint путем использования цепочки эксплойтов, объединяющей обход аутентификации и небезопасную уязвимость десериализации.
Эдуард Бочин и Тао Янь из Palo Alto Networks также продемонстрировали 0-day, связанную с записью за пределами выделенного пространства в Mozilla Firefox.
Джеррард Тай из STAR Labs SG смог повысить привилегии до уровня root в Red Hat Enterprise Linux, используя ошибку использования после освобождения,
а Viettel Cyber Security использовала еще одну запись за пределами выделенного пространства для перехода из гостевой памяти Oracle VirtualBox на хост.
В категории ИИ специалисты из Wiz Research использовали 0-day с функцией использования после освобождения для эксплуатации Redis, а Qrious Secure объединили четыре уязвимости для взлома сервера вывода Triton компании Nvidia.
В первый день участники сорвали куш в размере 260 000 долл. за успешную эксплуатацию 0-day в Windows 11, Red Hat Linux и Oracle VirtualBox, а общая сумма выигрыша за первые два дня конкурса после демонстрации 20 уникальных нулейя составила 695 000 долл.
Pwn2Own Berlin 2025 посвящена корпоративным технологиям, впервые представляет категорию ИИ и проходит во рамках конференции OffensiveCon с 15 по 17 мая. Общий призовой фонд составляет более 1 000 000 долл.
В очередной раз на Pwn2Own не было ни одной попытки взлома Tesla, хотя в качестве целей также были доступны два автомобиля Tesla Model Y 2025 года и Tesla Model 3 2024 года.
Традиционно после раскрытия нулей в ходе конкурса Pwn2Own у поставщиков есть 90 дней на выпуск исправлений безопасности для своих программных и аппаратных продуктов, прежде чем Trend Micro Zero Day Initiative опубликует технические подробности.
Гиганты промавтоматизации Siemens, Schneider Electric и Phoenix Contact представили свои рекомендации в рамках ICS Patch Tuesday за май 2025 года.
Большинство описанных уязвимостей были исправлены, но для некоторых недостатков в настоящее время доступны лишь меры по смягчению последствий и обходные пути.
Siemens выкатила 18 новых рекомендаций, в том числе четыре, которые охватывают критические уязвимости.
Один из них описывает проблему обхода аутентификации в интерфейсе Redfish контроллера BMC, используемого промышленными ПК Simatic.
Недостаток был раскрыт Eclypsium еще в марте.
Другой критический бюллетень включает недостаток веб-сервера OZW, который можно использовать для RCE с привилегиями root, и еще одну ошибку, которую можно использовать для получения привилегий администратора.
Три иные уязвимости, позволить аутентифицированному злоумышленнику выполнять произвольный код с привилегиями root на устройствах Ruggedcom ROX II, также были классифицированы как критические.
Siemens также опубликовала рекомендации по уязвимости BlastRADIUS, в частности, описывая ее влияние на Siprotec, Sicam и другие продукты.
Поставщик анонсировал исправления уязвимости высокой степени серьезности в зарядных устройствах VersiCharge EV, продуктах Simatic PCS neo, Desigo CC, Scalance, Sirius, Intralog и Teamcenter Visualization.
Проблемы средней степени серьезности были закрыты в продуктах Polarion, BACnet, MS/TP Point Pickup Module, Mendix и Ruggedcom.
Schneider Electric поделилась четырьмя новыми рекомендациями, каждая из которых включает по одной уязвимости.
Две посвящены влиянию CVE-2023-4041, более старого недостатка загрузчика Silicon Labs Gecko, на продукты домашней автоматизации PrismaSeT Active и Wiser.
В одной из рекомендаций описывается влияние CVE-2025-32433, недавно раскрытой ошибки Erlang/OTP SSH, которая подвергает многие устройства полной компрометации.
Schneider определила, что уязвимость влияет на ее продукты Galaxy data center UPS.
В последнем сообщении Schneider описывает уязвимость раскрытия информации высокой степени серьезности, которую может использовать неавторизованный злоумышленник для чтения произвольных файлов в ПЛК Modicon.
Phoenix Contact уведомила клиентов, что некоторые из ее шинных соединителей подвержены DoS-уязвимости высокой степени серьезности, которая была обнаружена в ходе сканирования сети.
Неаутентифицированный злоумышленник может удаленно воспользоваться уязвимостью безопасности, чтобы вызвать сбой, отправив большое количество запросов на порт 80.
Исследователи Trend Micro в своем новом отчете сообщают о двух разных кампаниях с участием китайской APT Earth Ammit, нацеленных в период с 2023 по 2024 год на цепочки поставок беспилотников в ходе атак на различные организации на Тайване и в Южной Корее.
Две волны атак, получившие названия Tidrone и Venom, затронули военные организации, тяжелую промышленность, разработчиков ПО, спутниковую связь, IT, СМИ и здравоохранение.
Trend Micro впервые раскрыла TIDRONE еще в сентябре прошлого году, подробно описывая атаки на производителей беспилотных летательных аппаратов на Тайване.
В последующем отчете за в декабрь 2024 года AhnLab подробно проанализировала использование CLNTEND в отношении южнокорейских компаний.
Стратегия Earth Ammit в атаках Tidrone подразумевала нацеливание на поставщиков услуг для внедрения кода и распространения вредоносного ПО среди их клиентов.
APT злоупотребляла ERP и доступом к удаленному рабочему столу для развертывания бэкдоров Cxclnt и Clntend.
Последующие действия на этапе постэксплуатации включали повышение привилегий, установление постоянства, отключение антивирусного ПО и сбор информации.
Основная функциональность CXCLNT обеспечивается модульной системов плагинов, которые после выполнения доставляются с С2, динамически расширия возможности.
CXCLNT используется в атаках, по крайней мере, с 2022 года, а CLNTEND, впервые обнаруженный в 2024 году, является его преемником и поставляется с расширенным набором функций.
Кампания VENOM, согласно Trend Micro, характеризуется использованием уязвимостей веб-серверов для развертывания веб-оболочек, реализации доступа для установки RAT и обеспечения постоянного доступа к скомпрометированным хостам, а также использованием опенсорсных инструментов REVSOCK и Sliver.
После чего злоумышленники использовали украденные учетные данные жертв для проведения атак на нижестоящих клиентов.
В дополнение к Cxclnt и Clntend, Earth Ammit использовала кастомизированные инструменты, такие как Screencap (инструмент захвата экрана) и Venfrpc в кампании VENOM (быстрый обратный прокси), оба адаптированные из утилит, доступных на GitHub.
Связь между VENOM и TIDRONE обусловлена общей виктимологией и инфраструктуры С2.
При этом, как отмечает Trend Micro, TTPs группы напоминают те, что использует другая китайская APT Dalbit (m00nlight), что указывает на общий набор инструментов.
В общем, исследователи обращают внимание на интересную особенность: актор полагается изначально на недорогие малорисковые инструменты для установления доступа, а затем задействует индивидуальные возможности для реализации более целенаправленных и эффективных вторжений.
Intel, AMD и Arm представили свои рекомендации по безопасности в рамках Patch Tuesday, информируя клиентов о недавно обнаруженных уязвимостях в их продуктах, в том числе связанных с недавно раскрытыми атаками на процессоры.
Одна из таких была раскрыта на неделе исследователями швейцарского университета ETH Zurich, обнаружившими проблему внедрения привилегий ветвления (CVE-2024-45332), которая, реализует всю мощь атак внедрения ветвления цели (Spectre-BTI) на Intel.
Исследователи утверждают, что, хотя средства защиты Spectre-BTI (также известные как Spectre v2) от Intel работали почти шесть лет, теперь им удалось найти способ их обхода их из-за состояния гонки, влияющего на процессоры Intel.
Атаки типа Spectre позволяют злоумышленнику, имеющему доступ к целевой системе, получить потенциально ценную информацию из памяти, включая ключи шифрования и пароли.
В своем бюллетене Intel отметила, что выпускает обновления микрокода для смягчения уязвимости CVE-2024-45332, которую она отнесла к проблеме раскрытия конфиденциальной информации.
AMD опубликовала предупреждение для клиентов о том, что, как заявили сами исследователи, эта уязвимость не затрагивает ее процессоры.
Еще одна атака на ЦП была раскрыта на этой же неделе исследователями из голландского университета VU Amsterdam, которые назвали ее Training Solo, открыв три новых класса самообучающихся атак Spectre v2, которые подчеркивают ограничения изоляции домена.
Исследователи разработали два эксплойта, нацеленных на процессоры Intel, которые приводят к утечке памяти ядра со скоростью до 17 Кбит/с, и обнаружили две новые аппаратные уязвимости (CVE-2024-28956 и CVE-2025-24495), которые полностью нарушают изоляцию домена и вновь открывают простор для традиционных атак Spectre-v2 «пользователь-пользователь», «гость-гость» и даже «гость-хост».
В свою очередь, Intel заявила, что выпускает обновления микрокода и предписания для устранения этих уязвимостей.
AMD аналогично отметила в своей рекомендации, что ее процессоры не подвержены этой атаке, чего не скажешь по процессоры Arm.
Производитель чипов сообщил, что проблема не новая, но тем не менее руководство по безопасности все же было обновлено, более четко обозначая риски.
В целом, Intel выкатила 25 новых рекомендаций, охватывающих десятки уязвимостей, обнаруженных в ее продуктах.
Устранены уязвимости высокой степени серьезности, которые могут привести к раскрытию информации, DoS или EoP в Tiber Edge Platform, Graphics and Graphics Driver, Server Board, PROSet/Wireless, Gaudi, Xeon, Ethernet Network Adapter, Slim Bootloader и Simics Package Manager.
Проблемы средней степени серьезности были исправлены в Intel RealSense, Ethernet Network Adapter, Ethernet Connections Boot Utility, oneAPI Level Zero, OpenVINO, Advisor, Endurance Gaming Mode, Arc GPU, Core и Xeon CPU, oneAPI DPC++/C++ Compiler и QuickAssist Technology.
AMD представила также еще три новых бюллетеня. Один из них охватывает четыре уязвимости высокой степени серьезности в AMD Manageability Tools - их эксплуатация может привести к EoP и потенциальному RCE.
В другом сообщении описываются две уязвимости высокой степени серьезности в библиотеках AMD Optimizing CPU Libraries (AOCL), которые также могут быть использованы для EoP и, возможно, RCE.
В последнем - описывается проблема средней степени серьезности в uProf, которая может быть использована для удаления произвольных файлов.
Samsung пофиксила критическую уязвимость безопасности в MagicINFO 9 Server, которая активно эксплуатируется в дикой природе.
Уязвимость отслеживается как CVE-2025-4632 (CVSS: 9,8) и связана с обходом пути, затрагивая все версии до 21.1052 и позволяя злоумышленникам записывать произвольные файлы от имени системы.
Стоит отметить, что CVE-2025-4632 - это обходной патч для CVE-2024-7399, другой уязвимости обхода пути в том же продукте, исправленной Samsung в августе 2024 года.
После публикации 30 апреля 2025 года исследователями SSD Disclosure прототипа PoC CVE-2025-4632 стала активно эксплуатироваться в реальных условиях, в некоторых случаях даже для развертывания ботнета Mirai.
Первоначально предполагалось, что атаки были нацелены на изначальную уязвимость CVE-2024-7399.
Однако на прошлой неделе Huntress выявила первопричину и сообщила о неисправленной уязвимости, обнаружив признаки ее эксплуатации на экземплярах MagicINFO 9 Server, работающих под управлением последней версии 21.1050.
В своем последующем отчете от 9 мая исследователи Huntress упомянули о трех различных инцидентах, связанных с CVE-2025-4632.
Причем неопознанные злоумышленники запускали идентичный набор команд для загрузки дополнительных полезных нагрузок srvany.exe и services.exe на двух хостах и выполняли разведку на третьем.
Пользователям сервера Samsung MagicINFO 9 рекомендуется как можно скорее применить последние исправления, дабы не продолжить пополнять список раскрытых на текущий момент жертв.
Microsoft выкатила майские обновления PatchTuesday с исправлениями в общей сложности 78 уязвимостей во всей линейке своего ПО, включая 5 0-day, которые подвергались активной эксплуатации.
11 из закрытых уязвимостей относятся к критическим, 66 - к важным и лишь одна имеет рейтинг низкой степени серьезности. 28 приводят к RCE , 21 - EoP, а 16 - раскрыти. информации.
Среди нулей, которые активно эксплуатируются в реальных условиях:
- CVE-2025-30397 (CVSS: 7,5): уязвимость повреждения памяти Scripting Engine;
В Action1 отмечают, что злоумышленники могут воспользоваться уязвимостью через вредоносную веб-страницу или скрипт, который заставляет скриптовый движок неправильно интерпретировать типы объектов, что приводит к повреждению памяти и RCE в контексте текущего пользователя.
Если у пользователя есть административные привилегии, злоумышленники могут получить полный контроль над системой со всеми вытекающими последствиями.
- CVE-2025-30400 (CVSS: 7,8): уязвимость базовой библиотеки Microsoft Desktop Window Manager (DWM), приводящая к EoP;
CVE-2025-30400 - это третья EoP-уязвимость повышения привилегий в DWM Core Library, которая использовалась в дикой природе, начиная с 2023 года.
Год назад Microsoft выпустила исправления для CVE-2024-30051, которая, по данным Лаборатории Касперского, использовалась в атаках, связанных с распространением вредоносного ПО QakBot (Qwaking Mantis).
Годом ранее в качестве нуля задействовалась CVE-2023-36033.
- CVE-2025-32701 (CVSS: 7,8): уязвимость драйвера общей файловой системы журнала Windows (CLFS), приводящая к EoP;
- CVE-2025-32706 (CVSS: 7,8): уязвимость драйвера файловой системы Windows Common Log, приводящая к EoP;
Обе представляют собой седьмую и восьмую EoP-уязвимости, обнаруженные в компоненте CLFS и использовавшиеся в реальных атаках с 2022 года.
Буквально месяц назад другая CVE-2025-29824 в качестве нуля также применялась в атаках, нацеленных на компании в США, Венесуэле, Испании и Саудовской Аравии, в том числе бандой вымогателей Play.
- CVE-2025-32709 (CVSS: 7,8): уязвимость драйвера вспомогательной функции Windows для WinSock, приводящая к EoP.
Аналогично, CVE-2025-32709 - это третья EoP-уязвимость в компоненте Ancillary Function Driver for WinSock, которая подверглась злоупотреблению в течение года после CVE-2024-38193 (со стороны Lazarus) и CVE-2025-21418.
Обнаружение первых трех приписывается исследователям Microsoft, CVE-2025-32706 - исследователям Google Threat Intelligence Group и CrowdStrike Advanced Research Team, а последняя - анонимному исследователю.
Новый Patch Tuesday также включает исправления для EoP-ошибки в Microsoft Defender для Endpoint для Linux (CVE-2025-26684, CVSS: 6,7), которая позволяет авторизованному злоумышленнику локально повысить привилегии. Раскрыта исследователями Stratascale.
Другим серьезным недостатком можно назвать CVE-2025-26685 (CVSS: 6,5) в Microsoft Defender for Identity, которая позволяет злоумышленнику с доступом к локальной сети выполнять спуфинг через соседнюю сеть.
И, наконец, нельзя не упомянуть про уязвимость с CVSS: 10,0 - CVE-2025-29813, которая приводит к EoP в Azure DevOps Server, позволяя неавторизованному злоумышленнику повышать привилегии по сети.
Microsoft исправила недостаток, вмешательства клиентов не требуется.
Fortinet исправила критическую 0-day, которая активно задействуется в атаках на корпоративные телефонные системы FortiVoice.
Проблема представляет собой стековую уязвимость переполнения, отлеживаемую как CVE-2025-32756 (CVSS 9,6 из 10,0), которая также затрагивает FortiMail, FortiNDR, FortiRecorder и FortiCamera.
Как поясняет поставщик, успешная эксплуатация уязвимости может позволить удаленным неаутентифицированным злоумышленникам выполнять произвольный код или команды с помощью вредоносных HTTP-запросов.
Fortinet смогла вычленить CVE-2025-32756 на основе данных о действиях злоумышленников, включая сканирование сети, удаление журналов сбоев системы для сокрытия следов и включение «fcgi debugging» для регистрации учетных данных из системы или попыток входа по протоколу SSH.
Согласно бюллетеню по безопасности, злоумышленники реализовали атаки с IP 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 и 218.187.69[.]59.
Индикаторы компрометации, обнаруженные Fortinet в ходе анализа атак, включают параметр отладки fcgi (который не включен по умолчанию), включенный на скомпрометированных системах.
Расследуя атаки, Fortinet обнаружила, что злоумышленники развертывают вредоносное ПО на взломанных устройствах, добавляют задания cron, предназначенные для сбора учетных данных, и размещают скрипты для сканирования сетей жертв.
Несмотря на представленные обстоятельства, поставщик не раскрыл реальный масштаб масштаб атак и личности стоящих за ними злоумышленников.
Пользователям FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera рекомендуется применить необходимые исправления для защиты своих устройств от активных попыток эксплуатации.
Компания также поделилась рекомендациями по смягчению последствий: для этого необходимо отключить административный интерфейс HTTP/HTTPS на уязвимых устройствах.
К Международному дню борьбы с шифровальщиками исследователи Лаборатории Касперского выкатили отчет об эволюции угроз ransomware и их влиянии на сферу кибербезопасности.
По данным Kaspersky Security Network, с 2023 по 2024 год количество детектов по шифровальщикам сократилось на 18% - с 5 715 892 до 4 668 229.
В то же время доля пользователей, пострадавших от атак шифровальщиков, увеличилась на 0,02 п.п. до 0,44%.
С другой стороны, статистика по реагированиям на киберинциденты указывает на то, что в 2024 году 41,6% из них были связаны с шифровальщиками, при этом в 2023 году таких случаев было 33,3%.
Так что, можно полагать: целевые атаки шифровальщиков останутся главной угрозой для организаций по всему миру в обозримом будущем.
В целом, в отчете исследователи ЛК выделяют ряд глобальных тенденций, которые наблюдались в отношении шифровальщиков в 2024 году:
1. Модель RaaS по-прежнему остается основным способом организации атак шифровальщиков, способствуя их распространению за счет снижения технического порога для злоумышленников.
По итогам 2024 года отметились RansomHub со схемой распределения выкупа в 90/10 для операторов. За ними - Play.
RaaS-платформы продолжают развиваться, предлагая услуги брокеров первоначального доступа и эксфильтрации данных, что обеспечит их доминирование в 2025 году.
2. Большинство атак шифровальщиков по-прежнему нацелены на компьютеры на базе Windows, что обусловлено широким распространением этой системы в корпоративной среде.
Тем не менее в последние годы злоумышленники начали диверсифицировать свою деятельность: такие группы, как RansomHub и Akira, разрабатывают версии своих вредоносных программ для Linux и VMware, нацеливаясь, в частности, на облачные и виртуализированные среды.
3. По данным Chainalysis, в 2024 году общая сумма выплат значительно сократилась - до 813,55 млн долл. США, что на 35% меньше рекордного показателя 2023 года в 1,25 млрд долл.
При этом, согласно отчету Sophos, средний размер выкупа подскочил с 1 542 333 долларов в 2023 году до 3 960 917 долларов в 2024 году.
Тем не менее, доля организаций, заплативших выкуп в 4 квартале 2024, упала до рекордно низких 25% в сравнении с 29% за тот же период 2023 года.
4. В 2024 году киберпреступники все чаще наряду с шифрованием, а то и вместо него, выполняли эксфильтрацию данных, стремясь извлечь максимальную выгоду из похищенной конфиденциальной информации, оказывая давление на жертв.
5. В 2024 году несколько крупных операторов ransomware столкнулись с серьезными перебоями в своей деятельности, однако устойчивость экосистемы вымогателей сохраняется.
При этом LockBit после удара спецслужб смогла вернуться, чего не скажешь про ALPHV/BlackCat, чьи участники перекочевали в другие группы, включая RansomHub.
6. Одни группы исчезли, другие продолжили их дело: вредоносный код и тактики таких групп, как BlackMatter или REvil, оказавшихся под давлением силовиков, были впоследствии переняты их преемниками, в частности BlackCat, а затем и Cicada3301.
Кроме того, иногда вредоносные инструменты «утекают» в сеть, как это произошло с LockBit 3.0.
7. Банды вымогателей все чаще разрабатывают свои уникальные наборы инструментов, также фиксируются попытки задействования ИИ в операциях, как в случае с FunkSec.
8. Техника Bring Your Own Vulnerable Driver (BYOVD) все чаще применяется в атаках для обхода защитных механизмов и получения доступа на уровне ядра в системах Windows.
Подробная статистика по угрозам, перспективы ransomware-индустрии и рекомендации исследователей ЛК - в отчете.
Cisco устранила уязвимость максимальной степени серьезности в ПО IOS XE для контроллеров беспроводной локальной сети, связанную с жестко запрограммированным JSON Web Token (JWT), который позволяет неаутентифицированному удаленному злоумышленнику захватывать устройства.
JWT предназначен для аутентификации запросов к функции загрузки образа точки доступа по внешнему каналу.
Она позволяет точкам доступа (ТД) загружать образы ОС через HTTPS, а не по протоколу CAPWAP, что обеспечивает более гибкий и прямой способ загрузки прошивки.
Поскольку токен жестко запрограммирован, любой может выдать себя за авторизованного пользователя без учетных данных.
По данным производителя, уязвимость отслеживается как CVE-2025-20188 и имеет максимальную оценку CVSS 10,0.
Злоумышленник может воспользоваться уязвимостью, отправив специально созданные HTTPS-запросы на интерфейс загрузки образов точки доступа.
Успешный эксплойт может позволить злоумышленнику загружать файлы, выполнять обход пути и произвольные команды с привилегиями root.
При этом CVE-2025-20188 может быть использована только в том случае, если на устройстве включена упоминаемая функция (по умолчанию она отключена).
Тем не менее, практика показывает, что некоторые крупные корпоративные пользователи задействуют ее для более быстрой подготовки или восстановления точек доступа.
Ошибка затрагивает:
- беспроводные контроллеры Catalyst 9800-CL for Cloud;
- встроенный беспроводной контроллер Catalyst 9800 для коммутаторов серий Catalyst 9300, 9400 и 9500;
- беспроводные контроллеры серии Catalyst 9800;
- встроенный беспроводной контроллер на Catalyst APs.
При этом проблема с жестко запрограммированным JWT обошла стороной Cisco IOS (не XE), Cisco IOS XR, Cisco Meraki, Cisco NX-OS и WLC на базе Cisco AireOS.
Cisco выпустила обновления с исправлением критической уязвимости, системным администраторам рекомендуется применить их как можно скорее.
Несмотря на отсутствие мер по смягчению последствий или обходных путей для CVE-2025-20188, отключение функции загрузки образа точки доступа по внешнему каналу обеспечит надежную защиту.
Как заявляет Cisco, каких-либо случаев активной эксплуатации CVE-2025-20188 не фиксировалось.
Однако, учитывая серьезность проблемы, киберподполье, скорее всего, будут предпринимать попытки сканирования уязвимых конечных точек.
Но будем посмотреть.
ASUS выпустила обновления для исправления двух уязвимостей, влияющих на ASUS DriverHub, которые в случае успешной эксплуатации могут позволить злоумышленнику использовать программное обеспечение для удаленного выполнения кода.
DriverHub - это инструмент, предназначенный для автоматизации необходимых обновлений драйверов для последующей установки путем взаимодействия со специальным сайтом, размещенным по адресу driverhub.asus[.]com.
Обнаруженные проблемы отслеживаются как:
- CVE-2025-3462 (CVSS: 8,4): связана с ошибкой проверки источника, которая позволяет неавторизованным источникам взаимодействовать с функциями программного обеспечения с помощью специально созданных HTTP-запросов.
- CVE-2025-3463 (CVSS: 9,4): уязвимость неправильной проверки сертификата, которая может позволить ненадежным источникам влиять на поведение системы с помощью специально созданных HTTP-запросов.
Сообщивший об ошибках исследователь MrBruh отметил, что их можно использовать для удаленного выполнения кода в рамках атаки в один клик.
Для этого необходимо обманом заманить ничего не подозревающего пользователя на поддомен driverhub.asus[.]com (например, driverhub.asus.com.<random string>.com), а затем использовать конечную точку UpdateApp DriverHub для запуска легитимной версии двоичного файла «AsusSetup.exe» с опцией запуска любого файла, размещенного на поддельном домене.
При запуске AsusSetup.exe сначала считывает данные из AsusSetup.ini. Если запускается AsusSetup.exe с флагом -s (DriverHub вызывает его, используя этот параметр для выполнения тихой установки), реализуется выполнение всего, что указано в SilentInstallRun.
Все, что нужно злоумышленнику для успешной реализации эксплойта, - это создать домен и разместить три файла: вредоносную полезную нагрузку для запуска, измененную версию AsusSetup.ini, в которой свойство SilentInstallRun установлено на вредоносный двоичный файл, и AsusSetup.exe, который затем использует это свойство для запуска полезной нагрузки.
Уведомление об уязвимостях было направлено в ASUS 8 апреля 2025 года, после чего к 9 мая все ошибки были устранены.
Свидетельств эксплуатации уязвимостей в реальных условиях не получено. Тем не менее обновиться следует.
