39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи PRIZM обнаружили уязвимость удаленного выполнения кода в популярных планшетах Ratta SuperNote A6 X2 Nomad на электронных чернилах, которая позволяет удаленным злоумышленникам взломать его прошивку.
Исследование началось сразу после того, как в прошлом году популярный производитель планшетов на электронных чернилах Ratta Software выпустил SuperNote A6 X2 Nomad - 7,8-дюймовый планшет под управлением Android 11.
Взяв один из них в июле 2024 года, ресерчеры PRIZM оперативно приступили к его изучению.
По результатам им удалось объединить уязвимость и несколько неверных конфигураций в удаленно устанавливаемый руткит с 0 щелчками.
По итогу апробировали возможность компрометации злоумышленником из той же сети, что и целевое устройство, без какого-либо взаимодействия с пользователем.
Обнаруженной ошибке был присвоен CVE-2025-32409.
Ratta Software уведомили об проблемах в августе 2024 года, по прошествии 90-дневного срока раскрытия, поставщик ответил, что замылил отчет и запросил дополнительное время.
В октябре разработчики пообещали все исправить, раскрытие отложили до декабря 2024 года, а по состоянию на 8 апреля исследователи PRIZM выкатили подробности всего процесса исследования и технических подробностей уязвимости.
Исследователи Лаборатории Касперского обнаружила новые кампании, предположительно, китайской APT GOFFEE, которую впервые попала в поле зрения еще в 2022 году в связи с нацеливанием на Россию.
С тех пор APT атаковала исключительно организации в РФ, используя целевые фишинговые письма с вредоносными вложениями.
С мая 2022 по середину 2023 года GOFFEE применяла модифицированный зловред Owowa (вредоносный IIS-модуль) в своих атаках, а в 2024 злоумышленники начали распространять модифицированные вредоносные версии explorer.exe с помощью целевого фишинга.
Во второй половине 2024 года она продолжала атаковать организации в России, используя PowerTaskel - непубличный агент для Mythic на PowerShell, а также новый имплант - PowerModul.
Целями атак стали СМИ, телекоммуникационные и строительные компании, а также государственный и энергетический сектора.
Несмотря на применение инструментов и методов, сходных с использованными ранее, в этой кампании GOFFEE внесла несколько существенных изменений.
Группа обновила схемы распространения и впервые использовала документы Word с вредоносными VBA-скриптами для начального заражения.
Вредоносный исполняемый файл, прикрепленный к целевому фишинговому письму, представляет собой модифицированную версию explorer.exe, схожую с той, что использовалась в начале 2024 года, и содержит шелл-код, который сильно напоминает тот, что ранее использовался GOFFEE.
Кроме того, GOFFEE задействовала новый загрузчик PowerShell-скриптов - PowerModul, который отвечал за загрузку зловредов PowerTaskel, FlashFileGrabber и USB Worm.
Также замечено, что хакеры все чаще стала отказываются от использования PowerTaskel в пользу бинарного Mythic-агента при горизонтальном перемещении по сети, вероятно, разработав собственные реализации этого агента на PowerShell и C.
Как полагают в ЛК, GOFFEE продолжает улучшать свои инструменты и внедрять новые, эти изменения не столь значительны, чтобы кампанию можно было принять за действия другой группы.
Технический разбор новых кампаний и арсенала - в отчете.
Подкатили рекомендации по безопасности ICS для уязвимостей в решениях Rockwell, ABB, Siemens и Schneider.
Siemens опубликовала девять новых рекомендаций.
Одна из рекомендаций содержит призыв к клиентам заменить Sentron 7KT PAC1260 Data Manager на более новую модель PAC1261, поскольку первая подвержена критическим уязвимостям, которые позволяют получить доступ к файлам и выполнить произвольный код, но исправлений не планируется.
Критическая уязвимость также была обнаружена в Industrial Edge.
Продукт подвержен слабой проблеме аутентификации, которая позволияет неаутентифицированному удаленному злоумышленнику обойти аутентификацию и выдать себя за законного пользователя.
Siemens также уведомила клиентов о недавно обнаруженных уязвимостях IngressNightmare, затрагивающих ее решение Insights Hub Private Cloud.
Компания также проинформировала клиентов об исправленных проблемах высокой степени серьезности в Sidis Prime и Solid Edge, а также об ошибках средней степени серьезности в Siemens License Server, промышленных устройствах ICMP и Mendix Runtime.
Schneider Electric представила два новых бюллетеня, в одном из которых описываются две уязвимости высокой степени серьезности в ConneXium Network Manager, включая ту, которая может допускать удаленное выполнение кода и DoS-атаки на инженерные рабочие станции.
Вторая рекомендация охватывает три уязвимости средней степени серьезности в Trio Q Licensed Data Radios, которые могут привести к несанкционированному доступу и раскрытию конфиденциальной информации.
Однако для эксплуатации требуется физический доступ.
Rockwell Automation выкатила один информационный бюллетень, информируя клиентов о десятке локальных уязвимостей выполнения кода, влияющих на Arena.
Эксплуатация заключается в том, чтобы обманом заставить целевого пользователя открыть вредоносный файл.
Кроме того, не так давно ABB анонсировала два новых бюллетеня, в которых описаны десятки уязвимостей, обнаруженных за последние годы в сторонних компонентах, используемых в ее беспроводных шлюзах Arctic.
🔐 Безопасность в сети: S.E.Virus Detect v.3.1.
• В сети существует огромное кол-во сервисов и инструментов, которые позволяют нам найти максимум информации о URL-адресе. Одним из таких инструментов является Web-check, функционал которого позволяет нам получить следующее:
➡IP Info, SSL Chain, DNS Records, Server Location, Server Status, Open Ports, Traceroute, Server Info, Domain Info, DNS Server, Security.txt, Email Configuration, Firewall Detection, Archive History, Global Ranking, Malware & Phishing Detection, Screenshot и еще кучу всяких разных данных...
• Однако, данный сервис отличается от аналогичных решений тем, что имеет открытый исходных код и бесплатное api, это позволяет нам поднять сервис на своем сервере и интегрировать данное решение в собственные инструменты, что мы и сделали...
• Теперь в S.E. Virus Detect появился дополнительный функционал проверки URL-адреса, благодаря которому мы можем получить готовый отчет от сервиса Web-check и ознакомиться с результатами не выходя из Telegram. Работает все как и всегда: вы направляете ссылку боту - ссылка проверяется через VirusTotal - бот предоставляет вам результат анализа с последующим выбором, использовать web-chek или нет. Если вы нажали на соответствующую кнопку, то вы получите отчет, который содержит все необходимые данные.
• Что имеем в итоге?
➡Полноценный функционал VirusTotal в вашем кармане, который позволяет получить результат анализа файлов, ссылок и ip не выходя из telegram.
➡Дешифратор коротких ссылок. Бот предупредит вас, что ссылка сокращенная и покажет конечный домен, к которому она ведет.
➡Дешифратор QR-кодов: открываете камеру прямо в Telegram, фотографируете код, получаете результат анализа.
➡Функционал поиска информации о файле по его хэш-значению. Достаточно ввести хэш-функцию SHA-256 и бот выдаст вам информацию о файле, если он есть в базе Virus Total.
➡Формирование полноценного отчета по итогу анализа ссылки, который осуществляется через сервис Web-check.
• В общем и целом, S.E. Virus Detect - это как VirusTotal на стероидах, с дополнительным функционалом и различными фишками. Ну и еще совершенно бесплатный и без рекламы. Пользуйтесь!
S.E. ▪️ infosec.work ▪️ VT
Fortinet представила исправления для 10 уязвимостей в своих продуктах, включая критическую ошибку в FortiSwitch.
Она отслеживается как CVE-2024-48887 и имеет оценку CVSS 9,3.
Ошибка непроверенной смены пароля в графическом интерфейсе пользователя FortiSwitch позволяет удаленному неаутентифицированному злоумышленнику менять пароли администратора с помощью специально созданного запроса.
Компания утверждает, что отключение доступа HTTP/HTTPS из административных интерфейсов и ограничение числа хостов, которые могут подключаться к системе, должно устранить уязвимость.
Ошибка затрагивает версии FortiSwitch 6.4 - 7.6 и была устранена с выпуском версий 6.4.15, 7.0.11, 7.2.9, 7.4.5 и 7.6.1.
Также были выпущены исправления для CVE-2024-26013 и CVE-2024-50565, двух уязвимостей высокой степени серьезности, которые позволяют неаутентифицированным злоумышленникам выполнять атаки типа MitM.
По факту перехватывать запросы аутентификации FGFM между управляющими и управляемыми устройствами и выдавать себя за управляющее устройство (сервер FortiCloud или FortiManager).
Проблемы, связанные с неправильным ограничением канала связи предполагаемыми конечными точками, затрагивают FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice и FortiWeb.
Fortinet также объявила о закрытии CVE-2024-54024 - серьезной уязвимости внедрения команд ОС в FortiIsolator, которая позволяет аутентифицированному злоумышленнику с привилегиями суперадминистратора и доступом к CLI выполнить произвольный код с помощью специально созданных HTTP-запросов.
Пофиксили также четыры проблемы средней степени серьезности, включая ошибку внедрения команд ОС в FortiIsolator, ошибку логирования в FortiManager и FortiAnalyzer, некорректное управление пользователями на панели виджетов FortiWeb и обход пути в FortiWeb.
Также была устранена ошибка недостаточной защиты учетных данных в FortiOS, а также проблема неправильной нейтрализации ввода во время генерации веб-страницы в FortiClient (обе проблемы имеют низкий уровень серьезности).
Fortinet не сообщает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но принимая во внимание особый интерес киберподполья рекомендуется накатить обновления на устройства как можно скорее.
Дополнительная информация - в разделе рекомендаций PSIRT Fortinet.
Подкатил апрельский PatchTuesday от Microsoft с исправлениями 134 уязвимостей, включая на этот раз скупую единственную 0-day.
В этом пакете обновлений закрыто одиннадцать критических уязвимостей, все из которых связаны с RCE, а в целом по категориям: 49 - EoP, 9 - обхода функций безопасности, 31 - RCE, 17 - раскрытия информации, 14 - DoS и 3 - спуфинга.
Помимо них устранены уязвимости Mariner и 13 - в Microsoft Edge.
Единственной исправленной активно эксплуатируемой 0-day в апрельском PatchTuesday стала CVE-2025-29824 - уязвимость драйвера файловой системы Windows Common Log.
По данным Microsoft, CVE-2025-29824 связана с проблемой использования памяти после освобождения, которая позволяет локальным злоумышленникам с низкими привилегиями получать SYSTEM в атаках низкой сложности, не требующих взаимодействия с пользователем.
Обновления сейчас доступны только для Windows Server и Windows 11, а для Windows 10 Microsoft выйдут позже.
Компания также поделилась подробной информацией о том, что данная уязвимость была использована в качестве нуля бандой вымогателей RansomEXX, которую она отслеживает как Storm-2460.
Обнаружение приписывается Центру анализа угроз Microsoft.
Сначала злоумышленники установили вредоносное ПО PipeMagic backdoor на скомпрометированных системах, которое использовалось для развертывания эксплойта CVE-2025-29824, полезных нагрузок вымогателей и записок о выкупе !_READ_ME_REXX2_!.txt после шифрования файлов.
Целями атак стали организации в сфере информационных технологий и недвижимости в США, финансовый сектор в Венесуэле, испанская компания-разработчик ПО и сектор розничной торговли в Саудовской Аравии.
Как сообщала компания ESET в прошлом месяце, с марта 2023 года PipeMagic также использовался для развертывания эксплойтов, нацеленных на 0-day подсистемы ядра Windows Win32 (CVE-2025-24983).
Обнаруженная Лабораторией Касперского в 2022 году вредоносная ПО способна собирать конфиденциальные данные, обеспечивать полный удаленный доступ к устройствам и позволяет развертывать дополнительные вредоносные нагрузки для горизонтального перемещения.
В 2023 году ЛК обнаружила этот бэкдор при расследовании атак с использованием программы-вымогателя Nokoyawa.
В этих атаках эксплуатировали другой ноль в Windows Common Log File System Driver, уязвимость повышения привилегий, отслеживаемую как CVE-2023-28252.
Полное описание каждой уязвимости и систем, которые она затрагивает, - здесь.
Исследователи BI.ZONE продолжают отслеживать активность Sapphire Werewolf, которая активно ведет работу над развитием своего арсенала и теперь использует обновленную версию Amethyst Stealer.
Вредоносное ПО злоумышленники по-прежнему доставляют с помощью рассылки фишинговых электронных писем, на этот раз нацеливаясь на компании в сфере ТЭК.
Sapphire Werewolf маскирует вредоносное вложение под служебную записку и отправляет ее жертве от лица отдела кадров.
Письмо содержит архив с названием «Служебная записка.rar», внутри которого находится одноименный исполняемый файл с иконкой PDF-документа.
Программа написана на C# и защищена .NET Reactor.
Данный вредоносный файл является .NET‑загрузчиком, содержащим в себе закодированную Base64 полезную нагрузку, которая представляет собой исполняемый файл формата PE, который представляет собой Amethyst Stealer, также защищенный .NET Reactor.
Как и предыдущие экземпляры, данный образец реализует загрузку из ресурсов в память вспомогательной библиотеки DotNetZip.dll (Ionic’s Zip Library версии 1.16) для упаковки файлов.
Отправляет информацию о системе, содержащую IP‑адрес, строку с информацией о работе в виртуализированной среде, на: hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js.
Также зафиксирован запрос по адресу: wondrous-bluejay-lively.ngrok-free[.]app и обращение для проверки/получения IP: checkip.dyndns[.]org. Из ресурсов Amethyst Stealer также извлекается и открывается отвлекающий PDF-документ.
Новая версия Amethyst позволяет максимально широко проверять, как выполняется код в виртуальной среде, а также применять алгоритм Triple DES для шифрования строк, которые являются аргументами вызываемых функций вредоносной ПО.
Общий функционал Amethyst Stealer включает эксфильтрацию:
- аутентификационных данных из Telegram, Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium и др.,
- файлов конфигурации FileZilla и SSH;
- различные файлы конфигураций удаленных рабочих столов, VPN‑клиентов;
- различные типы документов (в том числе с внешних носителей).
Технический разбор стилера и IoC Sapphire Werewolf - в отчете.
Исследователи Лаборатории Касперского раскрыли сложный инструмент, который APT ToddyCat пыталась задействовать для скрытого запуска в скомпрометированных системах.
Он использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, в которую злоумышленники внесли изменения, расширяющие ее функциональность.
Чтобы скрыть свою активность в зараженных системах, APT-группы прибегают к разным техникам обхода защиты.
Большинство из них хорошо известны и обнаруживаются как EPP-решениями, так и средствами мониторинга и реагирования на угрозы класса EDR.
Одним из вариантов в Windows-системах могут быть руткиты уровня ядра, в частности вредоносные драйверы, но в современных ОС они загружаются только при наличии цифровой подписи Microsoft.
Злоумышленники обходят этот защитный механизм при помощи легитимных драйверов, которые имеют такую подпись, но содержат уязвимые функции, позволяющие выполнять вредоносные действия в контексте ядра.
Средства мониторинга отслеживают такие манипуляции, однако в ToddyCat именно этим и решили воспользоваться, запустив свой инструмент в контексте защитного решения.
В рамках расследования инцидентов с ToddyCat исследователи в на начале прошлого года обнаружили во временной директории на нескольких устройствах 64-разрядную DLL-библиотеку с именем version.dll на C++, которая представляет собой комплексный инструмент под названием TCESB.
Он предназначен для скрытого выполнения полезной нагрузки в обход средств защиты и мониторинга, установленных на устройстве.
Статический анализ DLL-библиотеки показал, что что для запуска вредоносного кода злоумышленники используют технику проксирования DLL.
Вредоносная DLL экспортирует все функции легитимной DLL, но вместо их реализации перенаправляет вызовы этих функций в оригинальную DLL.
Таким образом, приложение, которое загружает вредоносную библиотеку, продолжит работать без сбоев, при этом в его контексте в фоновом режиме будет выполняться вредоносный код.
Отыскать файл, загружающий инструмент TCESB, удалось не сразу, но благодаря допущенной оператором ошибке исследователи вышли на компонент EPP решения ESET - сканер, запускаемый из командной строки (ESET Command line scanner).
Динамический анализ показал, что он небезопасно загружает системную библиотеку version.dll: сначала проверяет наличие файла в текущей директории, а затем ищет его в системных директориях, что может привести к загрузке вредоносной DLL-библиотеки.
По итогу после уведомления ESET найденной уязвимости был присвоен CVE-2024-11859, а 21 января 2025 года поставщик выпустил обновление, а 4 апреля информация была опубликована в рекомендациях по безопасности.
Изучая функционал TCESB исследователи провели анализ строк, находящихся в его DLL, который показал, что большинство из них принадлежат вредоносному инструменту с открытым исходным кодом EDRSandBlast.
На его основе злоумышленники из APT ToddyCat создали DLL TCESB.
Переработав код, они добились расширения функциональности, добавив возможности, помимо прочего, модификации структуры ядра ОС, чтобы отключить системные уведомления (notification routines).
Технический разбор инструментария и индикаторы компрометации - в отчете.
Google выкатила исправления для 62 уязвимостей в Android за апрель 2025 года, включая две 0-day, которые использовались в целевых атаках.
Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.
Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.
Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.
Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.
В январе Google предоставила исправления OEM-партнерам.
Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем.
Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.
Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.
Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.
Исследователи Meridian Group отмечают тревожную тенденицию, связанную с задействованием киберподпольем взломанных учетных записей правоохранительных структур и госорганов для реализации экстренных запросов данных (Emergency Data Request) в крупные онлайн-платформы.
Если ранее киберпреступники продавали креды/доступы, то все более сложная и структурированная EDR-as-a-Service теперь поддерживает модель «под ключ», охватывая каждый этап процесса отработки запроса и нацеливаясь на более широкий круг платформ.
Заказчики конфиденциальной информации теперь получают услугу с возможностью непосредственной обработки запроса на платформах и оперативной доставки интересующих данных, всего лишь оплатив требуемую сумму в Bitcoin или Monero согласно прайсу.
В более организованных схемах селлеры предоставляют услугу условного депонирования, удерживая сумму на депозите, пока покупатель не подтвердит действительность полученных данных.
Кроме того, потенциальным покупателям доступны информационные материалы, представленные в виде «подробного руководства» по надлежащему использованию услуг EDR, в том числе отражающих, как правильно заполнять и незаконно отправлять запросы.
Так что даже неопытные операторы с ограниченными навыками взлома могут быстро приобрести необходимые знания для успешной пересылки поддельных EDR.
Отдельно предоставляются инструкции о том, как использовать полученную информацию, чтобы более эффективно нацеливаться на жертв посредством социнженерии и прочих вредоносных кампаний.
В отчете Meridian Group подчеркивается, что наряду с отдельными субъектами потенциальный интерес к теме фиксируется и среди банд вымогателей, что предвещает дальнейшую эволюцию их преступной модели.
Правда, конкретные случаи еще не были задокументированы.
Стремительный рост черного рынка EDR-as-a-Service подчеркивает предприимчивость киберподполья, представители которого смогли выстроить эффективную и устойчивую систему сбора широкого спектра конфиденциальной информации в рамках EDR.
Исследователи Outpost24 представили продолжение своего отчета в отношении профиля EncryptHub, финансово мотивированной группировки, также известной как Water Gamayun и Larva-0208.
По результатам расследования Outpost24 пришли к выводу, что группировку, по всей видимости, возглавляет украинец из Харькова, который около 10 лет назад сбежал из своего родного и сейчас базируется, предположительно, где-то недалеко от побережья Румынии.
При этом в Microsoft признали, что, вероятнее всего, скрывающийся за личностью EncryptHub обнаружил и сообщил о двух уязвимостях Windows в прошлом месяце, что указывает на карьеру хакера в в сфере ИБ по совместительству с киберпреступностью.
Уязвимости были приписаны SkorikARI with SkorikARI, что является другим именем пользователя, используемым EncryptHub.
Раскрытые CVE-2025-24061 (оценка CVSS: 7,8) и CVE-2025-24071 (оценка CVSS: 6,5) были исправлены в рамках Patch Tuesday в прошлом месяце.
EncryptHub оказался в центре внимания в середине 2024 года в рамках кампании, в которой задействовался поддельный сайт WinRAR для распространения различных видов вредоносного ПО, размещенного в репозитории GitHub под названием encrypthub.
В последние недели злоумышленнику приписывают эксплуатацию 0-day в консоли управления Microsoft (CVE-2025-26633, оценка CVSS: 7.0, также известной как MSC EvilTwin) для доставки стилеров и ранее не документированных бэкдоров под названием SilentPrism и DarkWisp.
По данным PRODAFT, за последние девять месяцев своей работы EncryptHub предположительно скомпрометировал более 618 ценных целей в различных отраслях.
Outpost24 удалось изучить цифровой след EncryptHub, основываясь на «самозаражениях злоумышленников из-за ненадлежащих методов opsec» и выявить новые аспекты по части инфраструктуры и TTPs.
После переезда в неуказанное место недалеко от Румынии фигурант не привлекал к себе внимания и прокачивал свои скилы через онлайн-курсы, и параллельно искал работу в сфере IT.
Однако активность этого злоумышленника резко прекратилась в начале 2022 года, совпав с началом СВО.
При этом Outpost24 полагают, что это было связано с заключением в тюрьму примерно в то же время.
После освобождения хакер возобновил поиски работы, на этот раз предлагая услуги по разработке веб-сайтов и приложений на фрилансе.
После непродолжительных и неудачных попыток участия в программах BugBounty в марте 2024 года переключился на киберпреступность.
проектов стал Fickle Stealer, который был впервые задокументирован Fortinet FortiGuard Labs в июне 2024 года как вредоносное ПО на основе Rust для кражи информации, распространяющееся по нескольким каналам.
В недавнем интервью с исследователем g0njxa злоумышленник заявил, что Fickle «дает результаты в системах, где StealC или Rhadamantys (sic) никогда не сработают» и «обходит высококачественные корпоративные антивирусные системы».
При этом стиллер не только распространяется в частном порядке, но и является «неотъемлемой частью» другого их продукта, получившего название EncryptRAT.
Исследователи же смогли связать Fickle Stealer с псевдонимом, ранее связанным с EncryptHub.
Кроме того, один из доменов, связанных с этой кампанией, соответствует инфраструктуре, использовавшейся в законной фриланс-работе.
Причем EncryptHub широко использовал ChatGPT от OpenAI как для разработки вредоносного ПО, так и повседневных дел (перевода электронных писем и сообщений).
Кейс EncryptHub подчеркивает, что слабая операционная безопасность остается одной из самых критических слабостей для киберпреступников.
Элементарные ошибки - такие как повторное использование паролей, открытая инфраструктура и смешивание личной и преступной деятельности - в конечном итоге привели к его разоблачению.
Исследователи Group-IB сообщают об изумлениях в деятельности банды вымогателей Hunters International, которая проводит ребрендинг и переходит исключительно к тактике эксфильтрации.
Широко известная в киберподполье банда вымогателей Hunters International реализует с конца 2023 года собственную RaaS, адаптировав в свой арсенал и TTPs банды Hive после того, как последнюю развальцевали силовики в ходе международной операции в январе 2023 года.
Как выяснили исследователи, операторы, вовлеченные в схемы RaaS, тогда после ее ухода стали получать предложения от админов Hunters с тех же учетных записей, что и Hive.
В числе последних значимых достижении на счету банды - атака на крупную индийскую Tata Technologies.
Причем группировка продолжала действовать, несмотря на объявление 17 ноября 2024 года о закрытии из-за снижения рентабельности и нападками спецслужб.
На DLS в Tor группа разместила более 300 жертв, почти половина из которых - в Северной Америке. Хакеры также атаковали более 50 организаций в Европе и два десятка в Азии.
Основной фокус на - госсектор, недвижимость, здравоохранение, финансы и энергетику.
Партнерская панель Hunters позволяет операторам регистрировать жертву, настраивать вредоносное ПО и вести общение с жертвой.
Также предоставляет инструмент Storage Software, который собирает метаданные о файлах, украденных у жертвы, и отправляет их на серверы Hunters.
Партнеры могут установить сумму выкупа с панели, им предоставляется вредоносное ПО для шифрования файлов, совместимое с архитектурами x64, x86 и ARM и работающее на Windows и Linux.
Если жертва платит, оператор получает 80% от выручки.
Group-IB отмечает, что последняя версия программы-вымогателя больше не оставляет записку с требованием выкупа и не переименовывает зашифрованные файлы.
Начиная с августа 2024 года группа предпочитает напрямую связываться с руководством и ключевыми сотрудниками компании-жертвы, не раскрывая инцидент и повышая тем самым шансы на одобрение выплаты выкупа.
Hunters сотрудничает со сторонним подрядчиком, который оказывает им услуги OSINT для сбора информации о сотрудниках атакованной компании, которая затем используется для вымогательства.
На основании внутренних заметок операторов RaaS, исследователи пришли к выводу, что банда планирует отказаться от шифрования файлов, поскольку это становится слишком рискованным и не приносит соответствующей прибыли.
Начиная с января 2025 года они запустили новый проект под названием World Leaks.
Вместо проведения двойного вымогательства схема переориентирована на атаки, направленные исключительно на эксфильтрацию.
Операторам будет предоставляться инструмент для автоматизированной кражи данных (вероятно доработанный Storage Software), который будет полностью незаметен и сможет устанавливать сетевые соединения через прокси-сервер, например.
В Group-IB полагают, что большинство групп вымогателей, вероятно, перейдут к той же тактике в будущем, полагаясь исключительно на эксфильтрацию.
Новая коричневая полоса в жизни клиентов Ivanti связана с критической уязвимостью Connect Secure, которая позволяет удаленно выполнять код и активно эксплуатируется китайской APT как минимум с середины марта 2025 года.
CVE-2025-22457 вызвана уязвимостью переполнения буфера на основе стека и влияет на Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.
Согласно рекомендациям Ivanti, удаленные злоумышленники могут использовать ее в сложных атаках, не требующих аутентификации или взаимодействия с пользователем. Ошибка исправлено 11 февраля 2025 года с выпуском Ivanti Connect Secure 22.7R2.6.
При этом она была идентифицирована поставщиком как непригодная для удаленного выполнения кода и не отвечающая требованиям отказа в обслуживании.
Однако к удивлению Ivanti исследователи выяснили, что уязвимость можно эксплуатировать с помощью сложных средств, и обнаружили доказательства ее активной эксплуатации в реальных условиях.
При этом исправления для шлюзов ZTA и Ivanti Policy Secure все еще находятся в разработке и будут выпущены только к 19 и 21 апреля соответственно, но Ivanti заверяет, что ей «не известно о каких-либо случаях эксплуатации» шлюзов.
Тем не менее Ivanti порекомендовала администраторам полагаться на ICT и следить за возможными сбоями веб-сервера. Если будут обнаружены какие-либо признаки компрометации, следует сбросить настройки затронутых устройств и вернуть их в эксплуатацию с помощью версии 22.7R2.6.
Пока в Ivanti отмалчиваются по поводу эксплуатации, исследователи Mandiant и Google Threat Intelligence Group (GTIG) сообщают, что предполагаемый злоумышленник (UNC5221) эксплуатировал уязвимость, по крайней мере с середины марта 2025 года.
UNC5221 известен тем, что нацеливается на 0-day в сетевых периферийных устройствах с 2023 года, включая различные устройства Ivanti и NetScaler.
Совсем недавно китайские хакеры задействовали CVE-2025-0282, еще одно переполнение буфера Ivanti Connect Secure для доставки нового вредоносного ПО Dryhook и Phasejam на скомпрометированные устройства VPN.
Год назад хакерская группа также объединила две 0-day Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) для удаленного выполнения произвольных команд на целевых устройствах ICS VPN и IPS network access control (NAC). Одной из их жертв стала корпорация MITRE.
По данным Volexity, в январе 2024 года UNC5221 взломал более 2100 устройств Ivanti, используя веб-шелл GIFTEDVISITOR, в атаках, объединяющих две 0-day.
В новых замеченных атаках после успешной эксплуатации наблюдалось развертывание двух новых семейств вредоносных ПО: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE.
Кроме того, также выявлены ранее задокументированной экосистемы вредоносных ПО SPAWN, приписываемой UNC5221.
Злоумышленник, вероятно, изучил исправление для уязвимости в ICS 22.7R2.6, отыскав варианты эксплуатации 22.7R2.5 и более ранних версий для удаленного выполнения кода.
Впрочем, такими темпами и обходы для последней версии скоро назреют.
Так что новый сезон захватывающего сериала под названием Ivanti, можно констатировать, - только начинается.
Исследователи Seqrite Labs раскрыли обновленные TTPs пакистанской APT-группы SideCopy по результатам анализа недавней кампании, зафиксированной в декабре 2024 года.
Группа расширила диапазон своего нацеливания: помимо госуправления, обороны, морского сектора и образования в числе объектов заинтересованности хакеров оказались министерства ЖД-транпорта, энергетики и иностранных дел.
Одним из наиболее заметных изменений в недавних кампаниях является переход от использования файлов HTML Application (HTA) к Microsoft Installer (MSI) в цепочке заражения на начальных этапах.
Злоумышленники продолжают совершенствовать способы уклонения от обнаружения, активно задействуя методы боковой загрузки DLL и многоплатформенных вторжений.
Кроме того, была идентифицированановая полезная нагрузка, названная CurlBack RAT, которая регистрирует жертву на сервере C2 через UUID и поддерживает передачу файлов с помощью curl.
Среди других выделенных исследователями особенностей новой кампании:
- Использование скомпрометированных идентификаторов электронной почты сотрудников государственных органов, имеющих опыт работы в сфере кибербезопасности.
- Создание фейкового домена, мимикрирующего под службу электронного правительства с открытым каталогом, который используется для размещения полезных нагрузок и страниц входа в систему для фишинга учетных данных.
- Взлом официального домена Национального гидрологического проекта (NHP) при Министерстве водных ресурсов с целью доставки вредоносных данных.
- Новые тактики, такие как рефлексивная загрузка и расшифровка AES раздела ресурсов через PowerShell, для развертывания пользовательской версии инструмента с открытым исходным кодом на основе C# XenoRAT.
- Модифицированный вариант инструмента с открытым исходным кодом SparkRAT на Golang, ориентированный на платформы Linux, был развернут с помощью того же самого стейджера, который ранее использовался для полезных нагрузок Poseidon и Ares RAT.
- Ранее взломанный образовательный портал, замеченный в августе 2024 года, снова стал активным в феврале 2025 года с новыми URL-адресами, нацеленными на студентов с использованием трех разных тем: «Изменение климата», «Исследовательская работа» и «Профессионал».
- Родительская группа APT36 нацелилась на Афганистан. Недавняя кампания, нацеленная на системы Linux, включает в себя зашифрованные AES/RC4 стейджеры для сброса инструмента MeshAgent RMM.
Технические подробности различных кластеров атак и индикаторы компрометации - в отчете.
Компании по безопасности, эксперты по открытому исходному коду и ученые предупреждают о новом векторе развития цепочек поставок, который получил наименование slopsquatting.
Название метода представляет собой комбинацию таких терминов, как AI slop и typosquatting.
Речь идет о все более широком использовании инструментов кодирования на основе ИИ для генерации блоков исходного кода, которые в некоторых случаях могут попадать в производственные системы.
В недавней научной работе анализировались 16 моделей кодирования ИИ.
Исследователи обнаружили, что эти инструменты генерируют некачественный код, который часто включает и загружает несуществующие пакеты и библиотеки.
Статистика показывает, что средний процент глючных пакетов составляет не менее 5,2% для коммерческих моделей и 21,7% для моделей с открытым исходным кодом.
При этом внушительные 205 474 уникальных примера выдуманных названий пакетов отчетливо показывает серьезность и распространенность этой угрозы.
Socket Security, специализирующаяся на DevSecOps, утверждает, что такое поведение открывает путь к слопсквотингу - когда злоумышленники изучают LLM, а затем регистрируют вымышленные или потенциально вымышленные имена пакетов.
Атака выглядит нелепой и непрактичной, но таковым был и тайпсквоттинг, когда он был впервые описан много лет назад.
Тем не менее, спустя годы, он стал одним из самых распространенных источников проблем в цепочке поставок в индустрии разработки ПО.
Задействование инструментов кодирования на основе ИИ растет, и вероятность того, что разработчики могут использовать блоки кода, созданные с помощью таких инструментов, также возрастает экспоненциально, как и вероятность успешной атаки методом slopsquatting.
Исследователи Wordfence в своем отчете констатируют печальную тенденцию по уязвимостям WordPress.
Всего в прошлом году исследователи раскрыли более 8000 уязвимостей WP, из которых более четверти не получили исправлений безопасности.
Примечательно, что только 5 из 8000 проблем, раскрытых в прошлом году, затронули ядро WordPress, что показывает, насколько CMS продвинулась в плане усиления безопасности.
При этом более 96% всех этих ошибок затрагивают плагины, которые сейчас являются угрозой номер один для владельцев сайтов WordPress.
Последний яркий пример - OttoKit (ранее SureTriggers) для WordPress, который согласно статистике, активен на 100 000 веб-сайтов.
OttoKit WordPress позволяет пользователям подключать плагины и внешние инструменты, такие как WooCommerce, Mailchimp и Google Sheets, автоматизировать такие задачи, как отправка писем и добавление пользователей или обновление CRM без кода.
Wordfence получила отчет об уязвимости от исследователя mikemyers в середине марта.
3 апреля ушло уведомление поставщику плагина с полной информацией об эксплуатации, и в тот же день вышло исправление в версии 1.0.79.
Уязвимость возникает из-за отсутствия проверки пустого значения в функции authenticate_user(), которая обрабатывает аутентификацию REST API.
Эксплуатация возможна, если плагин не настроен с использованием ключа API, что приводит к тому, что сохраненный secret_key остается пустым.
Злоумышленник может воспользоваться этим, отправив пустой заголовок st_authorization, чтобы пройти проверку и предоставить несанкционированные доступ к защищенным конечным точкам API.
По сути, CVE-2025-3102 позволяет злоумышленникам создавать новые учетные записи администраторов без аутентификации, что создает высокий риск полного захвата сайта.
9 апреля Wordfence раскрыла уязвимость обхода аутентификации в OttoKit, идентифицированную как CVE-2025-3102, которая затрагивает все версии до 1.0.78.
Однако хакеры быстро приступили к эксплуатации серьезной уязвимости, воспользовавшись задержкой администраторов с обновлением плагина.
Первые попытки были зафиксирвоаны всего через несколько часов после ее обнаружения.
Злоумышленники пытаются создать новые учетные записи админов, используя случайную комбинацию имени пользователя/пароля и адреса электронной почты, что является признаком автоматизации задач.
Так что пользователям настоятельно рекомендуется обновиться до последней версии OttoKit/SureTriggers - 1.0.79 и и проверить журналы на предмет манипуляции с учетными записями администратора, установки плагинов/тем, событий доступа к базе данных и изменения настроек безопасности.
Пока весь мир обсуждает развязанную Дональдом Трампом торговую войну, американский инфосек больше интересует история с SentinelOne и CISA, которые благодаря Крису Кребсу теперь попали под закаточный станок.
Президент США в среду подписал меморандум о лишении допуска к секретной информации бывшего директора Агентства Кребса, которого он уволил в 2020 году после того, как тот заявил об отсутствии каких-либо технологических проблем в ходе тогдашних президентских выборов.
При этом меморандум предписывает отозвать не только допуск Кребса к секретной информации, но и приостановить действие тех, которые «имеются у лиц в организациях, связанных с Кребсом», включая компанию SentinelOne, где он является главным офицером по разведке и государственной политике.
Согласно бюллетеню Белого дома, директива подразумевает «рассмотрение вопроса о том, соответствуют ли такие допуски национальным интересам».
В июле прошлого года SentinelOne объявила о партнерстве с CISA с целью «улучшения кибербезопасности государственных ИТ-активов и критической инфраструктуры».
На самом деле заявление Трампа нацелено на реализацию комплексной оценки деятельности CISA за предыдущие шесть лет под предлогом «выявления любых случаев, когда поведение Кребса или CISA противоречит приверженности администрации свободе слова и прекращению федеральной цензуры».
По данным Белого дома, CISA и Кребс «подавляли консервативные взгляды под предлогом борьбы с предполагаемой дезинформацией, а также принуждали руководство основных соцсетей к выполнению своей партийной миссии».
Помимо администрации президента США, аналогичную позицию заняли республиканцы в Конгрессе, выразив схожую обеспокоенность тем, что агентство фактически было «оружием» против консерваторов.
Во период выборов 2020 года, на которых Трамп проиграл Джо Байдену, CISA активно работала с онлайн-платформами, пытаясь контролировать распространение ложной информации и дезинформации, от чего отказалась в ходе последнего избирательного сезона.
В принципе, в бюллетене Белого дома откровенно звучат обвинения в фальсификации выборов, утверждая, что Кребс проигнорировал «известные риски, связанные с определенными методами голосования, и безосновательно отрицал фальсификацию выборов 2020, закрывая глаза на серьезные уязвимости электронных электоральный систем и нарушения процедур».
Помимо выборов, Кребсу вменяется участие в кампании по цензурированию новостной ленты в отношении «ноутбука Хантера Байдена».
Трамп уже отозвал допуски к гостайне у группы сотрудников разведки, которые оценили ноутбук как «дезинформационную уловку».
Сnоит отметить, что будучи республиканцем всю жизнь, Кребс также занимал пост директора по политике ИБ в Microsoft и был назначен самим же Трампом директором CISA в момент ее основания в 2018 году.
После ухода из правительства он стал соучредителем консалтинговой компании Krebs-Stamos Group, которая закрылась в 2023 году. Он также работал аналитиком в CBS News и научным сотрудником в Институте Аспена и Центре Белфера при Гарвардском университете.
Кребс публично отверг обвинения в широкомасштабном мошенничестве на выборах 2020 года, назвав их «самыми безопасными в истории Америки», а в SentinelOne не ожидают, что это каким-либо образом существенно повлияет на их бизнес.
Но будем посмотреть.
Исследователи SentinelOne раскрыли подробности в отношении ИИ-платформы AkiraBot, которая задействуется для рассылки спама в виджетах чатов, разделах комментарий и контактных форм сайтов для продвижения сомнительных SEO-сервисов Akira и ServicewrapGO.
AkiraBot атаковал более 400 000 сайтов и успешно заслал спам по меньшей мере на 80 000 из них, начиная с сентября 2024 года.
При этом бот использует OpenAI для генерации индивидуальных информационных сообщений в зависимости от контента того или иного сайта.
Целями таких кампаний являются веб-сайты малого и среднего бизнеса.
Набирающий популярность инструмент на основе Python способен при этом генерить контент таким образом, чтобы обходить спам-фильтры и CAPTCHA.
Предполагается, что инструмент для массовой рассылки сообщений вошел в активную эксплуатацию как минимум с сентября 2024 года под названием Shopbot, что, по-видимому, является отсылкой к сайтам, использующим Shopify.
Со временем AkiraBot расширил зону охвата, включив в нее сайты, разработанные с использованием GoDaddy, Wix и Squarespace, а также сайты, имеющие общие контактные формы и виджеты чата, созданные с использованием Reamaze.
Суть операции – генерация спам-контента – облегчается за счет использования API OpenAI, который реализует генерацию на основе содержимого сайта.
Инструмент также имеет графический пользовательский интерфейс (GUI) для выбора списка целевых сайтов и динамики размещения контента.
Анализ исходного кода показывает, что клиент OpenAI использует модель gpt-4o-mini и ему отведена роль «полезного помощника, генерирующего маркетинговые сообщения».
Другим примечательным аспектом сервиса является то, что он может обходить CAPTCHA в масштабе и избегать обнаружения на основе сети, полагаясь на прокси-сервис, который обычно предлагается рекламодателям.
Целевые сервисы CAPTCHA включают hCAPTCHA, reCAPTCHA и Cloudflare Turnstile.
Для этого веб-трафик бота имитирует трафик обычного конечного пользователя и использует различные прокси-хосты от SmartProxy, чтобы скрыть его источник.
AkiraBot также настроен на журналирование своих действий (файл с именем submissions.csv), фиксируя как успешные, так и неудачные попытки размещения спама.
Их анализ позволил установить, что на сегодняшний день атаковано более 420 000 уникальных доменов.
Кроме того, показатели успеха, связанные с обходом CAPTCHA и ротацией прокси, собираются и публикуются в канале Telegram через API.
В ответ на полученные данные компания OpenAI отключила API-ключ и другие связанные с ним активы, используемые злоумышленниками.
Как отмечают исследователи, разработчики сервиса вложили серьезные усилия в реализацию решений для обхода широко используемые технологии CAPTCHA, а использование LLM для генерации спама открывает новые угрозы на ландшафте ИИ.
Очередной поставщик ПО для обмена файлами, по всей видимости, отправил своих клиентов в объятия Clop (ну или их коллег).
Как сообщается, хакеры задействовали уязвимость в Gladinet CentreStack в качестве 0-day для взлома серверов хранения данных.
Gladinet CentreStack - это корпоративная платформа для обмена файлами, которая преобразует локальные файловые серверы (например, серверы Windows с общими ресурсами SMB) в безопасные облачные файловые системы с поддержкой удаленного доступа к внутренним общим файлам, многопользовательских развертываний и интеграцию с Active Directory.
Решение Gladinet используют тысячи компаний в 49 странах, включая предприятия с файловыми серверами на базе Windows, MSP, размещающие файловые сервисы для нескольких клиентов, а также организации, которым необходим доступ, аналогичный облачному, без миграции в облако.
Уязвимость отслеживается как CVE-2025-30406 и представляет собой проблему десериализации, затрагивающую версии Gladinet CentreStack до 16.1.10296.56315.
Эксплуатация в естественных условиях наблюдается как минимум с марта 2025 года.
Проблема обусловлена использованием жестко закодированного machineKey в конфигурации портала CentreStack (web.config).
Если злоумышленник заполучит ключ, то сможет создать вредоносную сериализованную полезную нагрузку, которую сервер будет выполнить.
Согласно рекомендациям поставщика, неправильно защищенный ключ защищает ASP.NET ViewState в случае подделки может позволить злоумышленникам обойти проверки целостности, внедрить произвольные сериализованные объекты и в конечном итоге выполнить код на сервере.
Gladinet выпустила исправление для CVE-2025-30406 3 апреля 2025 года с версиями 16.4.10315.56368, 16.3.4763.56357 (Windows) и 15.12.434 (macOS).
Поставщик рекомендует всем пользователям как можно скорее обновиться до последней версии или вручную поменять machineKey в root\web.config и portal\web.config.
Для клиентов, которые не могут оперативно накатить обновление, ротация значений machineKey является рекомендуемым временным решением.
При этом следует обеспечить согласованность между узлами в многосерверных развертываниях и перезапускать IIS после внесения изменений для применения мер по снижению рисков.
Несмотря на то, что пока упоминаний об участии банда вымогателей в новой делюге нет, специфика продукта все же указывает на атаки с целью кражи данных, как это было в случае Cleo, MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U и Accelion FTA.
Но будем посмотреть.
Kill Security взяла на себя ответственность за атаки, связанные с эксплуатацией недавней 0-day CrushFTP.
Хакерская группа утверждает, что смогла выкрасть «значительные объемы» данных и теперь угрожает жертвам слить их в ближайшие дни, вымогая выкуп.
Тем временем, исследователи указывают на опасный прецедент.
CrushFTP пыталась аннулировать первоначальный CVE, выпущенный для ошибки (CVE-2024-2825), выпустив новый идентификатор CVE-2025-31161 и внеся определенный хаос в работу решений безопасности, предназначенных для сканирования на предмет уязвимости.
Поставщик выпустил рекомендацию, но намеренно попросила, чтобы CVE не назначалась в течение 90 дней, фактически пытаясь скрыть уязвимость от сообщества ИБ.
Хуже того, MITRE, по всей видимости, также особо не преследовала цель своевременного раскрытия уязвимости, которая активно эксплуатировалась в дикой природе.
↔️👺 Российские пользователи получают майнер и троянец вместо приложений Microsoft Office
Эксперты 😍 «Лаборатории Касперского» обнаружили, что злоумышленники распространяют майнер и троянец ⚠️ClipBanker под видом офисных приложений Microsoft на платформе SourceForge. В 🇷🇺 России с этой вредоносной кампанией столкнулись уже больше 4600 пользователей*.
Люди, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть проект, размещённый на одном из доменов сайта SourceForge, — sourceforge.io. На нём предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице проекта он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке. Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива.
Внутри архива содержалось два файла: ещё один архив, защищённый паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищённый паролем архив, то в результате цепочки загрузок на компьютер проникали две вредоносные программы.
1️⃣ 💴Майнер, позволявший злоумышленникам использовать мощности заражённого ПК для майнинга криптовалюты.
2️⃣ 🦠 ClipBanker — троянец, который подменял адреса криптокошельков для кражи криптовалюты. Приложений Microsoft при этом среди скачанных файлов не оказывалось.
Специалисты по кибербезопасности отмечают: несмотря на то что атака нацелена на кражу и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.
Авторы этой кампании воспользовались особенностью платформы SourceForge. Для проектов, созданных на sourceforge.net, автоматически выделяется дополнительное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net атакующие загрузили проект c дополнениями к офисным программам, которые не содержали вредоносный код, а уже на sourceforge.io разместили описания приложений Microsoft и вредоносную ссылку, ведущую на заражённый архив. Злоумышленники в целом всё чаще используют в своих схемах облачные хранилища, репозитории, бесплатные хостинги — чтобы минимизировать затраты на инфраструктуру. К тому же на таких ресурсах им легче затеряться среди миллионов чистых файлов.
DLS банды вымогателей Everest, по всей видимости, был взломан неизвестными, которые напоследок и отдефейсили, передав привет от чувака из Праги.
С этого времени Everest вовсе прикрыла сайт. При этом никак не комментируя ситуацию.
Пока неизвестно, как был получен доступ к DLS Everest и был ли он взломан, однако исследователи Flare указывают на уязвимость WordPress, которая могла быть задействована в этом деле.
С момента своего появления в 2020 Everest прошла путь от хищения данных с целью вымогательства до полноценной RaaS с шифрованием систем своих жертв.
Кроме того, операторы Everest также выступают в качестве брокеров первоначального доступа для других групп, реализуя доступ к взломанным корпоративным сетям.
За последние 5 лет Everest присовокупила более 230 жертв к своему DLS в рамках атак с двойным вымогательством, одной из последних стал бренд каннабиса STIIIZY.
Учитывая недавние разборки вымогателей, в скором времени Everest сама может оказаться на чьей-либо DLS. Но будем, конечно, посмотреть.
Нас попросили попиарить новый ТГ-канал, посвященный борьбе с украинскими мошенническими call-центрами. А мы всегда за доброе дело, как известно.
Поэтому вот.
Исследователи Validin раскрывают потенциальные операционные совпадения между Red Delta и APT41.
Все началось с отчета по анализу вредоносного ПО Mustang Panda/Red Delta, на основе которого была сгенерирована диаграмма IoC (полная картина - здесь), а анализ индикаторов, связанных с ее активностью, позволил выйти на дополнительную инфраструктуру и описанные пересечения APT.
В общем, подробности и техника - отчете. Там все достаточно наглядно раскидано и отражает то, о чем мы давно говорили.
По всей видимости, DragonForce снова наносит удар, на этот раз в отношении конкурентов из RansomHub RaaS, инфраструктура которой некоторое время назад перестала подавать признаки жизни.
Если это подтвердится, то их тоже можно записывать на счет DragonForce вслед за Mamona и BlackLock, о чем мы ранее также сообщали.
Но будем посмотреть.
Продолжаем следить за наиболее тресковыми уязвимостями, коих под накопилось. Вкратце ситуация выглядит следующим образом:
1. Злоумышленники начали сканировать в попытатках эксплуатации серверов Apache Camel с использованием недавно раскрытой CVE-2025-27636. По всей видимости, задействуется свежевыпущенный PoC.
2. Project Discovery опубликовал технические подробности и PoC для недавнего обхода аутентификации CrushFTP, отслеживаемого как CVE-2025-2825. Так что теперь она активно эксплуатируется.
3. Исследователи Endor Labs предупреждают о критической уязвимости в Apache Parquet с рейтингом серьезности 10/10, которая может быть использована для RCE и полной компрометации системы или приложения, импортирующие файлы Parquet.
CVE-2025-30065 описывается как проблема десериализации ненадежных данных и влияет на модуль библиотеки parquet-avro. Закралась с версии 1.8.0 библиотеки и была устранена с выпуском Parquet версии 1.15.1.
По данным Endor Labs, уязвимы все системы, которые считывают или импортируют файлы Parquet через фреймворки больших данных, такие как Hadoop или Spark, а также приложения, включающие код Parquet Java.
Пока нет никаких доказательств того, что уязвимость CVE-2025-30065 эксплуатировалась в реальных условиях, однако ее серьезность позволяет предположить, что злоумышленники вскоре могут добавить ее в свой арсенал.
4. Исследователь Пьер Ким обнаружил десять уязвимостей в коммутаторах Brocade Fiber Channel.
Некоторые из самых серьезных - это две RCE предварительной аутентификации и слабые учетные данные устройства по умолчанию.
При этом поставщик исправил только семь ошибок, а три остались незакрытыми, поскольку затрагивают EoL-устройства.
5. Он же опубликовал отчет о трех уязвимостях в межсетевых экранах Palo Alto Network.
6. Исследователи Tenable помогли исправить уязвимость в платформе Google Cloud, названную ImageRunner, которая задействует взаимосвязи между сервисами Cloud Run, Container Registry и Artifact Registry для переброски частных артефактов клиентов в учетную запись злоумышленника.
7. Microsoft сообщила об уязвимости, которая позволяет вредоносным приложениям запускать код через некоторые драйверы принтера Canon.
8. ERNW обнаружили три уязвимости в агентах VMware Carbon Black Cloud. Все они после этого исправлены.
9. Project Black опубликовала описание unauth RCE в ПО для обмена файлами ZendTo. Проблема была исправлена еще в 2021 году, но публичного CVE до сих пор нет.
10. Исследователь Эван Коннелли обнаружил уязвимость в APIO приложения Verizon Call Filter, которая могла быть использована для утечки данных клиентов Verizon.
11. Searchlight Cyber выкатила технический отчет в отношении уязвимости предварительной аутентификации SQLi в Halo ITSM, программном обеспечении для управления ИТ-поддержкой в облачных средах.
12. Cisco выпустила три рекомендации по безопасности для различных своих продуктов, а Jenkins - обновление для исправления двух уязвимостей в своем основном коде и шести других - в плагинах.
13. Исследователь SafeBreach сообщает об исправлении Google 10 уязвимостей в своей утилите передачи данных Quick Share.
Ошибки были раскрыты в прошлом году на DEFCON и позволяли злоумышленникам легко обмениваться файлами с пользователями без их согласия.
Исследователи Palo Alto Networks отследили истоки каскадной атаки на цепочку поставок GitHub Actions, которая произошла в марте 2025 года.
Артефакты указывают на то, персональный токен доступа (PAT) SpotBugs, скомпрометированный в декабре 2024 года, лег в основу наблюдавшегося масштабного инцидента.
14 марта код GitHub tj-actions/changed-files был изменен для выполнения вредоносного кода, который сбрасывал секреты CI/CD для создания журналов, вероятно, в целях подготовки дальнейших атак.
Неделю спустя исследователи обнаружили, что изначально злоумышленники сосредоточились на эксплуатации проекта Coinbase с открытым исходным кодом.
Однако после неудачи они расширили атаку, нацелившись на все проекты, полагающиеся на скомпрометированную Actions.
Согласно дереву зависимостей примерно 160 000 проектов используют Actions напрямую или косвенно. Однако только 218 репозиториев раскрыли секреты в результате этой атаки на цепочку поставок.
На этой неделе Palo Alto Networks выкатила обновленную информацию по результатам своего расследования первопричин атаки, в которой все началось со взлома PAT в декабре прошлого года.
PAT принадлежал разработчику SpotBugs и был добавлен в конце ноября в рабочий процесс spotbugs/sonar-findbugs.
Токен был украден злоумышленником 6 декабря с помощью вредоносного запроса на извлечение, отправленного на spotbugs/sonar-findbugs для использования рабочего процесса GitHub Actions посредством триггера pull_request_target (который позволяет рабочим процессам, запускаемым из форков, получать доступ к секретам).
11 марта злоумышленники использовали PAT, чтобы пригласить злонамеренного пользователя по имени jurkaofavak в репозиторий spotbugs/spotobugs в качестве участника, что предоставило им доступ на запись.
Две минуты спустя пользователь отправил вредоносный файл рабочего процесса GitHub Actions в репозиторий, создав вредоносный рабочий процесс, который раскрыл все секреты Spotbugs/Spotbugs, включая секреты специалиста по обслуживанию Reviewdog, имеющего доступ к репозиториям SpotBugs и Reviewdog.
Рабочий процесс шифровал все доступные секреты с помощью AES и симметричный ключ с использованием жестко закодированного открытого ключа RSA, что ограничивало доступность утечек.
11 марта злоумышленник использовал утекший PAT разработчика Reviewdog, который имел разрешения на отправку тегов в репозиторий reviewdog/action-setup, чтобы переопределить тег v1 репозитория и указать на вредоносный коммит, что повлияло на всех потребителей тега.
Это привело к компрометации действия tj-actions/eslint-changed-files, которое использовало reviewdog/action-setup в качестве зависимости, что впоследствии привело к компрометации GitHub tj-actions/changed-files.
12 марта, через пять дней после того, как специалист по обслуживанию Coinbase создал рабочий процесс в coinbase/agentkit, который зависел от tj-actions/changed-files, злоумышленник подготовил атаку, создав форки tj-actions/changed-files и несколько репозиториев Coinbase.
14 марта Coinbase выполнила вредоносную версию действия GitHub tj-actions/changed-files, что привело к раскрытию токена с правами на запись.
Уязвимый рабочий процесс coinbase/agentkit был удален полтора часа спустя, но злоумышленник отправил еще один вредоносный коммит в tj-actions/changed-files, заменив все теги вредоносными коммитами.
С этого момента злоумышленник повлиял на каждый запуск рабочего процесса GitHub, зависящий от действия tj-actions/changed-files.
📂 WinRAR снова под ударом 🥷 хакеров
Эксперты обнаружили критическую уязвимость в WinRAR (CVE-2025-31334), которая позволяет обойти механизм защиты Windows Mark of the Web (MotW) и выполнить вредоносный код на Windows без предупреждения. Несмотря на среднюю оценку по CVSS (6.8), уязвимость может иметь высокий риск эксплуатации в реальной среде из-за широкого распространения WinRAR и обхода встроенной защиты Windows.
Сценарий атаки предельно прост. Пользователь загружает на первый взгляд безвредный архив. Внутри, наряду с легитимными файлами, размещена символическая ссылка, замаскированная под обычный документ или исполняемый файл. Открытие этой ссылки активирует вредоносное ПО без каких-либо признаков опасности.
📖 Вектор атаки: посещение сайта с вредоносным архивом;
🦠 Доставка малвари: пока подтверждённых атак нет, но аналогичная уязвимость (CVE-2023-38831) использовалась для распространения DarkMe и Agent Tesla.
⛔️⚠️ Уязвимость не эксплуатируется массово, но угроза критична для систем с неправильно настроенными политиками безопасности.
🔧Что делать?
✅ Обновить WinRAR до версии 7.11 или выше;
✅ Запретить создание символьных ссылок обычным пользователям;
✅ Не открывать и не распаковывать подозрительные архивы из Интернета.
💡 Уязвимость найдена экспертом Тайхэй Симаминэ из 🇯🇵Mitsui Bussan Secure Directions и подтверждена JPCERT/CC. Это уже второй MotW-обход за год, после аналогичной уязвимости в 7-Zip (CVE-2025-0411).
Примечательно то, что это уже второй случай обхода MotW за год, после обнаружения уязвимости в 7-Zip (CVE-2025-0411).
👆WinRAR используется более чем 500 миллионами пользователей по всему миру.
✋ @Russian_OSINT