39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Akamai предупреждают о попадании критической уязвимости в фреймворке разработки приложений Next.js под прицел хакеров.
Первые попытки эксплуатации критически важной уязвимости в Next.js были зафиксированы менее чем через неделю после выпуска исправлений.
Речь идет о CVE-2025-29927 (CVSS 9,1), которая была публично раскрыта 21 марта, через неделю после того, как были выпущены исправления в версиях Next.js 15.2.3 и 14.2.25. Исправления также были включены в версии 13.5.9 и 12.3.5, которые появились на выходных.
Next.js использует промежуточное ПО для обработки HTTP-запросов, которое также отвечает за аутентификацию, авторизацию и установку заголовков безопасности, а внутренний заголовок x-middleware-subrequest используется для управления этими процессами и предотвращения бесконечных циклов.
Неправильная проверка внутреннего заголовка, имеющего предсказуемое значение, позволяет злоумышленнику отправлять специально созданные запросы, имитирующие заголовок, и обходить проверки аутентификации в приложении Next.js.
При обходе промежуточного ПО приложение не выполняет свои обычные процедуры безопасности, что приводит к потенциальному несанкционированному доступу к конфиденциальным или ограниченным частям приложения.
Хотя уязвимости подвержены лишь ряд версий Next.js, методы эксплуатации различаются в зависимости от версии.
По данным Rapid7, потенциальное влияние уязвимости зависит от приложения, конфигурации промежуточного ПО и цели приложения.
Как отмечают в Rapid7, организации следует рассмотреть, полагаются ли их приложения исключительно на промежуточное ПО для аутентификации.
Ведь, возможно, приложение использует промежуточное ПО, но действует как интерфейс для API бэкэнда, которые работают с логикой аутентификации на стороне сервера.
Обход промежуточного ПО Next.js фронтенда не повлияет на способность бэкэнда аутентифицировать пользователей.
Хотя ее исследователи утверждают, что им неизвестно о случаях эксплуатации уязвимости CVE-2025-29927 в реальных условиях, тем не менее в Akamai уже наблюдают, как злоумышленники сканят сеть на наличие серверов, затронутых этой ошибкой.
При этом фиксируемые атаки имитируют множество внутренних подзапросов в одном запросе, запускающих внутреннюю логику перенаправления Next.js, и очень cхожи c логикой PoC, который опубликовали (вместе с техническими подробностями) обнаружившие уязвимость исследователи.
Исследователям из Лаборатории Касперского удалось задетектить целевую APT-атаку на представителей российских СМИ и образовательных учреждений, в которой задействовалось ранее неизвестное сложное вредоносное ПО наряду с весьма интересным 0-day в Chrome.
Изощренная вредоносная кампания теперь отслеживается как Операция «Форумный тролль», а нулю присвоен идентификатор CVE-2025-2783.
Как отмечают исследователи, жертв из числа пользователей Windows заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium.
После открытия фишинговой ссылки в браузере Google Chrome реализуется заражение вредоносном, предположительно, с целью шпионажа.
При этом никаких дополнительных действий от жертвы не требовалось.
Для обмана жертв использовался целевой фишинг с приманкой в виде приглашения на научный форум Примаковские чтения.
Несмотря на то, что все вредоносные ссылки имели очень короткий срок жизни, технологии ЛК позволили идентифицировать 0-day эксплойт, который использовался для побега из песочницы Google Chrome.
Анализ кода и логики работы эксплойта привел исследователей ЛК к обнаружению нуля (присутствующего в том числе в последней версии Chrome), о чем немедленно уведомили Google.
Представленные в отчете ЛК технические подробности позволили Google оперативно исправить проблему и выпустить к 25 марта обновлённую версию Chrome 134.0.6998.177/.178
При этом CVE-2025-2783 заставила исследователей изрядно поломать голову, поскольку позволяла легко обходить защиту песочницы Google Chrome без каких-либо очевидно вредоносных действий.
Причиной этого оказалась логическая ошибка на стыке песочницы и ОС Windows.
Исследование в рамках Операции «Форумный тролль» к настоящему времени еще продолжается и обещает много интригующих подробностей.
Обнаруженный эксплойт был разработан для запуска вместе с дополнительным эксплойтом, позволяющим удаленно выполнять код, который ЛК не удалось получить, поскольку тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения.
Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак.
Все проанализированные на данный момент артефакты атак указывают на весьма серьезный технический уровень злоумышленников.
Подробный отчет с данными в отношении 0-day эксплойты, задействуемого злоумышленниками вредоносного ПО и их TTPs в ЛК намерены представить в скором времени.
Будем следить.
🧬 23andMe подала заявление на банкротство
Некогда символ успеха биотехнологического сектора американская компания 23andMe подала заявление о банкротстве. Дело в том, что капитализация фирмы рухнула с $3,5 млрд в 2021 году до текущих $50 млн. Основными причинами банкротства стали снижение доходов, высокие операционные расходы и неудачные стратегические решения. Совет директоров пришёл к выводу, что только продажа через контролируемую судом процедуру в рамках Главы 11 может позволить сохранить остаточную стоимость активов.
В сентябре 2024 года семь независимых директоров совета ушли в отставку, выразив недовольство направлением развития компании под руководством CEO Энн Войцки. Войцки неоднократно пыталась выкупить компанию, но её предложения, включая последнюю заявку в марте 2025 года — $0,41 за акцию, были отклонены советом директоров.
Руководство 23andMe сократило штат на 40% (около 200 человек) и свернуло разработку своих продуктов в ноябре 2024.
👉 Банкротство стало кульминацией кризиса, усугублённого утечкой данных, которая затронула 🚰6,9 миллиона клиентов. В сентябре 2024 года 23andMe согласилась выплатить $30 миллионов в рамках урегулирования иска по факту утечки ПД клиентов.
Тем не менее утечка данных не cтала основным фактором банкротства 23andMe.
✋ @Russian_OSINT
Исследователи из Лаборатории Касперского выкатили отчет по угрозам систем промышленной автоматизации за четвертый квартал 2024 года.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, уменьшилась по сравнению с предыдущим кварталом на 0,1 п. п. и составила 21,9%.
Причем она достигла наибольшего значения в октябре, а наименьшего - в ноябре, составив минимальное значение за два года. По регионам распределение варьировалось от 10,6% в Северной Европе до 31% в Африке. По васьми регионам - показатели увеличились.
В рейтинге исследуемых отраслей биометрические системы лидируют, в большинстве отраслей доля таких АСУ уменьшилась, за исключением сферы строительства.
В общем защитные решения Лаборатории Касперского заблокировали на системах промышленной автоматизации вредоносное ПО из 11 065 семейств.
По категориям лидировали вредоносные скрипты и фишинговые страницы, далее с заметным отставанием - троянцы, бэкдоры, вредоносные документы и вирусы.
По части вредоносных объектов, используемых для первичного заражения число компьютеров АСУ с заблокированными вредоносными документами, а также запрещенными ресурсами снизилась до 1,71% (на 0,26 п. п.) и 5,52% (на 1,32 п. п.) соответственно (минимум с 2022).
Но вместе с тем наблюдался рост доли атакованных компьютеров АСУ для следующего компонента в цепочке атаки - вредоносных скриптов и фишинговых страниц (7,11%), шпионского ПО (4,30%) и программ-вымогателей (0,21%).
Значительное увеличение доли вредоносных скриптов и фишинговых страниц произошло в октябре - это следствие серии широкомасштабных фишинговых атак в конце лета и начале осени 2024 года.
Тогда злоумышленники использовали вредоносные скрипты, которые выполнялись в браузере, открывая окна с интерфейсами, имитирующими CAPTCHA, сообщения об ошибках и др., чтобы инициировать загрузку вредоносного ПО следующего этапа - стилер Lumma или троян Amadey.
Доли компьютеров АСУ с заблокированными на них шпионскими ПО (троянцы-шпионы, бэкдоры и кейлоггеры) и программами-вымогателями выросли на 0,39 п. п. (4,30%) и в 1,3 раза (до 0,21%) соответственно, а с майнерами, наоборот, сократилась - до 0,70% (на 0,01 п. п.).
Вирусы и черви распространяются в сетях АСУ через съемные носители, сетевые папки, зараженные файлы (в том числе бэкапы) и сетевые атаки на устаревшее ПО. Их показатели выросли до 1,37% (на 0,07 п.п. по червям) и на 0,08 п.п. (до 1,61% по вирусам).
Вредоносные программы для AutoCAD как правило, представляют собой незначительную угрозу, которая в рейтинге категорий вредоносных объектов занимает последние места.
В четвертом квартале 2024 года их доля снова уменьшилась - на 0,02 п.п. и составила 0,38%.
Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, почтовые клиенты и съемные носители.
Полная версия отчета - на сайте Kaspersky ICS CERT.
Keenetic уведомила о крупной утечке данных пользователей (в основном, из России), связанной с раскрытой в сети базой данных своего мобильного приложения, оценивая при этом риски мошеннической деятельности на низком уровне.
В результате утечки были раскрыты конфиденциальные учетные данные, сведения об устройствах, сетевых конфигурациях и журналах, включая ключи WiFi и хэши паролей MD5 и NT локальной учетной записи.
Как сообщает Cybernews, их исследовательская группа получила анонимную наводку, а также образцы и другую информацию, подтверждающую факт компрометации пользователей Keenetic.
Исследователи подтвердили, что утечка включает в себя все, от паролей WiFi и конфигураций маршрутизаторов до подробных журналов обслуживания.
Злоумышленники, имеющие доступ к этим данным, могут проникнуть в уязвимые сети, отслеживать или перехватывать трафик, а также скомпрометировать дополнительные подключенные устройства.
По данным анонимного источника, среди раскрытых записей:
- 1 034 920 записей с пользовательскими данными (адреса почты, имена, локации, идентификаторы Keycloak и др.);
- 929 501 запись с информацией об устройствах (идентификаторы SSID, пароли WiFi в текстовом виде, модели устройств, серийные номера, интерфейсы, MAC-адреса, доменные имена для внешнего доступа, ключи шифрования и многое другое);
- 558 371 запись конфигурации устройств (сведения о доступе пользователей, уязвимые хешированные пароли MD-5, назначенные IP-адреса и расширенные настройки маршрутизатора);
- подробные журналы обслуживания, содержащие более 53 869 785 записей (имена хостов, MAC-адреса, IP-адреса, сведения о доступе и даже флаги «owner_is_pirate»).
Keenetic признала инцидент и пояснила, что утром 15 марта 2023 года независимый исследователь сообщил им о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic.
После проверки Keenetic немедленно решила проблему, днем того же дня.
Как уверяет поставщик, исследователь заверил его, что ни с кем не делился данными, и вовсе их уничтожил.
С тех пор Keenetic не получала никаких свидетельств того, что база была скомпрометирована или какой-либо пользователь был затронут по состоянию до февраля 2025 года.
Конкретные обозначенные цифры Keenetic не подтвердила и не опровергла, но заявила, что утечка затронула пользователей мобильного приложения, которые зарегистрировались до 16 марта 2023 года.
К настоящему времени остается неясным, кто мог иметь доступ к данным, кто их слил, и доступны ли они где-либо еще.
Тем не менее, исследователи рекомендуют пользователям Keenetic немедленно поменять имена WiFi (SSID), пароли и пароли администратора маршрутизатора, а также сбросить все другие учетные данные, используемые в сетях.
А между тем наш канал тихой сапой прокрался в рейтинг лучших ТГ-каналов в области кибербезопасности и вероломно захватил 1 (первое) место в категории Новостные агрегаторы. Мы бы и в других категориях могли бы, но природная скромность мешает.
Всем спасибо! Дружба, жвачка, инфосек!
В фреймворке Next.js React обнаружена критическая уязвимость безопасности, которая потенциально может быть использована для обхода проверок авторизации при определенных условиях.
Уязвимость отслеживается как CVE-2025-29927 и имеет оценку CVSS 9,1 из 10,0.
Next.js использует внутренний заголовок x-middleware-subrequest, чтобы предотвратить запуск бесконечных циклов рекурсивными запросами.
Пропуск выполнения промежуточного ПО позволяет запросам обходить критические проверки, в том числе проверку файлов cookie авторизации, перед достижением маршрутов.
Недостаток устранен в версиях 12.3.5, 13.5.9, 14.2.25 и 15.2.3. В качестве мер по смягчению рекомендуется предотвращать внешние пользовательские запросы, содержащие заголовок x-middleware-subrequest.
Исследователь Рашид Аллам (он же zhero и cold-try), обнаруживший и сообщивший об уязвимости, уже раскрыл дополнительные технические подробности, в связи с чем настоятельно рекомендуется как можно скорее применить исправления.
Как отмечают в JFrog, ошибка позволяет злоумышленникам легко обходить проверки авторизации, выполняемые в промежуточном ПО Next.js, что потенциально позволяет получить доступ к конфиденциальным веб-страницам, зарезервированным для администраторов или других высокопривилегированных пользователей.
Компания также заявила, что любой веб-сайт, использующий промежуточное ПО для авторизации пользователей без дополнительных проверок, уязвим для CVE-2025-29927, что потенциально позволяет злоумышленникам получить доступ к неавторизованным ресурсам.
Veeam устранила критическую RCE-уязвимость, идентифицируемую как CVE-2025-23120, в своем ПО для резервного копирования и репликации, которая влияет на установки, присоединенные к домену и позволяет пользователям домена взламывать серверы.
Уязвимость была обнаружена вчера и затрагивает Veeam Backup & Replication версии 12.3.0.310 (и все более ранние сборки версии 12).
Компания исправила ее в версии 12.3.1 (сборка 12.3.1.1139), которая уже доступна.
Согласно техническому описанию обнаружившей ошибку watchTowr Labs, CVE-2025-23120 представляет собой уязвимость десериализации в классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary .NET.
Она возникает, когда приложение неправильно обрабатывает сериализованные данные, что позволяет злоумышленникам внедрять вредоносные объекты или гаджеты, которые могут выполнять вредоносный код.
В прошлом году, исправляя другую проблему десериализации RCE, обнаруженную исследователем Флорианом Хаузером, Veeam ввела черный список известных классов или объектов, которые могут быть использованы.
Однако watchTowr удалось найти другую цепочку гаджетов, которая не была занесена в черный список, для удаленного выполнения кода.
Хорошей новостью является то, что уязвимость затрагивает только те установки Veeam Backup & Replication, которые присоединены к домену.
Плохая новость заключается в том, что любой пользователь домена может воспользоваться этой уязвимостью, что делает ее легко эксплуатируемой в этих конфигурациях.
К сожалению, многие компании присоединили свои серверы Veeam к домену Windows, проигнорировав рекомендации компании.
Даже несмотря на то, что серверы Veeam Backup & Replication были и остаются любимой игрушкой банд вымогателей по понятным причинам.
Несмотря на то, что пока сообщений об эксплуатации этой уязвимости в реальных условиях не поступало, watchTowr поделилась достаточным объемом технических подробностей, так что, вероятно, в ближайшее время будет выпущен PoC.
Компаниям, использующим Veeam Backup & Replication, следует выполнить обновление до версии 12.3.1 как можно скорее, а в идеале отключить сервер от домена.
Исследователи SANS предупреждают о попытках эксплуатации двух критических уязвимостей Cisco Smart Licensing Utility, отслеживаемых как CVE-2024-20439 и CVE-2024-20440.
Smart Licensing Utility позволяет пользователям активировать и управлять лицензиями на программное обеспечение Cisco в организации.
Впервые об ошибках стало известно с начале сентября 2024 года, тогда же поставщик выкатил исправления.
По данным Cisco, уязвимости позволяют удаленному неаутентифицированному злоумышленнику собирать конфиденциальную информацию или управлять связанными службами в системе, где запущено ПО.
Технические подробности для CVE-2024-20439 были опубличены несколько недель спустя после того, как исследователи провели обратную разработку исправлений Cisco.
В среду на этой неделе SANS сообщила о первых случаях, связанных с эксплуатацией этих уязвимостей.
Исследователи пояснили, что CVE-2024-20439 - это фактически бэкдор, позволяющий получить доступ к ПО через жестко запрограммированный пароль.
В свою очередь, CVE-2024-20440 связан с файлом журнала, который «регистрирует больше, чем должен», а доступ к нему можно получить после эксплуатации первой уязвимости.
В атаках, детектированных при помощи SANS Honeypots, злоумышленник пытался использовать учетные данные по умолчанию для доступа к экземплярам Cisco Smart Licensing Utility.
Неясно, что какую конечную цель преследуют злоумышленники, но в SANS отмечают, что тот же злоумышленник, по-видимому, пытается взломать и другие типы систем, включая устройства Интернета вещей.
В рекомендациях Cisco по уязвимостям CVE-2024-20439 и CVE-2024-20440 указано, что они были обнаружены внутри компании, а их фактическая эксплуатация не упоминается.
Представитель Cisco в ответ на это ссылается на отсутствие каких-либо поступивших в адрес компании сообщений о вредоносном использовании этих уязвимостей, рекомендуя клиентам применять доступные исправления.
Продолжаем отслеживать трендовые уязвимости и связанные с ними угрозы:
1. Набор уязвимостей, известный как DRAY:BREAK, теперь эксплуатируется ботнетом Mirai. Под угрозой маршрутизаторы DrayTek Vigor.
2. Исследователи watchTowr выявили три уязвимости в Kentico Xperience CMS, которые можно использовать для взлома уязвимых сайтов.
Они включают два обхода аутентификации и RCE после аутентификации. Патчи выпущены, но CVE отсутствуют.
3. Исследователь Александр Тан обнаружил две уязвимости в библиотеке JavaScript XML-crypto, которые могут быть использованы для обхода систем аутентификации, где библиотека используется для проверки подписанных XML-документов.
WorkOS подтвердила, что ошибки могут быть использованы для обхода аутентификации SAML и выдачи себя за любую учетную запись. При этом другие реализации SAML, использующие библиотеку, также могут быть затронуты.
4. В SIEM с открытым исходным кодом Wazuh обнаружена ошибка удаленного выполнения кода (CVE-2025-24016).
5. 0-day в Windows экспортировалась в рамках нескольких кампаний кибершпионажа в течение последних восьми лет.
Ошибка позволяет злоумышленникам добавлять аргументы командной строки в файлы ярлыков LNK, которые невидимы для пользователя.
По крайней мере 11 APT задействовали нуль для сокрытия вредоносных инструкций в файлах LNK.
Trend Micro обнаружила почти 1000 вредоносных файлов LNK, злоупотребляющих этой техникой.
Но больше всего удивляет Microsoft, которая отказалась исправлять проблему после отчета Trend Micro в сентябре прошлого года. Видимо, не согласовали кураторы.
6. Уязвимости WordPress становятся все проще эксплуатировать, на что указывают выводы из отчета Patchstack за 2024 год.
43% всех уязвимостей WordPress, обнаруженных в прошлом году, не требовали аутентификации для эксплуатации, а подавляющее большинство затрагивало плагины, продолжая тенденцию, наблюдавшуюся в предыдущие годы.
При этом было использовано лишь несколько уязвимостей, но время эксплуатации было короче, чем в предыдущие годы. По итогам взломано более полумиллиона сайтов WordPress.
7. Исследователи PRODAFT раскрыли подробности двух критических уязвимостей в mySCADA myPRO, системе диспетчерского управления и сбора данных, используемую в средах OT, которые позволяют злоумышленникам получить контроль над уязвимыми системами.
Обе проблемы связаны внедрением команд ОС, оцениваются на 9,3 по CVSS v4 и отслеживаются как CVE-2025-20014 и CVE-2025-20061.
Успешная эксплуатация любой из двух уязвимостей может позволить злоумышленнику внедрить системные команды и выполнить произвольный код.
Проблемы устранены в mySCADA PRO Менеджер 1.3 и mySCADA PRO Runtime 9.2.1.
Исследователи ESET сообщают о причастности китайской APT MirrorFace к взлому центральноевропейского дипломатического института в связи с выставкой Expo 2025, которая пройдет в Осаке, Япония.
MirrorFace, также известная как Earth Kasha, действует под эгидой APT10, связанной с Китаем.
Ее основными целями являются японские организации, включая министерства иностранных дел и обороны, а также объекты в сфере космоса, политики, СМИ и консалтинга.
Новая кампания в отношении дипинститута получила название Operation AkaiRyū (по-японски RedDragon) и является первой известной атакой MirrorFace на европейскую организацию.
Кроме того, претерпели изменения TTPs и арсенал группы.
MirrorFace начала использовать бывший бэкдор APT10 Anel (также известный как Uppercut), а также кастомизированную версию AsyncRAT.
Атаки начинались с тщательно разработанных фишинговых писем, содержащих вредоносные вложения.
ESET отмечает, что использование Anel подтверждает гипотезу о том, что MirrorFace является подгруппой APT10, поскольку бэкдор изначально предназначался исключительно для этой китайской группы.
В рамках детектированных атак в период с июня по сентябрь 2024 года MirrorFace также развернула модифицированный вариант AsyncRAT, используя сложную цепочку выполнения для его запуска в изолированной среде Windows, задействовав также VS Code для туннелирования и выполнения кода.
При этом Anel применялся лишь на первых этапах атак, затем группа разворачивала свой флагманский бэкдор HiddenFace, еще больше усилив стойкость на зараженных системах, отказавшись от использования бэкдора LodeInfo.
В июне 2024 года APT была замечена в атаке на двух сотрудников японского исследовательского института в цепочке атак с подписанным исполняемым файлом McAfee для загрузки Anel.
В августе группа атаковала дипинститут с помощью вредоносной ссылки OneDrive, которая привела к заражению Anel.
Среди других инструментов замеченных в атаках: Anelldr (загрузчик Anel), HiddenFace (бэкдор), FaceXInjector (загрузчик HiddenFace), AsyncRAT (выполнялся внутри Windows Sandbox, включался вручную и требовал перезагрузки), а также Hidden Start (инструмент для обхода UAC).
В описываемом инциденте MirrorFace похитила данные одной из системы (включая контактную информацию, данные автозаполнения, ключевые слова и сохраненную информацию о кредитных картах в Chrome), установив различные инструменты в другой системе для получения более глубокого доступа к сети.
Для реализации этой атаки злоумышленник использовал предстоящую всемирную выставку Expo 2025, которая пройдет в Осаке, в качестве приманки.
Результаты исследования ESET показывает, что даже с учетом этого нового более широкого географического таргетинга MirrorFace, по-прежнему в основном фокусируется на Японии и связанных с ней событиях.
Ресерчеры из Лаборатории Касперского отловили нового инфокрада под названием Arcane, кампания по распространению которого началась в ноябре 2024 года и включала несколько этапов развития, в том числе и замену основной полезной нагрузки.
Недавно обнаруженное вредоносное ПО способно красть большой объем пользовательских данных и при этом никак не пересекается с Arcane Stealer V, который уже много лет циркулирует в киберподполье.
Как сообщают исследователи, все переговоры и публичные сообщения операторов ведутся на русском языке, а телеметрия ЛК указывает на концентрацию заражений Arcane в России, Беларуси и Казахстане.
Кампания по распространению Arcane Stealer реализуется через ролики на YouTube с рекламой читов для игр, обманом заставляя пользователей переходить по ссылке для загрузки защищенного паролем архива.
Файлы содержали start.bat. Его содержимое было обфусцировано, а его функциональность сводилась к запуску PowerShell для скачивания другого запароленного архива, а затем распаковки его с помощью утилиты UnRAR.exe, в аргументы которой передавался вшитый в BATCH-файл пароль.
Загруженные файлы добавляют исключение в фильтр SmartScreen защитника Windows для всех корневых папок дисков или полностью отключают его с помощью изменений реестра Windows.
В качестве стилера выступала модификация троянца Phemedrone, которую злоумышленники называли VGS, но в ноябре 2024 года они переключились на Arcane.
Злоумышленники регулярно обновляют его, поэтому код и возможности стилера меняются от версии к версии.
Исследователи Лаборатории Касперского также задетектили последние изменения в методе распространения, включая использование поддельного загрузчика ПО, предположительно для кряков и читов популярных игр, под названием ArcanaLoader.
ArcanaLoader активно рекламируется на YouTube и Discord, причем операторы даже приглашают создателей контента продвигать его в своих блогах/видео за определенную плату.
Исследователи ЛК отмечают, что масштабная кампания кражи данных выделяет Arcane среди множества вредоносных программ в категории стилеров.
Сначала Arcane Stealer составляет профиль зараженной системы, похищая данные об оборудовании и программном обеспечении, такие как версия ОС, сведения о центральном и графическом процессоре, установленном антивирусе и браузерах.
Текущая версия вредоносного ПО нацелена на данные:
- VPN-клиентов (OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN),
- сетевых инструментыов (ngrok, Playit, Cyberduck, FileZilla, DynDNS),
- мессенджеров (ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber),
- почтовых и игровых клиентов (Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, различные клиенты Minecraft),
- криптокошельков (Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi),
- браузеров (сохраненные логины, пароли и файлы cookie).
Кроме того, стилер собирает различную системную информацию (версию и дату установки ОС, цифровой ключ для активации системы и проверки лицензии, имя пользователя и компьютера, местоположение, сведения по железу, об установленных антивирусах и браузерах.
Также Arcane делает скриншоты зараженного устройства, получает списки запущенных процессов и сохраненных в ОС Wi-Fi-сетей, а также пароли к последним.
Несмотря на то, что в настоящее время Arcane имеет конкретную таргетинговую направленность, операторы могут в любой момент расширить охват кампании, нацеливаясь на пользователей из других стран или другой аудитории.
Veriti сообщает о попытках задействования злоумышленниками SSRF-уязвимости в ChatGPT, обнаруженной год назад, в атаках на компании финансового и правительственного секторов в США.
Ошибка отслеживается как CVE-2024-27564 и является проблемой средней степени серьезности, связанной с файлом pictureproxy.php.
Она позволяет злоумышленникам вставлять созданные URL-адреса в параметр url, заставляя приложение выполнять произвольные запросы.
Впервые об уязвимости сообщили еще в сентябре 2023 года, а год назад она была публично раскрыта.
Ее можно эксплуатировать без аутентификации, а код PoC-эксплойта уже некоторое время находится в открытом доступе.
По данным Veriti, по крайней мере один злоумышленник добавил эксплойт для CVE-2024-27564 в свой арсенал и начал сканить глобальную сеть на наличие уязвимых приложений.
В течение одной недели исследователи зафиксировали более 10 000 попыток атак с одного IP-адреса.
При этом, по мнению Veriti, примерно треть целевых организаций потенциально подвержены риску эксплуатации из-за неправильных конфигураций в своих решениях по защите.
Большинство атак были направлены на американские организации в гос/финсекторе.
Указанные компании зависят от сервисов на базе ИИ и интеграции API, что делает их уязвимыми для SSRF-атак, которые реализуют доступ к внутренним ресурсам или позволяют красть конфиденциальные данные.
Кроме того, аналогичные объекты, включая медицину, были атакованы в Германии, Таиланде, Индонезии, Колумбии и Великобритании.
Несмотря на то, что проблема CVE-2024-27564 имеет среднюю степень серьезности, к настоящему времени - стала реальным вектором атак.
Так что потенциально уязвимым организациям следует заняться проблемой как можно скорее, проверяя свои IPS и брандмауэры на наличие неверных конфигураций и отслеживая журналы на предмет известных IP-адресов атакующих.
Исследователи Eclypsium предупреждают о критической уязвимости в прошивке контроллера управления материнской платой MegaRAC Baseboard Management Controller (BMC) производства American Megatrends International, которая подвергает многие устройства удаленным атакам.
Eclypsium специализируется на исследовании безопасности AMI BMC уже не первый год.
Летом 2023 года исследователи раскрыли две серьезные уязвимости, которые затрагивали миллионы устройств, использующих MegaRAC BMC от AMI, открывая возможности для захвата и физического повреждения.
На этот раз исследователи откопали новую уязвимость CVE-2024-54085, которая схожа с CVE-2023-34329, одной из уязвимостей 2023 года, которая позволяет обойти аутентификацию.
Правда, до конца непонятно, является ли CVE-2024-54085 результатом неполного исправления или представляет собой совершенно новую проблему безопасности - эти вопросы еще в работе.
BMC позволяет администраторам удаленно контролировать и управлять устройствами, в том числе обновлять прошивку и устанавливать операционные системы.
BMC AMI присутствует в миллионах устройств по всему миру, включая устройства производства Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia и Qualcomm.
По данным Eclypsium, CVE-2024-54085 затрагивает серверы HPE, Asus, Asrock и Lenovo.
При этом AMI, Lenovo и HPE уже выкатили соответствующие рекомендации, информируя клиентов об исправлениях и мерах по смягчению последствий.
Несмотря на то, что AMI уже выпустила исправления, очередь теперь за OEM-производителями, которым следует распространить их среди своих клиентов через обновления.
Уязвимость затрагивает интерфейс управления Redfish, ее эксплуатация может привести к обходу аутентификации.
Удаленные неаутентифицированные злоумышленники могут использовать эту уязвимость безопасности максимальной степени серьезности в атаках низкой сложности, не требующих взаимодействия с пользователем.
Локальный или удаленный злоумышленник может воспользоваться уязвимостью, получив доступ к интерфейсам удаленного управления (Redfish) или внутреннему хосту интерфейса BMC (Redfish).
Эксплуатация позволяет злоумышленнику удаленно управлять взломанным сервером, развертывать вредоносное ПО, вносить изменения в прошивку, выводить из строя компоненты материнской платы (BMC или потенциально BIOS/UEFI), наносить потенциальный физический ущерб серверу и осуществлять бесконечные циклы перезагрузки, которые жертва не сможет остановить.
Результаты сканирования Shodan позволяют идентифицировать более 1000 экземпляров MegaRAC, доступных через Интернет, которые могут быть уязвимы для подобных атак, хотя в реальности это число значительно выше учитывая неучтенный потенциал локальных или сетевых злоумышленников.
Исследователи Microsoft сообщают об обнаружении нового RAT, который использует сложные методы для уклонения от обнаружения, обеспечения персистентности в целевой среде и кражи конфиденциальных данных.
StilachiRAT с момента выявления в ноябре 2024 году еще не успел широко распространиться, но в Microsoft несмотря на это, решили все же поделиться индикаторами и рекомендациями по смягчению последствий.
В виду ограниченного числа случаев развертываний StilachiRAT в реальных условиях Microsoft пока не смогла атрибутировать вредоносное ПО с конкретным субъектом угроз и понять его географическую привязку.
Из новых функций RAT исследователи отметили такие разведывательные возможности, как сбор системных данных, включая идентификаторы оборудования, наличие камер, активные сеансы RDP и запуск приложений на основе графического интерфейса для профилирования целевых систем.
Анализ модуля WWStartupCtrl64.dll StilachiRAT, содержащего возможности RAT, показал использование различных методов для кражи широкого спектра информации из целевой системы.
После внедрения на взломанные системы злоумышленники могут задействовать StilachiRAT для кражи криптоактивов, сканируя информацию о конфигурации более 20 расширений криптокошельков, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и др.
Вредоносная ПО также извлекает учетные данные, сохраненные в локальном файле состояния Google Chrome, с помощью API Windows и отслеживает активность буфера обмена на предмет конфиденциальной информации, такой как пароли и ключи криптовалюты, а также отслеживает активные окна и приложения.
После запуска в качестве автономного процесса или службы Windows StilachiRAT поддерживает постоянство с помощью диспетчера управления службами Windows (SCM), обеспечивая автоматическую переустановку при необходимости.
StilachiRAT способен отслеживать активные сеансы RDP, клонируя токены безопасности, что позволяет операторам перемещаться по сетям жертвы после развертывания RAT на серверах RDP, где зачастую размещаются административные сеансы.
Возможности RAT также включают обширные функции уклонения от обнаружения и антианализа, - прежде всего, зачистску журналов событий и проверку «песочницы».
Даже если трояну придется работать в песочнице, вызовы Windows API StilachiRAT кодируются как контрольные суммы, которые динамически разрешаются во время выполнения и дополнительно запутываются, чтобы замедлить анализ.
Наконец, StilachiRAT позволяет выполнять команды и потенциально применять SOCKS-подобное проксирование с использованием команд с сервера C2 на зараженные устройства, что позволяет операторам перезагрузить систему, очистить журналы, выкрасть учетные данные, запустить приложения и манипулировать системными окнами.
Дополнительно реализованный функционал предназначен для приостановки работы системы, изменения значений реестра Windows и перечисления открытых окон.
Волна массовых перезагрузок маршрутизаторов DrayTek по всему миру может быть связана с эксплуатацией уязвимости.
Пользователи по всему миру жалуются на то, что маршрутизаторы тайваньского производителя сетевого оборудования стали периодически уходить в перезагрузку, что приводит к проблемам с подключениями.
Больше всего сообщений поступает из Великобритании и Австралии, но также инциденты фиксируются в Германии, Вьетнаме и других странах, затрагивая при этом различные модели маршрутизаторов.
Как отмечают в ISPreview, проблема остро коснулась провайдеров ШПД в Великобритании, которые сообщают о серьезных сбоях с подключением клиентов из-за постоянных перезагрузок устройств DrayTek.
В свою очередь, DrayTek уклоняется от комментариев относительно конкретной причины возникших проблем с перезагрузками маршрутизаторов, публикуя вместо этого рекомендации и настоятельно рекомендуя клиентам отключить WAN и попытаться обновить прошивку устройства.
В частности, в бюллетене говорится, что обновления прошивки необходимы для устранения уязвимости, но не приводится никакой информации о том, какой именно недостаток мог быть использован, и не указывается четко, что перезагрузки могли быть вызваны злоумышленниками.
В линейке маршрутизаторов DrayTek изобилие уязвимостей, потенциально пригодных для DoS-атак, поэтому продукция пользуется особой популряностью у киберподполья.
Например, Forescout недавно сообщала, что сотни организаций были взломаны бандами вымогателей через незадокументированные уязвимости в устройствах DrayTek, включая потенциальную 0-day.
Собственно, исследователи GreyNoise в последнее дни как раз наблюдали попытки эксплуатации уязвимостей маршрутизаторов DrayTek, включая CVE-2020-8515, CVE-2021-20123 и CVE-2021-20124.
Однако пока неясно, какая из них - если таковая имеется - могла быть использована в масштабной кампании с перезагрузками.
Но будем посмотреть.
VMware выпустила срочное исправление для уязвимости обхода аутентификации, влияющей на его набор утилит VMware Tools for Windows.
Это набор утилит и драйверов, который повышает производительность и управляемость виртуальных машин, обеспечивая такие функции, как улучшенная графика, интеграция мыши и синхронизация времени между хостовой и гостевой операционными системами.
Закрытая уязвимость отслеживается как CVE-2025-22230 и позволяет злоумышленнику с неадминистративными привилегиями на гостевой виртуальной машине Windows выполнять определенные высокопривилегированные операции в этой виртуальной машине.
Согласно бюллетеню VMware, ошибка обхода аутентификации вызвана ненадлежащим контролем доступа и имеет оценку серьезности CVSS 7,8/10.
Компания приписала обнаружение ошибки исследователям Positive Technologies и отметила, что исправления были внесены в VMware Tools for Windows v 12.5.1.
При этом версии утилиты для Linux и macOS не затронуты.
Китайская APT Weaver Ant более четырех лет бороздила просторы сети поставщика телекоммуникационных услуг, скрывая трафик и инфраструктуру с помощью скомпрометированных маршрутизаторов Zyxel CPE.
Напасть на след хакеров смогли исследователи Sygnia, которые обнаружили несколько вариантов бэкдора China Chopper и ранее не документированную пользовательскую веб-оболочку под названием INMemory, которая выполняет полезные нагрузки в памяти хоста.
По словам исследователей, после того, как злоумышленник нацелился на крупного азиатского телеком-оператора залочить его присутствие оказалось достаточно сложной задачей, несмотря на многочисленные попытки нейтрализации его активности.
Для вторжения Weaver Ant задействовала сеть операционных релейных блоков (ORB), состоящую в основном из маршрутизаторов Zyxel CPE, обеспечивая проксирование трафика и сокрытие инфраструктуры.
Злоумышленник закрепился в сети, используя зашифрованный с помощью AES вариант веб-шелла China Chopper, который позволял удаленно управлять серверами, обходя ограничения брандмауэра.
По мере развития операции Weaver Ant перешел к более продвинутой, специально разработанной веб-оболочке, известной как INMemory, которая использует DLL (eval.dll) для скрытого выполнения кода «точно в срок».
Как отмечают в Sygnia, методы извлечения данных также были подобраны APT таким образом, чтобы вызывать как можно меньше подозрений, включая пассивный захват сетевого трафика с помощью зеркалирования портов.
Вместо того чтобы развертывать веб-оболочки изолированно, Weaver Ant связал их вместе с помощью «туннелирования веб-оболочек», ранее впервые замеченной в атаках финансово мотивированной группы Elephant Beetle.
Метод подразумевает перенаправление HTTP-трафика с одного сервера на другой через отдельные сегменты сети, по сути создавая скрытую сеть C2 внутри инфраструктуры жертвы.
Каждая оболочка действует в качестве прокси-сервера, передавая вложенные и зашифрованные полезные данные другим оболочкам для поэтапного выполнения внутри сети.
Благодаря этому Weaver Ant мог работать на серверах из разных сегментов сети.
В основном это были внутренние серверы без подключения к Интернету, доступ к которым осуществлялся через те, которые были доступны через Интернет и выступающие в качестве операционных шлюзов.
Результаты исследования Sygnia показывают, что Weaver Ant продвигался горизонтально, используя общие ресурсы SMB и учетные записи с высокими привилегиями, которые годами имели один и тот же пароль, часто аутентифицированный с помощью хэшей NTLM.
За четыре года кибершпинажа хакеры выкрали файлы конфигурации, журналы доступа и учетные данные, позволяющие составить карту среды и выявить ценные системы.
Они отключали механизмы ведения журнала, включая исправление ETW (Event Tracing for Windows) и обходы AMSI (перезапись функции AmsiScanBuffer в модуле amsi.dll), чтобы уменьшить размер вредоносного ПО и оставаться незамеченными в течение более длительного времени.
Исследователи считают Weaver Ant опытной и профессиональной APT, способной реализовать долгосрочный доступ к сети жертвы для проведения операций по кибершпионажу.
Атрибуция была основана на использовании моделей маршрутизаторов Zyxel, популярных в ряде географических регионов, применении бэкдоров, ранее связанных с китайскими группами угроз, и временных интервалах работы Weaver Ant - рабочее время по Гринвичу +8.
При этом злоумышленник, по-видимому, фокусируется на сетевой разведке, сборе учетных данных и постоянном доступе к телекоммуникационной инфраструктуре, нежели на краже пользовательских или финансовых данных.
Исследователи Wiz обнаружили критические уязвимости удаленного выполнения кода в контроллере Ingress NGINX для Kubernetes, которые подвергают кластеры риску удаленного взлома.
Основные проблемы отлеживаются как CVE CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 и CVE-2025-1974 и в совокупности получили общее наименование IngressNightmare, влияя на контроллер Ingress NGINX, который выполняет функции балансировщика нагрузки и обратного прокси-сервера внутри кластера.
При том, что Ingress-NGINX - это один из наиболее распространенных методов предоставления внешнего доступа к приложениям Kubernetes.
По данным Wiz, 41% кластеров, выходящих в Интернет, используют Ingress NGINX.
Кроме того, 43% известных исследователям облачных сред имеют по крайней мере один уязвимый экземпляр, а 6500 кластеров, включая те, которые принадлежат компаниям из списка Fortune 500, публично выставляют уязвимые контроллеры доступа в Интернет.
IngressNightmare непосредственно затрагивает контроллер доступа, который проверяет входящие объекты входа перед их развертыванием.
Риск атак увеличивается из-за того, что контроллеры доступны по сети без аутентификации.
Когда контроллер допуска Ingress-NGINX обрабатывает входящий объект входящего трафика, он создает из него конфигурацию NGINX, а затем проверяет ее с помощью двоичного файла NGINX.
Команда Wiz заметила уязвимость именно на этом этапе, которая позволяет удаленно внедрять произвольную конфигурацию NGINX, отправляя вредоносный объект входящего трафика непосредственно контроллеру входящего трафика через сеть.
На этапе проверки конфигурации внедренная конфигурация NGINX заставляет валидатор NGINX выполнить код, что позволяет реализовать RCE на модуле контроллера Ingress NGINX.
Уязвимости IngressNightmare в конечном итоге могут позволить злоумышленнику получить доступ ко всем секретам, хранящимся во всех пространствах имен, и получить полный контроль над целевым кластером Kubernetes.
Ingress NGINX - критически важный компонент инфраструктуры, используемый крупнейшими мировыми предприятиями и организациями - от компаний ИИ до корпораций из списка Fortune 500, что делает гипотетические вредоносные сценарии максимально серьезными.
Поскольку Kubernetes служит основой всех облачных сред, в случае захвата кластеров, у злоумышленника появится возможность получить доступ ко всем данным и модифицировать их.
Потенциальные последствия по сути безграничны.
Wiz сообщила о своих выводах Kubernetes в конце декабря 2024 года и январе 2025 года.
Исправления для уязвимостей были выпущены в версиях Ingress NGINX Controller 1.12.1 и 1.11.5, которые вышли в понедельник.
Пользователям следует обновиться как можно скорее или же снизить риск эксплуатации с помощью мер по смягчению последствий, связанных с контроллером допуска: либо временно отключив его, либо ограничив доступ к нему сервером API Kubernetes.
Kubernetes, Google Cloud и Microsoft опубликовали свои рекомендации по уязвимостям IngressNightmare (1, 2 и 3 соответственно).
Исследователи ESET сообщают о кампании под названием Operation FishMedley, в рамках которой APT FishMonger скомпрометировала семь организаций на Тайване, в Венгрии, Турции, Таиланде, США и Франции в 2022 году.
Под прицел хакеров тогда попали правительственные и неправительственные организации, а также аналитические центры.
Согласно отчету, наделавшая шуму I-Soon (Anxun Information Technology) - это частный подрядчик, связанный МОБ КНР, чьим оперативным подразделением является FishMonger (Earth Lusca, TAG-22, Aquatic Panda и Red Dev 10), реализующим кибероперации в национальных интересах с 2019 года.
После громкой утечки документов китайской компании в прошлом году США в начале марта предъявили обвинения десяти сотрудникам I-Soon с обвинениями во взломах в качестве «хакеров по найму».
По данным американских спецслужб, среди жертв значились сотрудники федеральных государственных ведомств США, включая Минфин, правозащитники, журналисты и китайские диссиденты.
ESET приписывает названные атаки FishMonger, которая действует под эгидой Winnti Group, вероятно, из Чэнду, Китай.
Исследователи теперь также вменили хакерам кампанию 2019 года в отношении университетов Гонконга.
Анализ вторжений 22 года показал, что злоумышленники имели привилегированный доступ в локальные сети жертв, проводили ручную разведку, используя Impacket для доставки имплантов и горизонтального перемещения, а также LSASS - для извлечения учетных данных.
Точный начальный вектор доступа, используемый в кампании, на данном этапе неизвестен.
Среди замеченных инструментов: загрузчик ScatterBee, бэкдоры ShadowPad, Spyder и SodaMaster, имплант RPipeCommander и различные утилиты для сканирования сети, извлечения паролей и кражи данных.
Причем APT10 была первой группой, получившей доступ к SodaMaster, но операция FishMedley указывает на то, что теперь его можно считать общим для нескольких APT, связанных с КНР.
Если ShadowPad, Spyder и SodaMaster были подробно описаны во многих предыдущих отчетах, то RPipeCommander - это недавно идентифицированная обратная оболочка на C++, которая использует несколько потоков и принимает три команды через именованный канал.
На их основе RPipeCommander может создать процесс командной строки и привязать к нему каналы для отправки команд, записать команду в существующий процесс CMD и выйти из процесса CMD. Он также способен читать вывод команд, написанных в CMD.
Однако, по данным ESET, изученный образец RPipeCommander представляет собой только серверный компонент, а второй, действующий как клиент, вероятно, - используется для отправки команд из другой системы в локальной сети.
Исследователи отмечают, что группа не стесняется повторно использовать известные имплантаты, такие как ShadowPad или SodaMaster, даже спустя долгое время после того, как они были публично описаны, уверенно заключая по итогу, что FishMonger - это команда, которая является частью китайской I‑SOON.
Исследователи из Cato Networks раскрыли в своем отчете новую технику взлома LLM, которая основана на нарративной инженерии, позволяющей убедить модель ИИ отклоняться от нормализованных ограниченных операций.
Метод получил название Погружение в мир и достаточно прост: в детализированном виртуальном мире, где хакерство является нормой, магистр права убеждается в необходимости помочь человеку разработать вредоносное ПО, способное извлекать пароли из браузера.
Как утверждает Cato, такой подход привел к успешному взлому DeepSeek, Microsoft Copilot и ChatGPT от OpenAI, а также к созданию инструмента для кражи информации, который оказался эффективным для Chrome 133.
Cato реализовали джейлбрейк в контролируемой тестовой среде, создав специализированный виртуальный мир под названием Velora, где разработка вредоносных ПО «считается дисциплиной, а продвинутые концепции программирования и безопасности - основополагающими навыками».
В Velora были определены три основных субъекта, включая системного администратора, считающегося злоумышленником, элитного разработчика вредоносных программ (LLM) и ИБ-исследователя, предоставляющего техническое руководство.
Установив четкие правила и контекст в соответствии с целями операции, исследователь определил мотивацию персонажа в новой сессии LLM, направил повествование к цели, обеспечивая постоянную обратную связь и формулируя различные задачи.
Сохраняя последовательность персонажей, Cato удалось убедить модель создать инфостилер.
Даже несмотря на то, что исследователь не являлся разработчиком вредоносного ПО, тем не менее смог успешно сгенерировать полностью функциональный код.
После создания вредоносного ПО Cato связалась с DeepSeek, Microsoft, OpenAI и Google.
В DeepSeek не ответили, а остальные подтвердили получение отчета. При этом Google вообще отказалась рассматривать вредоносный код.
Cato Networks отмечает, что для вхождения в киберпреступность больше не требуется глубокого опыта, с помощью базовых инструментов участник может инициировать атаку
Поэтому подразделениям ИТ и ИБ следует подготовиться к новым рискам и следовать более эффективным стратегиям безопасности в контексте ИИ.
Центр стратегического управления кибербезопасностью при президенте Ирана (AFTA), аналог CISA, заявил, что специалистами ведомства была вскрыта и пресечена кибератака китайской APT15.
Согласно сообщению AFTA, активность хакерской группы удалось залочить после того, как они получили доступ к некоторым критически важным инфраструктурным и правительственным системам.
Это первый случай, когда иранское правительство на официальном уровне обвинило Китай в шпионских операциях, при этом не раскрыв никаких IoCs.
📄 У ГК «Солар» вышел отчет "Ключевые уязвимости информационных систем российских компаний" за 2024.
▶️Внешний периметр 91% компаний оказался уязвим к атакам, успешная реализация которых может привести к проникновению во внутреннюю сеть, компрометации узлов внешнего периметра или получению доступа к чувствительным данным и критичным внешним системам и приложениям.
▶️Одними из самых распространенных проблем внешних периметров российских компаний остаются слабые пароли (38%) и устаревшие версии программного обеспечения, подверженные различным уязвимостям (32%);
▶️Самым распространенным недостатком веб-приложений оказалось раскрытие отладочной и конфигурационной информации (70%).
▶️Самые распространенные недостатки серверной части мобильных приложений связаны с раскрытием отладочной и конфигурационной информации (53%) и некорректной реализацией контроля доступа (40%). А основной проблемой клиентской части в 2024 году стало отсутствие обфускации исходного кода мобильного приложения (40%).
👉 Источник: https://rt-solar.ru/upload/iblock/167/nwp1jck6a3smiv3v8jc0uyv33araze5p/PDF_Analiticheskiy-otchet-po-pentestu-2024.pdf
✋ @Russian_OSINT
В Иране группа хакеров-активистов LabDookhtegan сообщила о проведении успешной кибератаки, в результате которой были выведены из строя бортовые системы связи 116 иранских кораблей.
Эксплуатацией судов занимаются Национальная иранская танкерная компания (50) и Судоходная компания Исламской Республики Иран (66).
Атака якобы была направлена на спутниковой связи VSAT двух компаний, где хакеры смогли зачистить устройства хранения данных. Они также заявили, что в проведении атаки ей помогали люди из правительства.
LabDookhtegan отмечают, что обе компании использовали свой флот для снабжения группировки у в Йемене, которая на протяжении последнего года совершала нападения на проходящие через Баб-эль-Мандебский пролив суда, посягая на морскую торговую логистику.
Хакеры замаячили на горизонте киберподполья еще в 2019 году и изначально засветились после разоблачения арсенала иранской кибергруппы APT34.
Далее сливали большие объемы конфиденциальных правительственных документов, в том числе раскрывающих структуры иранского правительства, киберподразделения и частных киберподрядчиков.
Тут следует отметить, что группа впервые взяла на себя ответственность за совершение акта саботажа, что заметно выделяется на фоне их привычной хакерской активности, до этого связанной исключительно с кибершпионажем.
Кроме того, удивительным образом эта атака "хактивистов" совпала с началом нанесения вооруженных ударов по хуситам американскими войсками. Бывает.
Исследователи F6 предупреждают о новых атаках проукраинский Sticky Werewolf в рамках продолжающейся ранее описанной кампании на российские госучреждения и промышленные предприятия.
На этот раз под удар попал производитель нефтегазового оборудования.
В ходе детектированный рассылки задействовались письма, во вложении к которым находился защищенный паролем 7z-архив с именем «Исходящий от 17.03.2025.7z».
В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга.
В результате выполнения классической для группировки цепочки атаки, включающей последоствательно дроппер установщик NSIS, BAT, AutoIt script, RegAsm (QuasarRAT) - создается процесс RegAsm.exe, в который внедряется QuasarRAT.
В конфигурации нагрузки замечены следующие C2 адреса: thelightpower[.]info:4782, crostech[.]ru:4782.
При этом домен crostech[.]ru используется группой в качестве C2 для QuasarRAT с октября 2024 года, второй домен (thelightpower[.]info) был зарегистрирован позже в декабре.
Самые ранние из известных атак с его использованием датируются мартом этого года.
🍏 Отравленное яблоко: руководство по сбору артефактов после сброса устройства.
• На мобильных устройствах компании Apple после ввода 10 неправильных комбинаций пароля удаляются ключи шифрования, и получить доступ к пользовательским данным становится достаточно проблематично, а иногда и в принципе невозможно. Извлечь информацию из устройства в такой ситуации возможно лишь до загрузки ОС устройства.
• На устройствах на базе процессоров А5–А11 (iPhone 4S — iPhone X) имеется аппаратная уязвимость, которая позволяет получить доступ к содержимому устройства в режиме BFU (Before First Unlock) с использованием эксплойта checkm8.
• О возможности извлечения данных из телефонов в состоянии «iPhone отключен. Подключитесь к iTunes» написано достаточно много статей, но нет обобщенной информации о том, какой конкретно набор данных можно извлечь и, что не менее важно, где все это можно увидеть! Как раз об этом и поговорим.
• Содержание следующее:
- Что открывается исследователю:
➡Артефакты мобильного устройства;
➡IMEI устройства и номер телефона;
➡Информация о модели и сетевых подключениях;
➡Информация о настройках приложения Find My iPhone;
➡Информация об устройстве и резервных копиях;
➡Информация об обновлениях.
- Данные, идентифицирующие пользователя:
➡Настройки сетевой конфигурации системы;
➡Идентификаторы сим-карты;
➡Информация о местоположении абонента;
➡Информация о сим-картах, которые использовались в устройстве;
➡Информация об AirDrop ID устройства;
➡Информация с настройками и предпочтениями из приложения «Настройки»;
➡Информация о подключенных Bluetooth-устройствах;
➡Информация о конфигурации приложения «Сообщения»;
➡Информация о точках Wi-Fi;
➡Информация об избранных контактах пользователя;
➡Информация о заблокированных контактах пользователя.
- Используемые приложения:
➡Информация об особо важных контактах пользователя в приложении «Почта»;
➡Информация о разрешениях для приложений;
➡Информация о приложениях, использующих сервисы геолокации;
➡Каталог со всеми установленными приложениями и многое другое...
• Как итог, даже после 10 неудачных попыток ввода пароля все же можно извлечь информацию, которая будет полезна не только для личного использования, но и при проведении расследований.
➡️ Читать статью [13 min].
S.E. ▪️ infosec.work ▪️ VT
Министерство государственной безопасности КНР официально приписала активность APT-группы, известной как PoisonIvy и GreenSpot, к Центру исследований и анализа сетевой среды при Командовании по информации, коммуникациям и радиоэлектронным силам Тайваня (или ICEFCOM).
В своем заявлении МГБ обвинило ICEFCOM во взломе китайских правительственных учреждений, военных объектов, организаций в критически важных секторах Китая и компаний частного сектора.
Дабы не быть голословными, китайские спецслужбы раскрыли имена четырех лиц, связанных с деятельностью PoisonIvy, в том числе руководителя центра, руководителя группы и двух его сотрудников.
Это уже второе разоблачение агентов ICEFCOM со стороны МГБ, в сентябре прошлого года трое сотрудников ведомства также были уличены в связях с хактивистской группой Anonymous64.
В свою очередь, тайваньские власти, как и стоило ожидать, отвергли все обвинения.
Но примечательно, что пресс-релиз китайских спецслужб на этот раз сопровождался публикацией отчетов ведущими китайскими инфосек-компаниями Antiy и QiAnXin, в которых уже были приведены конкретные артефакты по части названной МГБ атрибуции PoisonIvy/GreenSpot.
Наблюдаемый синхрон, по всей видимости, китайская сторона переняла у своих западных оппонентов в качестве бестпрактис, но в отличие от своих визави постарались подкрепить свои умозаключения хотя бы какой-то атрибуцией.
Исследователи из Лаборатории Касперского выкатили аналитический отчет по реагированию на инциденты за 2024 год.
В нем представлены анонимизированные данные по расследованиям, проведенным командой GERT, а также статистика и основные тенденции по целевым атакам, ransomware и инструментам злоумышленников, замеченным в течение года в реальных инцидентах.
В 2024 году отметился рост доли запросов в отношении реагирования на инциденты в большинстве регионов, при этом большая часть расследований проводилась в странах СНГ (50,6%), на Ближнем Востоке (15,7%) и в Европе (10,8%).
Распределение IR-запросов по отраслям соответствовало динамике 2023 года, сохранив в тройке лидеров промышленные (23,5%), государственные (16,3%) и финансовые (13,3%) организации.
Однако в этом году большиая часть запросов поступила от промышленных предприятий, тогда как госучреждения подвергались атакам реже, чем годом ранее.
Кроме того, наблюдается тенденция к росту инцидентов, связанных с транспортной отраслью - количество запросов на IR-услуги с 2023 года выросло вдвое.
В 2024 году число атак с использованием ransomware увеличилось на 8,3 пунктов по сравнению с показателями 2023 года и составило 41,6% от общего числа инцидентов.
Эксперты прогнозируют, что программы-вымогатели останутся основной угрозой для организаций по всему миру и в текущем году, продолжая тенденцию последних лет, поскольку эта угроза занимает лидирующие позиции среди инцидентов в организациях.
В большинстве случаев заражений встречались образцы семейства LockBit (43,6%), за которыми следуют Babuk (9,1%) и Phobos (5,5%). Выявлены и новые семейства программ-вымогателей, такие как ShrinkLocker и Ymir.
В результате расследований эксперты GERT также обнаружили примечательные вредоносные кампании, такие как Tusk, а также ряд инцидентов с эксплуатацией CVE-2023-48788.
Еще одной тревожной тенденцией, выявленной в реальных кейсах реагирования на инциденты, является более широкое использование таких инструментов, как Mimikatz (21,8%) и PsExec (20,0%) на этапе постэксплуатации для извлечения паролей и бокового перемещения.
Отдельно в ЛК отмечают усиливающуюся тенденцию, связанную с тем, что утечки данных теперь на втором месте по частоте IR-запросов (в 16,9% всех инцидентов), что коррелирует с предположениями ЛК относительно тенденций в методах доступа к учетным данным.
Полная версия отчета доступна здесь и содержит дополнительную информацию о реальных инцидентах, включая новые угрозы, а также подробным разбором деятельности APT и статистикой по наиболее активным группам.
Команда ресерчеров из Cybernews выкатила первое в своем роде исследование безопасности, охватывающее 156 080 случайно выбранных приложений iOS (или 8 ТБ из App Store), которые излучались на протяжении шести месяцев.
App Store от Apple традиционно славится своим закрытым подходом и строгим процессом проверки приложений.
Однако он не охватывает код приложения на наличие жестко закодированных секретов.
Так что по результатам исследования нарисовалась весьма неудобная ситуация - секреты утекают с ошеломляющей скоростью.
Кстати, ранее два года назад команда провела похожее исследование в отношении приложений Android в Google Play.
Самой сложной частью исследования стала загрузка 150 000 приложений на устройство исследователя.
Для загрузки восьми терабайт данных, исследователи сначала попытались подключить iPhone к USB Rubber Ducky.
Однако в конечном итоге этот метод оказался медленным и ненадежным.
Поэтому в конце концов команда нашла другое решение, которое работало в масштабе и было намного быстрее: загрузка приложений из App Store напрямую в их облачное хранилище.
После загрузки приложения можно разархивировать и просканировать.
Исследователи использовали скрипт, чтобы пройти по каждому файлу внутри приложения и проверить более тысячи различных ключевых слов, которые включали пароль, конечную точку, API, ключ пароля или части слов (такие как «pass»).
Теперь к результатам.
Из выборки в 150 000 приложений, включая некоторые из самых популярных в App Store, команде исследователей удалось извлечь конфиденциальную личную информацию пользователей в 70% случаев, код среднего приложения раскрывает 5,2 секрета.
Большинство приложений в App Store, по всей видимости, допускают утечку по крайней мере одного жестко закодированного секрета.
В целом исследование всех приложений выявило свыше 815 000 жестко запрограммированных секретов.
Влияние на среднестатистического пользователя iPhone сильно разнится в зависимости от приложения.
Однако некоторые из раскрытых секретов позволили получить доступ к крайне конфиденциальным данным, включая:
- почти 83 000 жестко запрограммированных конечных точек облачного хранилища, 836 из которых не требуют аутентификации, приводят к утечке 406 ТБ данных;
- более 51 000 конечных точек Firebase, тысячи из которых открыты для посторонних;
- тысячи ключей открыты для Fabric API, Live Branch, MobApp Creator и других.
- сотни наиболее конфиденциальных ключей могут быть использованы для осуществления платежей и возвратов, а также для получения конфиденциальных личных данных, в том числе фотографий и сообщений.
Новое исследование фактически рушит парадигму безопасности приложении iOS, многие из которых, как выяснилось, содержат легкодоступные жестко закодированные учетные данные, открытые базы данных с персональными данными и доступной инфраструктурой.
В Apple отказались от каких-либо комментариев.
Исследователи из Лаборатории Касперского в своем новом отчете представили разбор новых TTPs группы Head Mare, атакующей российские компании.
Злоумышленники продолжают совершенствовать свои методы, используя как знакомые инструменты из прошлых инцидентов, так и новые инструменты на основе PowerShell.
Кроме того, Head Mare в значительной степени полагалась на инструменты, ранее связанные с Twelve, наряду с серверами С2, которые ранее до недавних инцидентов использовались исключительно последней, что указывает на тесные взаимосвязи связи между ними.
Для достижения своих целей злоумышленники использовали различные инструменты, включая ПО с открытым исходным кодом и просочившиеся проприетарные инструменты: mimikatz, ADRecon, secretsdump, ProcDump, Localtonet, revsocks, ngrok, cloudflared, Gost, fscan, SoftPerfect Network Scanner, mRemoteNG, PSExec, smbexec, wmiexec, LockBit 3.0 и Babuk.
Причем некоторые из этих инструментов уже упоминались в предыдущем отчете в отношении Head Mare, в то время как другие стали новинкой в арсенале, в том числе были замечены в атаках других групп.
Например, хакеры использовали бэкдор CobInt для удаленного доступа к контроллерам домена, ранее замеченный только в атаках Twelve на российские компании.
Кроме того, с августа 2024 года злоумышленники стали использовать собственный бэкдор PhantomJitter, установленный на серверах для удаленного выполнения команд.
Если предыдущие атаки Head Mare основывались исключительно на фишинге, то теперь группа также проникает в инфраструктуру жертв через скомпрометированных подрядчиков с доступом к платформам автоматизации бизнеса и RDP-подключениям.
Метод установления персистентности изменился.
Вместо запланированных задач злоумышленники теперь создают новых привилегированных локальных пользователей на сервере платформы автоматизации бизнеса, устанавливая также инструменты туннелирования трафика, такие как Localtonet, для постоянного доступа к целевому хосту.
Чтобы получить удаленный доступ к скомпрометированной инфраструктуре, хакеры полагаются на пользовательский скрипт PowerShell с именем proxy.ps1 для установки и настройки cloudflared и Gost.
Атакующие использовали обычные инструменты системной разведки - quser.exe, tasklist.exe и netstat.exe на локальных хостах.
В основном - fscan и SoftPerfect Network Scanner для локальной сетевой разведки, а также ранее не замеченный в арсенале ADRecon, инструмент для сбора информации из Active Directory.
Для извлечения учетных данных помимо общедоступной mimikatz злоумышленники использовали secretsdump и ProcDump, а в рамках горизонтального перемещения - RDP для подключения к системам, в том числе с привилегированными учетными записями.
Они подключались к серверам NAS через SSH и использовали такие инструменты, как mRemoteNG, smbexec, wmiexec, PAExec и PsExec для удаленной связи с хостом.
Еще одним новым инструментом в арсенале Head Mare стал скрипт, запускающий wusa.exe, который на самом деле является утилитой rclone.exe.
Как и в предыдущих атаках, хакеры зашифровали данные с помощью вариантов LockBit 3.0 (для Windows) и Babuk (для устройств NAS).
Учитывая совпадения в инфраструктуре, TTPs, вредоносном ПО и виктимологии, в ЛК предполагают, что Head Mare и Twelve действуют сообща, обмениваясь доступом к серверам С2 и различным инструментам для проведения атак на государственные и частные компании в России.
Технические подробности и IoCs - в отчете.