39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи F6 выявили уникальные артефакты, позволяющие связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.
В марте этого года Seqrite Labs сообщала об обнаружении кампании кибершпиоанажа, получившей название Operation HollowQuill. Атаки были нацелены на российские промышленные предприятия.
По данным исследователей, хакеры использовали файл, мимикрирующий под официальный документ, написанный от имени Балтийского государственного технического университета ВОЕНМЕХ.
Причем впервые эту активность обнаружили исследователи Positive Technologies в конце 2024 года, а дополнительный анализ позволил специалистам F6 установить пересечения с деятельностью группы FakeTicketer.
Злоумышленники действуют как минимум с июня 2024 года, основной их мотивацией, предположительно, является шпионаж, а среди целей были замечены промышленные организации, госорганы и спортивные функционеры.
Анализ вредоносных ПО и инфраструктуры злоумышленников показал, что в кампании HollowQuill и у FakeTicketer обнаружены пересечения в коде дропперов и именовании доменов.
При более детальном анализе удалось выявить некоторые пересечения с вредоносной программой Zagrebator.Dropper, приписываемой группе FakeTicketer:
- оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#;
- используют одинаковые названия иконок (faylyk);
- схожее именование файлов и классов.
- файлы для дроппера и иконка хранятся в ресурсах, дроппер читает данные из ресурсов и записывает ресурс в файл, используя один и тот же класс BinaryWrite;
- код для создания ярлыков практически идентичен;
- в обоих случаях файлы OneDrive*.exe и OneDrive*.lnk используются для сокрытия активности.
Исследователи F6 обнаружили еще одно весомое совпадение между HollowQuill и группой FakeTicketer.
В свое время, группа FakeTicketer зарегистрировала несĸольĸо доменов, используя одни и те же регистрационные данные.
Один из них - phpsymfony[.]info, при этом в ĸампании HollowQuill использовался созвучный домен - phpsymfony[.]com в ĸачестве C2-сервера для Cobalt Strike.
Таким образом, по мнению эĸспертов F6, найденные доĸазательства позволяют со средней уверенностью приписать кампанию, именуемую HollowQuill, группе FakeTicketer.
Исследователи из Лаборатории Касперского обнаружили новые каналы распространения загрузчика TookPS, которые ранее попадал в поле зрения ресерчеров в рамках исследования, посвященного нескольким вредоносным кампаниям с приманками под DeepSeek.
Изучая телеметрию, в ЛК заметили, что один из описанных зловредов - загрузчик TookPS, мимикрирует не только под популярную нейросеть.
В частности, были найдены фейковые сайты, имитирующие официальные ресурсы различного ПО для удаленного доступа и 3D-моделирования, а также страницы, предлагающие бесплатно его загрузить.
При этом фигурирующие UltraViewer, AutoCAD и SketchUp часто используются в бизнесе, так что потенциальными жертвами этой кампании могут быть как частные пользователи, так и организации.
Помимо вредоносных сайтов в телеметрии засветились имена детектируемых файлов: Ableton.exe и QuickenApp.exe.
Ableton - это ПО для написания музыки, звукозаписи, микширования и сведения треков и т.д., Quicken - приложение для управления финансами и счетами.
Цепочка заражения аналогична той, что описывалась в статье про атаки, использующие DeepSeek в качестве приманки.
Попав на устройство жертвы, загрузчик связывается с C2, домен которого содержится в его коде, чтобы получить PowerShell-скрипт.
Причем разные образцы вредоноса обращаются к разным доменам, откуда получает команды, закодированные в base64.
Разные образцы команды содержат разные URL-адреса, однако в остальном они идентичны. Они последовательно скачивают с указанного URL три PowerShell-скрипта и запускают их.
Первый из обнаруженных скриптов выкачивает с С2 файл sshd.exe, конфигурацию для него (файл config) и файл с ключом RSA.
Второй получает параметры командной строки для запуска sshd: адрес удаленного сервера, порт и имя пользователя - после чего запускает sshd.
Запускается сервер SSH, который устанавливает туннель между зараженным устройством и удаленным сервером. Для аутентификации используется скачанный ранее ключ RSA, а конфигурация сервера берется из файла config.
Туннель позволяет злоумышленнику получать доступ к системе и выполнять произвольные команды в ней, а третий скрипт, в свою очередь, пытается скачать на компьютер жертвы модификацию известного бэкдора Backdoor.Win32.TeviRat.
Изученный вариант устанавливает на зараженное устройство ПО для удаленного доступа TeamViewer, которое изменяет при помощи метода DLL side-loading. В исследуемой кампании в качестве C2 использовался домен invoicingtools[.]com.
Помимо этого, на зараженное устройство загружается бэкдор Backdoor.Win32.Lapmon. Он использует домен twomg[.]xyz в качестве C2.
Таким образом, злоумышленники получают полный доступ к компьютеру жертвы несколькими разными способами.
Изучая структуру доменов, к которым обращаются вредоносные скрипты и программы в этой атаке, исследователи вышли и на другие, полагая с высокой вероятностью, что TookPS, Lapmon и TeviRat - не первые в арсенале этих злоумышленников.
В целом, атаки с использованием DeepSeek в качестве приманки в случае TookPS оказались лишь вершиной айсберга - более масштабной кампании, нацеленной как на домашних пользователей, так и на организации.
Индикаторы компрометации - в отчете.
Исследователи Лаборатории Касперского задетектили модифицированную версию троянца Triada, которая внедрялась в прошивки совсем новых Android-устройств - подделки под разные популярные модели смартфонов.
Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам.
Новой версией Triada оказались заражены более 2600 пользователей в разных странах, большинство из которых в России.
Причем эта статистика охватывает период с 13 по 27 марта 2025 года.
Обновленная версия распространяется в прошивках заражённых Android-устройств и внедряется в системный фреймворк устройства, затрагивая фактически все системные процессы.
Зловред обладает широкой функциональностью и реализует злоумышленникам почти неограниченные возможности контроля над гаджетом, включая:
- кражу аккаунтов пользователей в мессенджерах и соцсетях, в частности в Telegram и TikTok;
- скрытую отправку сообщений от лица жертвы в WhatsApp и Telegram с удалением следов активности;
- кражу крипты через подмену адреса кошельков в нужных приложениях;
- контроль активности жертвы в браузерах и подмену ссылок;
- подмену вызываемого номера во ходе соединения;
- контроль СМС: перехват, отправка и удаление сообщений, в том числе премиум-СМС;
- загрузку и запуск других программ на заражённом смартфоне;
- блокировку сетевых соединений.
Triada известена давно, но всё ещё остаётся одной из наиболее сложных и опасных угроз для Android.
Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей.
Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что реализуют среди покупателей смартфоны с предустановленной Triada под капотом.
Решения Лаборатории Касперского детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.
При этом операторы новой версии Triada активно монетизируют свои разработку и судя по транзакциям их заработки составляют почти 270 тысяч долларов в разной криптовалюте.
В реальности сумма больше, ведь злоумышленники также нацелены на Monero, которую трудно отследить.
Тайваньский производитель сетевого оборудования DrayTek поделился некоторыми разъяснениями относительно недавних перезагрузок маршрутизаторов, о которых сообщfли клиенты по всему миру, но некоторые вопросы остаются без ответа.
В конце марта пользователи маршрутизаторов DrayTek в Великобритании, Австралии и других странах столкнулись с массовыми перегрузками своих устройств, что приводило к проблемам с подключением.
Когда появились первые отчеты, поставщик предположил, что может быть задействована эксплуатация уязвимости, но не поделился никакой информацией о том, какой именно недостаток мог быть причиной проблем.
В ответ на растущее число жалоб DrayTek опубликовала второе информационное сообщение, в котором пояснила, что инциденты, по всей видимости, в основном затрагивают старые модели маршрутизаторов с устаревшей прошивкой.
Расследование показало, что маршрутизаторы DrayTek подвергались повторным, подозрительным и потенциально вредоносным попыткам подключения TCP, исходящим от IP-адресов с известной негативной репутацией.
Замеченные попытки могли привести к перезагрузке маршрутизатора на необновленных устройствах, если на этих устройствах включен SSL VPN или включено удаленное управление без защиты списка контроля доступа (ACL).
Компания перечислила несколько моделей маршрутизаторов Vigor, которые, по-видимому, были затронуты, но отметила, что обновления прошивки, выпущенные для них в 2020 году, должны исправить «проблему», эксплуатация которой в реальных условиях наблюдается сейчас впервые.
Однако до сих пор остается непонятным, какая именно уязвимость (или уязвимости) была задействована.
Кроме того, неясно, какова цель злоумышленников и являются ли перезагрузки устройств запланированным результатом или следствием неудачных попыток эксплуатации.
Причем 26 марта в социальной сети X компания DrayTek заявила, что проблема, по всей видимости, связана с уязвимостью, обнаруженной в начале марта, но и тогда не уточнила, с какой именно.
В начале марта поставщик опубликовал два бюллетеня безопасности: один описывает полдюжины уязвимостей маршрутизатора Vigor, допускающих DoS-атаки, раскрытие информации и выполнение кода, а второй - две уязвимости выполнения кода.
В обоих бюллетенях компания указала, что исправления прошивки, устраняющие эти недостатки, доступны с осени 2024 года.
В свою очередь, GreyNoise наблюдала, что в последние дни в отношении маршрутизаторов DrayTek использовались три уязвимости, включая CVE-2020-8515, CVE-2021-20123 и CVE-2021-20124, но компания не смогла подтвердить, была ли какая-либо из них замешана в недавних атаках.
Так что будем следить.
Apple выпустила обновления с исправлениями для активно эксплуатируемых уязвимостей, использовавшихся в качестве 0-day для более старых версий операционных систем.
Кроме того, исправления подкатили и для многочисленных проблем безопасности в последних стабильных версиях iOS, iPadOS и macOS.
Первый бэкпорт касается CVE-2025-24200, обнаруженной Citizen Lab, которая задействовалась в решениях для мобильной криминалистики и приводила к деактивации «ограниченного режима USB» на заблокированных устройствах.
Apple устранила уязвимость в iOS 18.3.1, iPadOS 18.3.1 и 17.7.5, выпущенных 10 февраля 2025 года.
Вторая уязвимость, портированная на более старые версии ОС, - CVE-2025-24201, которая позволяла хакерам выходить за рамки «песочницы» на движке WebKit с помощью специально созданного веб-контента.
Apple предупредила, что уязвимость использовалась в чрезвычайно сложных» атаках, и устранила ее 11 марта 2025 года с выпуском iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.
Поставщик уже включил исправления для CVE-2025-24200 и CVE-2025-24201 в iOS 16.7.11 и 15.8.4, а также iPadOS версий 16.7.11 и 15.8.4.
Третья уязвимость, исправленная на старых устройствах, - CVE-2025-24085, связана с проблемой повышения привилегий в фреймворке Core Media компании Apple.
Компания устранила проблему в конце января 2025 года, выпустив iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 и tvOS 18.3.
Теперь исправления для CVE-2025-24085 стали доступны в iPadOS 17.7.6 и macOS версий 14.7.5 (Sonoma) и 13.7.5 (Ventura).
Помимо бэкпортов, Apple также выпустила обновления безопасности для последних стабильных версий своих ОС и ПО, включая Safari и Xcode.
В частности, последнее обновление для iOS 18.4 и iPadOS 18.4 устраняет 77 уязвимостей, в том числе CVE-2025-30456 (обход изолированной среды приложения, позволяющий повысить привилегии до root), CVE-2025-24097 (произвольный доступ к метаданным файла) и CVE-2025-31182 (произвольное удаление файла).
В macOS Sequoia 15.4 Apple устранила 123 уязвимости, включая CVE-2025-24228 (произвольное выполнение кода с привилегиями ядра), CVE-2025-24267 (повышение привилегий до root) и CVE-2025-24178 (выход из песочницы).
В последней версии Safari 18.4 Apple закрыла 13 уязвимостей, включая CVE-2025-24213 (повреждение памяти WebKit), CVE-2025-30427 (использование WebKit после освобождения памяти) и CVE-2025-24180 (путаница с учетными данными WebAuthn).
Несмотря на то, что в представленных бюллетенях не упоминается об эксплуатации уязвимостей, пользователям следует как можно скорее установить обновления для нейтрализации потенциальных атак.
В новом отчете Paradigm подробно рассматривается экосистема APT-подполья Северной Кореи, в которой помимо нашумевшей Lazarus Group перечислены и ряд иных субъектов угроз, нацеленных на организации и частных лиц за рубежом.
Поводом стало ограбление Bybit на рекордную сумму в более 1,4 млрд долларов США после фактической компрометации инфраструктуры Safe{Wallet}, что буквально, по мнению авторов, разорвало парадигму существующих моделей угроз.
Первые две рассмотренные в отчете группы - Contagious Interview и Wagemole - идентифицированы как реализующие схему «найма ИТ-сотрудников».
Например, Contagious Interview выдает себя за рекрутеров известных компаний и заманивают разработчиков на фейковые собеседования, обманом при этом заставляя их загружать вредоносное ПО, которое способно красть широкий спектр данных, включая криптоактивы.
Хакеры из Wagemole, наоборот, стремятся получить должность в иностранных компаниях, а вместе с ней и доступ к системам жертвы для кражи активов компании. В некоторых случаях инсайдерам удавалось оставалось внедряться в организации на срок до года, прежде чем предпринимать активные действия.
Другой отмеченной группой является AppleJeus, которая, в первую очередь, сфокусирована на распространении вредоносного ПО, иммигрируя под легальное, в том числе трейдинговые приложения или криптоутилиты. APT заточена под атаки на цепочки поставок.
В свою очередь, Dangerous Password фокусируется на низкоуровневых атаках на основе социнженерии в криптоиндустрии. Эти хакеры все еще рассылают фишинговые письма, но также эволюционировали и задействуют теперь и другие платформы, прежде всего - Telegram.
TraderTraitor - последняя в представленном списке APT, которая описывается как «самая изощренная группа угроз, нацеленная на криптовалютную индустрию».
Хакеры в качестве основных целей таргетируются на криптобиржи и другие компании с крупными активами, используя в отношении своих жертв высокотехнологичные методы целевого фишинга.
Так, в случае взлома Axie Infinity TraderTraitor связался со старшим инженером через LinkedIn и успешно убедил его пройти серию интервью, прежде чем отправить «предложение» с вредоносным ПО под капотом.
Постарались описать общими словами, однако в статье представлено достаточно много разбора конкретных инцидентов со ссылками на детализированные отчеты.
Вообще, подобная сводная аналитика по APT встречается редко, так что настоятельно рекомендуем ознакомиться с материалом.
Ivanti вновь под ударом киберподполья, о чем чем предупреждает CISA, проливая свет на новую вредоносную программу под названием RESURGE, которая была развернута в рамках кампании, нацеленной на уже исправленную уязвимость в устройствах Ivanti Connect Secure (ICS).
RESURGE содержит функционал варианта SPAWNCHIMERA, включая сохранение после перезагрузки, однако также имеет и отличительные команды, которые изменяют его поведение, реализуя возможности руткита, дроппера, бэкдора, буткита, прокси и туннелера.
Проблема, связанная с развертыванием вредоносного ПО, отслеживается как CVE-2025-0282 и представляет собой RCE-уязвимость переполнения буфера в стеке, затрагивая Ivanti Connect Secure до версии 22.7R2.5, Ivanti Policy Secure до версии 22.7R1.2 и Ivanti Neurons for ZTA gateways до версии 22.7R2.3.
По данным Mandiant, CVE-2025-0282 была использована для нацеливание и доставки так называемой экосистемы вредоносного ПО SPAWN (SPAWNANT, SPAWNMOLE и SPAWNSNAIL).
Использование SPAWN приписывается группе кибершпионажа, связанной с Китаем и получившей название UNC5337.
В прошлом месяце JPCERT/CC фиксировал, что ошибка используется для распространения обновленной версии SPAWN, известной как SPAWNCHIMERA, которая объединяет все вышеупомянутые разрозненные модули в одну монолитную вредоносную ПО, а также включает изменения для более эффективного межпроцессного взаимодействия через доменные сокеты UNIX.
Новая версия содержала функцию исправления уязвимости CVE-2025-0282, которая затрудняет другим злоумышленникам использовать ее в собственных кампаниях.
Улучшения RESURGE (libdsupgrade.so), согласно CISA, связаны с поддержкой дополнительного функционала:
- злоупотребление ld.so.preload, настройка веб-оболочки, управление проверками целостности и изменение файлов;
- разрешения на использование веб-оболочек для сбора учетных данных, создания учетных записей, сброса паролей и повышения привилегий;
- копирование веб-оболочки на загрузочный диск Ivanti и управление запущенным образом coreboot.
Стоит отметить, что CVE-2025-0282 также использовалась в качестве 0-day и другой связанной с Китаем группой угроз, известной как Silk Typhoon (ранее Hafnium), о чем Microsoft сообщала ранее в этом месяце.
Последние результаты показывают, что операторы вредоносного ПО, активно совершенствуют свои технологии, поэтому организациям крайне важно обновлять экземпляры Ivanti до последней версии и следовать мерам смягчения последствий.
Но, как показывает практика, особого эффекта от этого клиенты Ivanti не испытывают, только лишь оттенки серого (или не всегда серого).
Microsoft рапортует об успешном опыте задействования своего инструмента Security Copilot на базе ИИ для обнаружения 20 ранее неизвестных уязвимостей в загрузчиках с открытым исходным кодом GRUB2, U-Boot и Barebox.
GRUB2 (GRand Unified Bootloader) является загрузчиком по умолчанию для большинства дистрибутивов Linux, включая Ubuntu, а U-Boot и Barebox обычно используются во встраиваемых устройствах и устройствах Интернета вещей.
11 проблем исследователи нашли в GRUB2, включая целочисленные переполнения (CVE-2025-0677 - 0678, 0684 - 0686, CVE-2025-1125), чтение за пределами выделенной памяти (CVE-2025-0689), запись за пределами допустимого диапазона (CVE-2025-0690) и переполнения буфера (CVE-2024-56737), недостатки команд (CVE-2025-1118) и атаку по побочному каналу (CVE-2024-56738).
Всем вышеперечисленным уязвимостям присвоен средний уровень серьезности, за исключением CVE-2025-0678, которой присвоен высокий с оценкой CVSS v3.1: 7,8.
Кроме того, в U-Boot и Barebox было найдено 9 переполнений буфера при анализе SquashFS, EXT4, CramFS, JFFS2 и символических ссылок, для эксплуатации которых требуется физический доступ.
Недавно обнаруженные уязвимости затрагивают устройства с UEFI Secure Boot и при соблюдении определенных условий злоумышленники могут обойти средства защиты и выполнить произвольный код на устройстве.
Несмотря на то, что эксплуатация уязвимостей U-boot или Barebox, скорее всего, потребует локального доступа к устройствам, предыдущие атаки с использованием буткитов, таких как BlackLotus, достигались посредством заражения вредоносным ПО.
При этом в случае GRUB2 уязвимости могут быть дополнительно использованы для обхода Secure Boot и установки скрытых буткитов или потенциального обхода других механизмов безопасности, таких как BitLocker.
По словам Microsoft, Security Copilot значительно ускорил процесс обнаружения уязвимостей в большой и сложной кодовой базе, такой как GRUB2, позволив сэкономить примерно 1 неделю, которая потребовалась бы для ручного анализа.
Инструмент на основе ИИ не только выявил ранее не задокументированные уязвимости, но и предоставил целевые рекомендации по смягчению последствий, которые могли бы служить ориентирами для выпуска исправлений, особенно в проектах с открытым исходным кодом.
Причем применение Security Copilot позволило также обнаружить схожие ошибки в проектах, использующих общий код с GRUB2, включая U-boot и Barebox.
GRUB2, U-boot и Barebox выпустили обновления безопасности для уязвимостей в феврале 2025 года, так что обновление до последних версий устраняет все перечисленные недостатки.
Хакеры злоупотребляют малоизвестной функцией WordPress под названием Must Use Plugins для установки и сокрытия вредоносного ПО от администраторов сайта, обеспечивая при этом постоянный удаленный доступ.
Функция Must Use Plugins, также известная как mu-plugins, была добавлена в WordPress CMS в 2022 году.
Плагины, помещенные в специальную папку с именем /mu-plugins, выполняются WordPress без необходимости их явного включения и одобрения через панель администратора.
Они не отображаются в обычном разделе «Плагины» бэкэнда WordPress, так чтобы пользователи не могли случайно отключить или удалить их. Это делает каталог идеальным местом для размещения вредоносного ПО.
По данным GoDaddy Sucuri, злоумышленники начали злоупотреблять Must Use Plugins по крайней мере с февраля этого года.
Теперь эта активность значительно прогрессировала.
Хакеры взламывают сайты WordPress и размещают вредоносное ПО в папку mu-plugins, зная, что оно будет автоматически запущено и не отобразится в бэкэндах сайта.
Более того, поскольку это относительно неизвестная функция, многие инструменты безопасности WordPress даже не сканируют папку на предмет возможных угроз.
Sucuri обнаружила, что злоумышленники задействуют mu-plugins для развертывания бэкдоров и веб-шеллов, размещения SEO-спама на взломанных сайтах, а также перенаправления трафика на вредоносные сайты, размещая различные варианты вредоносного PHP-кода:
- wp-content/mu-plugins/redirect.php
- wp-content/mu-plugins/index.php
- wp-content/mu-plugins/custom-js-loader.php
При этом redirect.ph» маскируется под обновление веб-браузера, чтобы обманом заставить жертв установить вредоносное ПО, которое может похищать данные или сбрасывать дополнительные полезные данные.
Широкий спектр злоупотреблений указывает на то, что этот кейс набирает популярность среди киберподполья, представители которого используют этот каталог в качестве устойчивого плацдарма для вредоносной активности.
Владельцам сайтов рекомендуется мониторить содержимое папки, и если плагины Must Use не используются - удалить их, убедившись в безвозвратности этого действия.
📖Solar Dozor: 80% увольняющихся сотрудников пытаются забрать конфиденциальную информацию из компании
Эксперты ГК «Солар» проанализировали 230 инцидентов ИБ, выявленных при пилотировании DLP-системы Solar Dozor в организациях промышленного, финансового, фармацевтического, IT-, госсектора и других отраслей экономики за 2024 год. Анализ показал, что 🤦♂️ 8 из 10 увольняющихся сотрудников стараются забрать оттуда доступные им информационные активы, в т.ч. и конфиденциальную информацию.
Согласно данным экспертов «Солара», в 38% случаев увольняющиеся сотрудники пытаются 💽скачать базы, содержащие данные клиентов или партнеров.
🎩🎩🎩
✋ @Russian_OSINT
И восстали машины из пепла и ядерного огня...
Если чо - мы на Марс!
Тем временем в киберподполье вымогателей все динамично развивается.
1. Исследователи Resecurity делятся подробностями разборок банд, в ходе которых DragonForce взломала и полностью выпилила инфраструктуру одного из своих конкурентов - BlackLock.
Хакеры слили файлы конфигурации сервера для бэкэнда и сайта DLS BlackLock, которая по итогу не смогла восстановиться и вынуждена была ретироваться.
Группа была одной из самых активных операций по вымогательству на сегодняшний день, имея на счету десятки жертв за последние месяцы атак.
Причем помимо DragonForce в инфраструктуре банды побывали также исследователи Resecurity, которым удалось получить доступ к ее бэкэнду с возможностью ретроспективы.
При этом помимо BlackLock банда вымогателей DragonForce в этом же месяце устранила и другого конкурента - Mamona.
2. Bitdefender сообщает о новой разработке RedCurl. В арсенале группы кибершпионов теперь собственная разновидность программы-вымогателя.
Получившая название QWCrypt способна атаковать системы Windows и виртуальные машины Hyper-V.
Это достаточно значимое изменение в деятельности группы, ведь действуя с 2018 года, RedCurl обычно специализировалась на медленной и скрытой эксфильтрации данных.
3. CheckPoint расчехлила новую RaaS под названием VanHelsing, которая предлагает своим операторам до 80% от выкупных платежей.
Ее вредоносное ПО для шифрования файлов нацелено на Windows, но исследователи предполагают, что Linux и другие типы систем также могут быть объектом атак.
На момент проведения анализа CheckPoint известно о трех жертвах, от одной из которых хакеры потребовали выкуп в размере 500 000 долларов за расшифровку файлов и удаление украденных данных.
4. ESET выкатила отчет в отношении EDRKillShifter - инструмент, используемый RansomHub и другими бандами вымогателей для отключения продуктов EDR перед развертыванием их вредоносных ПО.
Кроме того, исследователи приводят ранее недокументированные сведения в отношении структуры операторов RansomHub, раскрывая четкие связи между этим недавно появившимся гигантом и устоявшимися бандами Play, Medusa и BianLian.
Splunk выпустила исправления для нескольких десятков уязвимостей в своих продуктах, включая две критически важные, связанные с удаленным выполнением кода и раскрытием информации в Splunk Enterprise и Secure Gateway App.
RCE-ошибка могла бать использована пользователями с низкими привилегиями, загрузив файл в каталог $SPLUNK_HOME/var/run/splunk/apptemp.
Уязвимость отслеживается как CVE-2025-20229 (CVSS 8,0) и вызвана отсутствием проверки авторизации.
Она устранена с выпуском версий Splunk Enterprise 9.4.0, 9.3.3, 9.2.5 и 9.1.8, а также Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 и 9.1.2312.208.
Также была закрыта серьезная проблема раскрытия информации, затрагивающая как Splunk Enterprise, так и приложение Splunk Secure Gateway на платформе Splunk Cloud Platform, которую также могли реализовать пользователи с низкими привилегиями.
Splunk Secure Gateway раскрывает сеанс пользователя и токены авторизации в открытом виде в файле splunk_secure_gateway.log при вызове конечной точки REST /services/ssg/secrets.
По данным Splunk, злоумышленник может использовать эту уязвимость как часть фишинговой атаки, убеждая жертву инициировать запрос в своем браузере.
Исправления для нее были включены в Splunk Enterprise версий 9.4.1, 9.3.3, 9.2.5 и 9.1.8, а также в Secure Gateway 3.8.38 и 3.7.23.
При этом Splunk Mobile, Spacebridge и Mission Control полагаются на функционал приложения Splunk Secure Gateway. Так что если не используется ни одно из приложений, функций или возможностей, в качестве потенциального смягчения можно удалить или отключить приложение.
Splunk также объявила об исправлении ряда ошибок средней степени серьезности в Splunk Enterprise, которые могут привести к изменению режима обслуживания, обходу мер безопасности, раскрытию информации и манипулированию другими пользовательскими данными.
Кроме того, устранены проблемы низкой степени серьезности в приложении Splunk App for Lookup Editing и множество уязвимостей в сторонних пакетах в Splunk Enterprise, App for Data Science and Deep Learning App, DB Connect, Infrastructure Monitoring Add-on и Splunk Add-on for Microsoft Cloud Services.
Splunk не упоминает об эксплуатации какой-либо из этих уязвимостей в реальных условиях, однако рекомендует пользователям как можно скорее обновить свои экземпляры Splunk Enterprise и другие уязвимые приложения Splunk.
👩💻 Awesome PowerShell.
• Что из себя представляет PowerShell вы уже знаете, поэтому сегодня мы пополним нашу коллекцию ресурсов для изучения еще одним полезным ресурсом. В этой подборке вы сможете найти весь необходимый материал для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д. Добавляйте в избранное и изучайте:
➡API Wrapper;
➡Blogs;
➡Books;
➡Build Tools;
➡Code and Package Repositories;
➡Commandline Productivity;
➡Communities;
➡Data;
➡Documentation Helper;
➡Editors and IDEs;
➡Frameworks;
➡Interactive Learning;
➡Logging;
➡Module Development Templates;
➡Package Managers;
➡Parallel Processing;
➡Podcasts;
➡Security;
➡SharePoint;
➡SQL Server;
➡Testing;
➡Themes;
➡UI;
➡Videos;
➡Webserver;
➡Misc.
• Не забывайте про дополнительный материал, который опубликован в нашем канале:
➡История создания PowerShell;
➡Изучаем Powershell;
➡Powershell для пентестера;
➡О`б’фу’ска””ция PowerShell;
➡Powershell для Blue Team;
➡Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell;
➡Полезные заметки о командах PowerShell;
➡Мини-курс: Windows PowerShell 5 [70+ уроков];
➡Книга: PowerShell Security. (RU).
S.E. ▪️ infosec.work ▪️ VT
Oracle все же продырявили, конечно, в самой компании данный факт признавать отказываются до последнего.
Слухи о взломе Oracle Cloud стали барражировать инфосек-кулуары после появления соответствующих публикаций в даркнете совместно с образцами украденных данных и другими пруфами.
Утечку анонсировал хакер с псевдонимом rose87168, который выставил на продажу внушительный массив данных, включая шесть миллионов строк данных с паролями SSO и LDAP.
В ответ на это Oracle стала категорически отрицать потенциальный инцидент, заявляя, что опубликованные учетные данные не имеют отношения к Oracle Cloud и ни один из клиентов не столкнулся со взломом или утратой каких-либо данных.
Однако, похоже, стало появляться все больше доказательств обратного. Особенно после того, как на севере login.us2[.]oraclecloud[.]com обнаружился файл, где находился адрес электронной почты злоумышленника, который по всей видимости мог создавать файлы на сервере Oraclе.
В Hudson Rock получили подтверждение от нескольких клиентов, использующих Oracle Cloud, что утекшие данные являются подлинными и связаны с производственной средой.
Некоторые из клиентов сообщают, что раскрытые креды открывают доступ к конфиденциальным данным.
CloudSEK также проанализировала образцы данных и всю сопуствующую информацию, предоставленную хакером, по результатам чего также обнаружила доказательства компрометации систем Oracle Cloud и реальных данных пользователей.
При этом объем и структура утечки информации чрезвычайно затрудняют ее фальсификацию, что однозначно указывает на ее достоверность.
Компания разработала и представила онлайн-инструмент, который позволяет потенциальным жертвам проверить, затронуты ли их данные этой утечкой.
В свою очередь, Kela также провела собственное исследование и обнаружила 1547 уникальных доменных имен (в основном относящихся к частным фирмам) и 1510 различных идентификаторов арендаторов.
Вообще упоминаемый в утечке перечень включает 140 621 домен.
Исследователи выявили жертв в 90 странах, с наибольшим процентом - в Великобритании, США, Италии, Франции и Германии.
Kela также идентифицировала домены, связанные с государственными структурами в США, Великобритании, Италии, Швеции, Норвегии, Дании, Финляндии, Португалии, Бельгии, Австрии и Бразилии.
Кроме того, замечены признаки того, что атака на системы Oracle Cloud может быть результатом эксплуатации уязвимости в собственных продуктах Oracle.
Одной из вероятных проблем является CVE-2021-35587, непосредственно влияющая на Oracle Fusion Middleware. По данным Cloudsek, на момент февраля 2025 года на указанном сервере действительно работал устаревший эксземпляр.
Oracle пока никак не комментирует ситуацию.
Исследователи Trend Micro расчехлили новую связанную с Китаем группу угроз под названием Earth Alux, которая нацелена на различные ключевые сектора, включая госуправление, технологии, логистику, производство, телекоммуникации, ИТ и ритейл в Азиатско-Тихоокеанском регионе и Латинской Америке.
Впервые активность была замечена во втором квартале 2023 года в Азии, а примерно с середины 2024 года Earth Alux также была замечена в Латинской Америке. Основной фокус на таких странах, как Таиланд, Филиппины, Малайзия, Тайвань и Бразилия.
Цепочки заражения начинаются с эксплуатации уязвимых сервисов в веб-приложениях, доступных через Интернет, с их помощью внедряется оболочка Godzilla для облегчения развертывания дополнительных полезных нагрузок, в том числе бэкдоров VARGEIT и COBEACON (Cobalt Strike Beacon).
VARGEIT реализует возможность загрузки инструментов непосредственно со своего сервера С2 в недавно созданный процесс Microsoft Paint (mspaint.exe) для проведения разведки, сбора и эксфильтрации.
VARGEIT также является основным методом, с помощью которого Earth Alux управляет дополнительными инструментами под различные задачи и боковое перемещение.
При этом он используется как бэкдор первой, второй или более поздней стадии, а COBEACON - как бэкдор первой стадии. Последний запускается с помощью загрузчика MASQLOADER или через RSBINJECT, загрузчик командной строки на основе Rust.
В последних версиях MASQLOADER была отмечена реализация техники перехвата API, позволяющая вредоносному ПО и встроенной в него полезной нагрузке оставаться незамеченными.
Выполнение VARGEIT приводит к развертыванию большего количества инструментов, включая компонент загрузчика RAILLOAD, который выполняется с использованием техники, известной как сторонняя загрузка DLL, и используется для запуска зашифрованной полезной нагрузки в другой папке.
Вторая полезная нагрузка - RAILSETTER, который изменяет временные метки, связанные с артефактами RAILLOAD на скомпрометированном хосте, а также создает запланированную задачу для запуска RAILLOAD.
Как отмечают исследователи, MASQLOADER используется и другими группами, помимо Earth Alux. Кроме того, разница в структуре кода MASQLOADER по сравнению с RAILSETTER и RAILLOAD предполагает, что его разработка ведется отдельно от этих инструментов.
Наиболее отличительной особенностью VARGEIT является его способность поддерживать 10 различных каналов для связи с C2 по протоколам HTTP, TCP, UDP, ICMP, DNS и Microsoft Outlook, последний из которых использует API Graph для обмена командами в заранее определенном формате с использованием папки черновиков почтового ящика, управляемого злоумышленником.
В частности, сообщение от сервера C2 начинается с r_, а сообщения от бэкдора — с p_. Среди его широкого спектра функций - обширный сбор данных и выполнение команд, что делает его мощным вредоносным ПО в арсенале злоумышленников.
Earth Alux осуществляет несколько тестов с RAILLOAD и RAILSETTER, включая обнаружения и попытки найти новые хосты для боковой загрузки DLL.
Задействуют ZeroEye, инструмент с открытым исходным кодом для сканирования таблиц импорта EXE-файлов на предмет импортированных DLL, которые могут быть использованы для боковой загрузки.
Также хакерская группа использует VirTest - еще один инструмент тестирования, широко используемый китайскоязычным сообществом.
Earth Alux представляет собой сложную и развивающуюся APT-угрозу, использующую разнообразный инструментарий и передовые методы для нацеливание на ключевые сектора в Азиатско-Тихоокеанском регионе и Латинской Америке, постоянно совершенствуя свои возможности.
🗞 Paged Out #6.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, вчера был опубликован 6-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
Исследователи из F6 предупреждают о новых атаках на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate, которые они относят к числу самых опасных киберугроз на этот год.
Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт.
По данным телеметрии F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.
Для передачи преступникам контроля над смартфоном достаточно неосторожно установить приложение, замаскированное под безобидную на первый взгляд программу.
Через мессенджеры WhatsApp и Telegram злоумышленники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения.
Специалисты в ходе исследования обнаружили более 140 уникальных образцов CraxsRAT.
Так злоумышленники получают полный доступ к банковским приложениям, возможность перехватывать уведомления и коды, обналичивать похищенные деньги.
Основной вектор распространения CraxsRAT - классическая социнженерия, но уже без телефонного разговора.
В начале 2025 года для доставки NFCGate на устройства пользователей злоумышленники предпочитали использовать телефонные звонки и сообщения в мессенджерах.
Сейчас злоумышленники всё чаще выбирают троян CraxsRAT для доставки NFCGate на устройства пользователей.
CraxsRAT – это многофункциональный Android-троян, изначально созданный на исходных кодах вредоносного ПО SpyNote.
Проникает на мобильные устройства под видом легитимных приложений и обновлений.
После установки предоставляет злоумышленникам возможность удалённого управления, включая выполнение различных действий без ведома пользователя.
В феврале 2025-го число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрем 2024-го, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 тыс.
В свою очередь, NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО.
При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести пин-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета в банкомате.
Как отмечают исследователи, сумма ущерба от атак с использованием NFCGate за первые два месяца 2025-го - 200 млн рублей.
Число скомпрометированных Android-устройств с вредоносными версиями NFCGate по итогам февраля превысило 158 тыс. и продолжает расти.
Рекомендации для пользователей и подразделений ИБ в банковских структурах - в отчете.
GreyNoise предупреждает о скоординированной кампании, нацеленной на поиск потенциально уязвимых экземпляров Palo Alto Networks GlobalProtect, вероятно, в целях подготовки к целенаправленной эксплуатации.
За последний месяц зафиксировано более 24 000 попыток доступа к порталам GlobalProtect с уникальных IP-адресов, что свидетельствует о скоординированных усилиях со стороны киберподполья.
Начиная с 17 марта активность значительно возросла: ежедневно детектировалось около 20 000 уникальных IP-адресов, выполняющих сканирование входов в систему с помощью GlobalProtect, и оставалась высокой до 26 марта.
GreyNoise поясняет, что около 23 000 IP-адресов, задействованных в этой деятельности, классифицируются как подозрительные, а небольшая подгруппа из 150 IP-адресов считается вредоносной.
По данным компании, скоординированные усилия, вероятно, направлены на проверку сетевой защиты перед запланированными попытками эксплуатации уязвимостей.
За последние 18–24 месяца исследователи наблюдали последовательную закономерность преднамеренного использования старых уязвимостей или давно известных схем атак и разведки в отношении определенных решений.
Причем часто это совпадают с новыми уязвимостями, появляющимися через 2–4 недели.
Большинство атак исходят из США, где базируются более 16 000 выявленных IP-адресов. Канада на втором месте с более чем 5 800 IP-адресами.
Сканирование в основном нацелено на США, небольшой процент сканирований нацелен на Великобританию, Ирландию, Россию и Сингапур.
GreyNoise также отмечает, что более 20 000 выявленных IP-адресов связаны с 3xK Tech GmbH под ASN200373. Другие связаны с Fast Servers Pty Ltd., Oy Crea Nova Hosting Solution Ltd и PureVoltage Hosting Inc.
Помимо порталов GlobalProtect, сканирования также затронули и другие устройства, работающие под управлением PAN-OS, включая Crawler.
По мнению ресерчеров, наблюдаемые попытки имеют сходство с активностью в отношении Cisco в апреле прошлого года, когда было замечено, что злоумышленники нацелились на устройства Cisco, серверы Microsoft Exchange и периферийные устройства других поставщиков.
Учитывая необычный характер детектируемых сканирований, организациям, чьи системы Palo Alto Networks подверглись атаке, следует просмотреть журналы за март для детального поиска угроз в работающих системах и выявления любых признаков компрометации.
Западные инфосек-журналисты рассматривают очередной отчет Recorded Future
Читать полностью…
Исследователи Solar сообщают об обнаружении нового вредоносного ПО в арсенале проукраинской группы кибершпионажа Shedding Zmiy, включающей бывших участников группировки Cobalt.
В ноябре 2024 года к Соларам обратилась ИТ-компания для оказания помощи в расследовании инцидента, поводом к которому стали задетектированные обращения к С2, относящимся к Shedding Zmiy.
Причем, как оказалось, злоумышленники находились в инфраструктуре более полутора лет и намеревались там оставаться еще долго.
В результате анализа Linux-систем исследователям удалось обнаружить как известное вредоносное ПО, характерное для группировки, так и новые образцы руткита Puma, который в декабре заметила Elastic Security Labs.
На некоторых системах злоумышленники даже обновляли руткит Puma, и если Elastic никак не атрибутировала руткит, то Солары уверены в принадлежности нового инструмента к Shedding Zmiy, который задействовал его совместно с другими их характерными инструментами.
Новое вредоносное ПО включало четыре новых руткита Linux (Puma, Pumatsune, Kitsune и Megatsune) и бэкдор Bulldog.
При проведении расследования удивление вызвало неожиданно большое количество и разнообразие вредоносных образцов, что позволило проследить эволюцию руткита и его принадлежность к Shedding Zmiy.
В совокупности найденные артефакты указывали на то, что жертва как будто использовалась в качестве полигона для их обкатки.
Всего нашлось: 10 руткитов Puma различных версий, 15 образцов Bulldog Backdoor (GoRed), и Megatsune (Kitsune руткит, в котором переменная среды называлась MEGATSUNE, а не KITSUNE) с ранее известными C2.
Puma – это комплексный Linux-руткит уровня ядра на вооружении Shedding Zmiy. В его состав входят: загрузчик, сам руткит и userspace-руткит Pumatsune (обновленная версия ранее известного руткита Kitsune).
Для закрепления Puma используется загрузчик, которым заменяют легитимный файл cron. Он в ходе выполнения запускает легитимный cron в памяти для максимальной скрытности.
Техника подмены легитимных файлов – одна из любимых у группировки Shedding Zmiy. Вторая – подмена отображаемого имени процесса (argv0).
Puma получает команды через хук команды rmdir и может скрывать процессы, файлы и сетевые соединения, повышать привилегии, воровать аутентификационные данные и криптографические ключи.
Руткит использует уникальный бесфайловый механизм запуска компонента Pumatsune, основная задача которого – взаимодействие с C2, выполнение команд и эксфильтрация чувствительных данных.
Помимо руткитов Megatsune, Puma и Pumatsune, группировка также развернула на исследованных системах свой привычный набор инструментов: gsocket и Bulldog Backdoor.
Shedding Zmiy действуют по-разному в зависимости от данных о жертве, полученных в ходе первичной разведки.
В исследованном инциденте атакующие практиковали кибершпионаж.
Однако в случаях, когда цель не представляет интереса, они могут изменить вектор атаки в сторону шифрования или даже уничтожения инфраструктуры жертвы, что обеспечивается функциональностью указанных руткитов.
Таким образом, Shedding Zmiy продолжает оставаться серьезной угрозой для российских компаний, активно развивая существующие инструменты (Bulldog Backdoor, userland руткит Megatsune), а также пополняя свой арсенал новыми - руткитом Puma в связке с userland руткитом Pumatsune.
Израильская Check Point отчасти подтвердила инцидент после того, как в даркнете появились сообщения о краже ценных данных из систем компании.
На выходных хакер с псевдонимом CoreInjection объявил на BreachForums о продаже информации, предположительно, принадлежащей Check Point, по цене в 5 биткоинов (примерно 430 000 долларов США).
Злоумышленник заявил о краже широкого спектра данных, включая проектную документацию, учетные данные, схемы сетевой архитектуры, исходный код, двоичные файлы и контактные данные сотрудников.
Для подтверждения в качестве пруфов прилагается ряд скринов, демонстрирующих доступ к системам Check Point.
По мнению одного из соучредителей Hudson Rock, представленные общественности скриншоты выглядят подлинными, особенно с учетом того, что на счету хакера уже есть кейсы с реальными утечками.
Начиная с середины марта, CoreInjection реализует данные, якобы украденные у пяти компаний, большинство из которых базируются в Израиле.
Диапазон запрашиваемого прайса на остальные четыре листинга варьируются от $30 000 до $100 000.
В свою очередь, Check Point отреагировала на заявления хакера, утверждая об отсутствии новой утечки и указывая на значительное преувеличение важности украденных данных.
По данным Check Point, утечка относится к инциденту, произошедшему в декабре 2024 года после того, как были скомпрометированы креды одной учетной записи с портала, которая имела ограниченный доступ, а вторжение было немедленно нейтрализовано.
Причем скомпрометированная среда не включала в себя системы клиентов, прод или архитектуру безопасности, и в целом явно не соответствует описанию хакера.
Компания пояснила, что в результате инцидента было раскрыто несколько учетных записей с названиями продуктов, список адресов электронной почты сотрудников и три учетные записи клиентов с именами контактных лиц.
Вторжение было оперативно и тщательно расследовано, все слитые данные обновлены, а также достоверно установлено, что клиентская информация риску утечки не подверглась, а по части безопасности все угрозы курированы.
Но будем посмотреть.
Исследователи из Лаборатории Касперского задетектили новую волну целевых атак группы кибершпионажа Head Mare на российские инжиниринговые компании с использованием нового бэкдора на основе Python под названием PhantomPyramid.
Согласно телеметрии ЛК, в марте 2025 года более 800 сотрудников более чем сотен организаций стали адресатами рассылки, которая содержала ранее неизвестный вредонос.
Среди целей злоумышленников оказались в том числе приборостроительная и машиностроительная отрасли.
Цепочка заражения включала однотипные письма от некоего секретариата с вложением «Заявка_[REDACTED]_5_03Д.zip». В них отправители просят адресата подтвердить получение информации и ознакомиться с прикреплённой заархивированной заявкой.
После открытия пользователем вложения, отображался документ-приманка с запросом на ремонт оборудования якобы от одного из министерств.
Как и во многих других целевых рассылках, вложение в письме содержит вредоносный файл, но в этой рассылке есть своя особенность.
Злоумышленники отправляют запароленный архив, чтобы избежать его автоматического сканирования. На первый взгляд, так поступили и в новой кампании.
Однако авторы рассылки задействовали технику polyglot, позволяющую атакующим создавать файлы, которые могут одновременно содержать и безобидные компоненты, и вредоносный код, в том числе на нескольких языках программирования.
Один и тот же polyglot-файл может быть распознан системой как изображение, документ или исполняемый файл - в зависимости от контекста, в котором он открывается.
Исполняемая часть polyglot-файла представляет собой ранее неизвестный бэкдор PhantomPyramid, написанный на Python версии 3.8 и скомпилированный с использованием PyInstaller.
Одним из загружаемых компонентов является ПО MeshAgent для удалённого управления устройствами с открытым исходным кодом, входящий в решение MeshCentral.
Это легитимное ПО, которое теперь используют не только официальные организации, но и злоумышленники. Например, ранее оно замечено в деятельности группы Awaken Likho.
Новую волну целевых атак на объекты промышленности с высокой степенью уверенности исследователи ЛК атрибутировали к Head Mare.
Злоумышленник постоянно обновляет приёмы и вредоносные ПО в своих схемах, на этот раз группа использовала технику polyglot, которая раньше не встречалась в её арсенале, а также новый Python-бэкдор.
Индикаторы компрометации - в отчете.
Журналисты Bloomberg сообщают об инциденте в Oracle Health, связанном с кражей медицинских данных с серверов компании, который последовал сразу вслед за предполагаемой компрометацией Oracle Cloud с кражей данных аутентификации LDAP для 6 миллионов человек.
Новый обнаруженный взлом произошел в конце января, и теперь хакер под именем Эндрю вымогает у американских поставщиков медицинских услуг выкуп в миллионы долларов в криптовалюте за за предотвращение дальнейшей утечки.
Oracle Health пока публично не раскрывала информацию об инциденте, но в частных сообщениях пострадавшим клиентам и в разговорах с вовлеченными источниками подтвердила, что в результате атаки были украдены данные пациентов.
Oracle Health, ранее известная как Cerner, реализует SaaS в сфере здравоохранения, предлагая электронные медицинские записи (EHR) и BOS -системы для больниц и медорганизаций.
После приобретения Oracle в 2022 году Cerner была объединена с Oracle Health, а ее системы были интегрированы в Oracle Cloud.
В уведомлении для пострадавших клиентов Oracle Health сообщает, что 20 февраля 2025 года ей стало известно о неправомерном доступе к данным Cerner, которые находились на устаревшем сервере, еще не перенесенном в Oracle Cloud.
Злоумышленник использовал скомпрометированные клиентские креды для взлома серверов приблизительно после 22 января 2025 года и скопировал данные на удаленный сервер.
Слитые данные при этом «могли» включать информацию о пациентах из электронных медицинских карт.
Сама Oracle Health уведомила больницы о том, что не намерена информировать пациентов напрямую, перекладывая это бремя на администрации медучреждений, которым следует самостоятельно определять, нарушены ли требования HIPAA и стоит ли сообщать клиентам.
Пока что неизвестно, использовалась ли в ходе атаки программа-вымогатель или это была лишь кража данных, ведь подробности об атаке не разглашаются.
Вообще непонятно, как учетные данные клиента могли позволить украсть данные из нескольких организаций.
Более всего удивляет то, что Oracle так не сообщила ни об одной из утечек в SEC до настоящего времени.
После раскрытия Лабораторией Касперского Операции ForumTroll и последовавшим исправлением Google 0-day в браузере Chrome, компания Mozilla также выпустила исправление для уязвимости, заметив схожие закономерности в коде своего браузера для Windows.
Однако помимо исправлений кода компании также приходится трудиться над улучшениями по части бюджета.
В частности, как сообщает Consumer Affairs, Mozilla обратилась к пользователям с просьбой пожертвовать на разработку браузера Firefox после того, как утратила финансирование в размере 2,5 млн. долл. правительства США по линии USAID.
И дело даже не том, что 2,5 млн. в общем многомиллионном бюджете компании (653 млн. долл. дохода в 2023 году) - это как капля в море, больше вопросов вызывает вездесущее участие американских спецслужб в деятельности технологических компаний, особенно тех, которые концептуализируются под конфиденциальность и приватность.
Возвращаясь к уязвимостям, отметим наиболее трендовые:
1. Исследователи Forescout обнаружили 46 уязвимостей у трех популярных поставщиков солнечных инверторов, включая те, которые могут представлять серьезную угрозу для электрических сетей.
Все они названы SUN:DOWN и могут использоваться для захвата устройств или их облачной платформы.
Среди затронутых поставщиков - Growatt, SMA и Sungrown.
SMA и Sungrow исправили все уязвимости и опубликовали рекомендации для уведомления клиентов. Growatt устранила несколько выявленных уязвимостей, однако большинство из них по состоянию на конец февраля оставались неисправленными.
2. Разработки Esri выпустили исправление для уязвимости аутентификации в своей платформе ArcGIS.
CVE-2025-2538 позволяет осуществлять несанкционированный доступ к платформе и имеет рейтинг серьезности 9,8/10.
Платформа ArcGIS - это географическая информационная система для управления и визуализации топографических данных, которая широко используется, прежде всего в госсекторе. В настоящее время в Интернете размещено более 1100 систем ArcGIS.
3. Недавно пользователи были предупреждены о критической уязвимости в корпоративном инструменте передачи файлов CrushFTP, который, как известно, находится в сфере пристального внимания со стороны киберпреступников.
Разработчики CrushFTP заявили, что эксплуатация может привести к неаутентифицированному доступу, но уязвимость смягчается, если включена функция DMZ.
CrushFTP 11.3.1+ и 10.8.4+ содержат исправления проблемы.
Заметив, что разработчики CrushFTP тупят и не назначают CVE, VulnCheck решила взять на себя ответственность и присвоила ей CVE-2025-2825.
Но гендир CrushFTP поступок не оценил и пригрозил исследователям санкциями, если они добровольно не откатят идентификатор.
4. Согласно новому исследованию Sonatype, за последние 90 дней пользователи загружали уязвимые версии Apache Tomcat в три раза чаще, чем исправленные актуальные.
5. PoC для уязвимости облака IngressNightmare теперь доступен для широкой общественности. Всем приготовиться.
KELA профилировала и раскрыла реальные личности Rey и Pryx, ключевых участников хакерского коллектива Hellcat.
Первоначально известная как ICA Group, Hellcat появилась на сцене киберпреступности в конце 2024 года и смогла быстро заработать репутацию.
Громкий фурор произвели резонансные кибератаки на такие крупные корпорации, как Schneider Electric, Telefónica и Orange Romania.
В основу расследование KELA легли найденные материалы в отношении сетевой активности ключевых организаторов Hellcat на различных даркнет-площадках, в соцсетях и онлайн-платформах, аналитика по которым позволила деанонимировать их с потрохами.
Rey, ранее известный как Hikki-Chan, засветился на BreachForums в начале 2024 года, быстро привлекая внимание заявлениями о громких утечках и инцидентах. Некоторые из которых, VK и Kavim, - оказались по факту перепаковкой старых.
Несмотря на это, Rey продолжил активно заниматься киберпреступностью и стал админом группы Hellcat, специализируясь в своих операциях, прежде всего, на Jira.
Позже в ноябре 2024 года зарегался на XSS, но особо там не активничал.
Занялся хакерством в 2020 и фокусировался на взломе веб-сайтов. Называет себя экспертом по криптографии, профессиональным и прагматичным киберпреступником.
Тем не менее, это не помогло Rey избежать двух заражений инфостилером в феврале (Redline) и марте 2024 года (Vidar).
Причем одно из них - произошло на компьютере, который использовался членом его семьи.
Дальнейший анализ логов стилера позволил отследить его до личности молодого человека из Аммана в Иордании, вскрыть псевдонимы ggyaf и o5tdev, которые использовались им на хакерских форумах, включая RaidForums, BreachForums и др., а также аккаунты на GitHub, ProtonMail и cock il.
По итогу все о чем, он упоминал в анонимных интервью, в том числе относительно участия в Anonymous Palestine и связях с Иорданией, по итогу совпало и позволило его точно идентифицировать.
Его напарник Pryx действует с июня 2024 года на нескольких платформах, включая XSS, BreachForums, Dread, Telegram и X, активно участвует в технических дискуссиях и конкурсах.
До прихода в Hellcat начинал с индивидуальных атак на образовательные учреждения, а затем переориентировался на госсектор ОАЭ, Саудовской Аравии и Барбадосе.
Позже он расширил свою деятельность, нацелившись на частные компании и продавая вредоносное ПО, включая криптор на AES256. Вел личный блог (pryx.pw, ранее pryx.cc).
Сам говорит по-арабски и начинал в 2018 с кардинга. Активно продвигал ныне несуществующий форум киберпреступности DangerZone.
Разработал уникальную утилиту для эксфильтрации данных на основе Tor.
Правда, технический анализ одного из исходных кодов вредоносного ПО позволил выявить связи Pryx с доменом pato.pw, на котором была представлена одноименная платформа для исследователей безопасности, где были обнаружены упоминания руководства к Silent Tor File-server, соответствующего по описанию и скринам утилите Pryx.
Причем контент появился на pato.pw за две недели до того, как Pryx поделился им на форуме XSS.
Дальнейшее расследование привело к репозиторию на GitHub, связанному с pato.pw, который по итогу привел KELA к личности молодого человека из ОАЭ, который позиционирует себя в качестве эксперта по кибербезопасности.
Дальнейший анализ логов со стилеров также позволил отождествить все псевдонимы Pryx в X и Telegram, включая Weed/WeedSec (который тесно дружил с админом упомянутого DangerZone) и Adem.
По иронии судьбы, оба хакера, которые в своих киберкампаниях в значительной степени полагались на логи инфостилеров, сами стали жертвами этого вредоносного ПО, а теперь еще и объектами разработки спецслужб.
Исследователи из Лаборатории Касперского выкатили еще один отчет, на этот раз по финансовым киберугрозам в 2024 году.
Поскольку все больше финансовых транзакций проводятся в цифровой форме, угрозы в этой сфере составляют большую часть глобального ландшафта киберугроз.
Поэтому исследователи ЛК изучают тенденции, связанные с ними, в рамках ежегодной аналитики по корпоративномцух и потребительскому секторам финансов.
В отчете содержатся основные тренды и статистика по финансовому фишингу, вредоносному ПО для мобильных и ПК-банков, а также предлагаются действенные рекомендации по усилению мер безопасности и эффективному смягчению возникающих угроз.
Основной акцент финансовых киберугроза в 2024 году сосредоточен на банковских троянах и фишинговых страницах, нацеленных на онлайн-банкинг, счета покупок, криптокошельки и другие финансовые активы.
Основные тренды:
- Самой популярной приманкой в 2024 году были банки, на долю которых пришлось 42,58% попыток финансового фишинга.
- В 2024 году 33,19% всех фишинговых и мошеннических страниц, нацеленных на пользователей интернет-магазинов, имитировали сайт Amazon Online Shopping.
- В 2024 году количество фишинговых атак с использованием криптовалюты выросло на 83,37% по сравнению с предыдущим годом и составило 10,7 миллиона случаев по сравнению с 5,84 миллиона в 2023 году.
- Число пользователей ПК, пострадавших от финансового вредоносного ПО, сократилось с 312 000 в 2023 году до 199 000 в 2024 году.
- Наиболее распространенными семействами вредоносных программ были ClipBanker, Grandoreiro и CliptoShuffler, которые в общей сложности атаковали более 89% пострадавших пользователей.
- Потребители по-прежнему остаются основной целью финансовых киберугроз, на их долю приходится 73,69% атак.
- В 2024 году с вредоносным ПО для мобильного банкинга столкнулись почти 248 000 пользователей — это почти в 3,6 раза больше, чем в 2023 году, когда пострадали 69 000 пользователей.
- Mamont оказался самым активным семейством вредоносных программ для Android, на долю которого пришлось 36,7% всех атак мобильных банкеров.
- Наиболее целевыми оказались пользователи в Турции.
Исследователи SentinelOne сообщают о новых версиях вредоносного ПО для macOS под названием ReaderUpdate, разработанных с использованием языков программирования Crystal, Nim, Rust и Go.
Первоначально обнаруженная в 2020 году вредоносная ПО распространялась в виде скомпилированного двоичного файла Python и взаимодействовала с сервером С2 по адресу www[.]entryway[.]world.
Тогда ReaderUpdate задействовалась для развертывания полезной нагрузки, идентифицированной как рекламное ПО Genieo (также известное как Dolittle и MaxOfferDeal).
С середины 2024 года новые домены были связаны с вариантами ReaderUpdate Crystal, Nim и Rust, но полезная нагрузка при этом не изменилась, как утверждает SentinelOne.
Недавно выявленный вариант на Go также следует этой схеме.
ReaderUpdate в настоящее время распространяется в пяти вариантах, скомпилированных из пяти различных исходных языков, включая оригинальную версию на Python.
Причем исследователи наблюдали распространение новых вариантов через существующие заражения старого ReaderUpdate.
Вредоносное ПО продвигается через сторонние сайты для загрузки ПО, прежде всего через вредоносные установщики пакетов с фейковыми или троянизированными приложениями.
Все наблюдаемые варианты нацелены только на архитектуру Intel x86.
Анализ версии ReaderUpdate для Go показал, что после запуска программа сначала собирает информацию об оборудовании системы, которая затем используется для создания уникального идентификатора и отправляется на С2.
Кроме того, выяснилось, что ReaderUpdate может анализировать и следовать ответам, полученным от С2, что позволяет предположить, что ее можно использовать для выполнения любых команд оператора.
На сегодняшний день SentinelOne смогла выявить девять образцов ReaderUpdate на Go, которые охватывают семь доменов C2, что указывает на незначительную распространенность этой угрозы по сравнению с вариантами Nim, Crystal и Rust, имеющими сотни образцов в дикой природе.
Несмотря на то, что текущие известные заражения ReaderUpdate были связаны исключительно с известным рекламным ПО, тем не менее загрузчик имеет функционал, позволяющий модифицировать полезную нагрузку на что-то более вредоносное.
Это полностью согласуется с платформой загрузчика, которая может использоваться для реализации Pay-Per-Install (PPI) или Malware-as-a-Service (MaaS).
Индикаторы компрометации - в отчете.
Исследователи ACROS Security представили неофициальные исправления для новой 0-day в Windows, которая позволяет удаленным злоумышленникам красть учетные данные NTLM, обманывая жертву и заставляя ее просматривать вредоносные файлы в проводнике Windows.
В последнее время NTLM широко использовался в атаках типа relay (уязвимые сетевые устройства проходят аутентификацию на серверах, контролируемых злоумышленниками) и pass-the-hash (реализуется кража хэшей NTLM, которые представляют собой хэшированные пароли).
Затем злоумышленники украденный хэш используется для аутентификации в качестве скомпрометированного пользователя, получая доступ к конфиденциальным данным и возможность распространения по сети.
Исследователям ACROS Security удалось обнаружить новую уязвимость раскрытия хэша SCF-файла NTLM при разработке исправлений для другой проблемы раскрытия хэша NTLM.
Новому нулю пока еще не присвоен идентификатор CVE, но известно, что затрагивает все версии Windows, от семерки до последних выпусков Windows 11 и от Server 2008 R2 до Server 2025.
Уязвимость позволяет злоумышленнику получить учетные данные NTLM пользователя, заставив пользователя просмотреть вредоносный файл в проводнике Windows.
Например, открыв общую папку или USB-диск с таким файлом либо просмотрев папку «Загрузки», куда такой файл ранее был автоматически загружен с веб-страницы злоумышленника.
Несмотря на то, что эти типы уязвимостей не являются критическими, а их эксплуатационная способность зависит от нескольких факторов (злоумышленник либо уже находится в сети жертвы, либо имеет внешнюю цель, например общедоступный сервер Exchange, на который можно передать украденные учетные данные), тем не менее используются в реальных атаках.
В связи с чем ACROS Security выкатила неофициальные общедоступные исправления для этой 0-day через свой сервис микропатчей 0Patch для всех затронутых версий Windows, пока Microsoft не выпустит официальные, а затем реально рабочие исправления.
Кроме того, исследователи не разглашают подробности об уязвимости, пока исправления от Microsoft не станут доступными пользователям, чтобы свести к минимуму риск злонамеренной эксплуатации.
В сваю очередь, микромягкие заявляют, что осведомлены об этом отчете и обещают принять необходимые меры для защиты своих клиентов.
Когда-нибудь, обязательно. Да-да.